Malware ou comportamento de serviços estranhos do Windows?

5

Introdução

Recentemente, notei alguns serviços que tinham valores ímpares anexados ao nome do serviço ao arrumar o meu PC. Na saída de sc query , eles se parecem com isso:

SERVICE_NAME: CDPUserSvc_40b5c
DISPLAY_NAME: CDPUserSvc_40b5c
        TYPE               : e0  USER_SHARE_PROCESS INSTANCE
        STATE              : 4  RUNNING 
                                (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0  (0x0)
        SERVICE_EXIT_CODE  : 0  (0x0)
        CHECKPOINT         : 0x0
        WAIT_HINT          : 0x0

[snip] ...

SERVICE_NAME: UserDataSvc_40b5c
DISPLAY_NAME: User Data Access_40b5c
        TYPE               : e0  USER_SHARE_PROCESS INSTANCE
        STATE              : 4  RUNNING 
                                (STOPPABLE, NOT_PAUSABLE, ACCEPTS_PRESHUTDOWN)
        WIN32_EXIT_CODE    : 0  (0x0)
        SERVICE_EXIT_CODE  : 0  (0x0)
        CHECKPOINT         : 0x0
        WAIT_HINT          : 0x0

Regedit Output como imagens:

Idéias / Ações

Meu primeiro pensamento foi que eu possivelmente tive uma infecção por vírus / malware e havia algo tentando passar por um serviço legítimo com um mal-intencionado. Acredito que descartei isso, já que os serviços são quase exatamente os mesmos que os legítimos não-hexadecimais. (veja a saída do regedit)

Alguns dos serviços têm uma descrição inválida, mas um código idêntico para criar a descrição no regedit. Além disso, emiti sc delete <svcname> com sucesso. No entanto, eles são recriados na reinicialização.

Perguntas

Quais são esses serviços e por que eles são nomeados assim?
Como faço para removê-los?

    
por Deney Fletcher 26.02.2017 / 02:06

2 respostas

4

O CDPUserSvc é um serviço legítimo do MS Windows.

Quanto ao código aleatório anexado, por ex. _405bc , esta é uma cópia do mesmo Serviço do Windows sem o sufixo. A MS adicionou essas cópias de "sombra" como uma medida de "segurança" (e incidentalmente para dificultar o gerenciamento de usuários desses serviços). Um exemplo, a sombra do Windows OneSyncSvc, é mostrada abaixo. Como o sufixo pode mudar na reinicialização, para desabilitar permanentemente o serviço (por exemplo, se você nunca usa o Windows OneSync), defina Iniciar em HKLM \ SYSTEM \ CurrentControlSet \ Services ... para ambos o serviço e sua sombra para 4.

    
por 26.02.2017 / 04:35
0

Este não é um malware ... mas na minha humilde opinião, um nome muito ruim para um processo ou serviço. Os processos virais também usam esses nomes .. e seria fácil enganar os usuários depois de ler o post acima que o processo viral é realmente um processo legítimo.

Existem outros processos semelhantes também: Como desativar o OneSyncSvc_c523d Win10?

    
por 12.08.2018 / 05:20