Windows服务中疑似有问题的服务 无法删除 有大佬看看怎么解决嘛

在服务中看到好多以103852为后缀的服务，不知道干什么用的，也无法删除
用AI生成了一个bat文件
@echo off
setlocal enabledelayedexpansion
set suffix=_103852  # 示例后缀（如服务名以 _old 结尾）
for /f tokens=2 delims=  %%s in ('sc query type^= service ^| findstr /i %suffix%') do (
    sc stop %%s >nul 2>&1  # 停止服务:ml-citation{ref=4 data=citationList}
    sc delete %%s >nul 2>&1 && echo 成功删除：%%s || echo 删除失败：%%s  
)

运行这个批处理，再用cmd命令查询，提示 服务以标记删除，但是实际上删不掉

有没有大佬知道这些服务是不是正常服务，如果不是该如何处理

这几个服务的后缀 每次重启电脑还会改变

根据您描述的情况，这些以_103852为后缀的服务极有可能是非正常系统服务，可能是某些软件残留、恶意程序或测试版本遗留的痕迹。以下是分步解决方案：

第一步：确认服务真实性（关键！）
查看服务详细信息
以管理员身份运行CMD，执行：
batch
sc queryex <服务名>
重点关注输出中的：
BINARY_PATH_NAME（可执行文件路径）
DISPLAY_NAME（显示名称）
SERVICE_START_NAME（启动账户）
判断标准
⚠️ 可疑特征：
路径指向%AppData%、%Temp%等用户目录
显示名称包含随机字符（如Service_103852）
启动账户为LocalSystem但无数字签名
第二步：强制删除服务（三重保障）
方案一：增强版批处理
batch
@echo off
setlocal enabledelayedexpansion
set suffix=_103852
for /f "tokens=2 delims= " %%s in ('sc query type^= service ^| findstr /i "%suffix%"') do (
    echo 正在处理：%%s
    sc stop %%s >nul
    sc queryex %%s | findstr /i "STATE" | findstr /i "RUNNING" >nul && (
        taskkill /f /im %%s* >nul 2>&1
        taskkill /f /im "!BINARY_PATH_NAME:* =!" >nul 2>&1
    )
    sc delete %%s >nul && echo 成功删除：%%s || (
        reg delete "HKLM\SYSTEM\CurrentControlSet\Services\%%s" /f >nul
        echo 已强制删除注册表项：%%s
    )
)
方案二：使用PowerShell（推荐）
powershell
Get-WmiObject Win32_Service | Where-Object { $_.Name -like "*_103852" } | ForEach-Object {
    try {
        Stop-Service $_.Name -Force -ErrorAction Stop
        $_.Delete()
        Write-Host "成功删除：" $_.Name -ForegroundColor Green
    } catch {
        Write-Host "强制删除注册表：" $_.Name -ForegroundColor Red
        Remove-Item -Path "HKLM:\SYSTEM\CurrentControlSet\Services\$($_.Name)" -Recurse -Force
    }
}
第三步：残留清理（深度处理）
清理注册表启动项
运行regedit，检查以下路径：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除与_103852相关的条目
任务计划清理
运行taskschd.msc，检查所有任务计划，禁用/删除可疑任务
文件系统清理
检查以下目录，删除可疑文件：
C:\Windows\System32\Tasks\
%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\
%ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp\
第四步：终极解决方案（系统修复）
如果上述步骤仍无法彻底清除：
使用系统修复工具
运行sfc /scannow
执行DISM /Online /Cleanup-Image /RestoreHealth
创建新用户账户
设置 → 账户 → 家庭和其他用户 → 添加新账户
切换至新账户测试是否仍存在残留
系统还原/重置
若问题持续，考虑：
系统还原点还原（需之前创建过）
重置此电脑（保留文件）
第五步：预防措施
安装专业安全软件
推荐组合：
火绒安全（轻量级HIPS）
卡巴斯基免费版（深度扫描）
运行全盘扫描，重点关注Rootkit检测
监控服务创建
使用工具Process Monitor设置过滤：
Operation → RegSetValue
Path → contains Services
实时捕获服务创建行为
技术原理说明
服务删除失败原因
服务进程仍在运行（即使sc stop失败）
注册表项权限被篡改
存在驱动级保护（Rootkit特性）
强制删除逻辑
方案一通过taskkill强制终止进程树
方案二使用WMI的Delete()方法绕过常规删除限制
注册表删除作为兜底方案
建议优先尝试方案二（PowerShell），其执行效率更高且对异常情况处理更完善。如果问题服务持续复活，请立即进行全盘安全扫描，这可能是恶意软件驻留系统的表现。