Windows服务中疑似有问题的服务 无法删除 有大佬看看怎么解决嘛
在服务中看到好多以103852为后缀的服务,不知道干什么用的,也无法删除
用AI生成了一个bat文件
@echo off
setlocal enabledelayedexpansion
set suffix=_103852# 示例后缀(如服务名以 _old 结尾)
for /f tokens=2 delims=%%s in ('sc query type^= service ^| findstr /i %suffix%') do (
sc stop %%s >nul 2>&1# 停止服务:ml-citation{ref=4 data=citationList}
sc delete %%s >nul 2>&1 && echo 成功删除:%%s || echo 删除失败:%%s
)
运行这个批处理,再用cmd命令查询,提示 服务以标记删除,但是实际上删不掉
有没有大佬知道这些服务是不是正常服务,如果不是该如何处理
这几个服务的后缀 每次重启电脑还会改变 根据您描述的情况,这些以_103852为后缀的服务极有可能是非正常系统服务,可能是某些软件残留、恶意程序或测试版本遗留的痕迹。以下是分步解决方案:
第一步:确认服务真实性(关键!)
查看服务详细信息
以管理员身份运行CMD,执行:
batch
sc queryex <服务名>
重点关注输出中的:
BINARY_PATH_NAME(可执行文件路径)
DISPLAY_NAME(显示名称)
SERVICE_START_NAME(启动账户)
判断标准
⚠️ 可疑特征:
路径指向%AppData%、%Temp%等用户目录
显示名称包含随机字符(如Service_103852)
启动账户为LocalSystem但无数字签名
第二步:强制删除服务(三重保障)
方案一:增强版批处理
batch
@echo off
setlocal enabledelayedexpansion
set suffix=_103852
for /f "tokens=2 delims= " %%s in ('sc query type^= service ^| findstr /i "%suffix%"') do (
echo 正在处理:%%s
sc stop %%s >nul
sc queryex %%s | findstr /i "STATE" | findstr /i "RUNNING" >nul && (
taskkill /f /im %%s* >nul 2>&1
taskkill /f /im "!BINARY_PATH_NAME:* =!" >nul 2>&1
)
sc delete %%s >nul && echo 成功删除:%%s || (
reg delete "HKLM\SYSTEM\CurrentControlSet\Services\%%s" /f >nul
echo 已强制删除注册表项:%%s
)
)
方案二:使用PowerShell(推荐)
powershell
Get-WmiObject Win32_Service | Where-Object { $_.Name -like "*_103852" } | ForEach-Object {
try {
Stop-Service $_.Name -Force -ErrorAction Stop
$_.Delete()
Write-Host "成功删除:" $_.Name -ForegroundColor Green
} catch {
Write-Host "强制删除注册表:" $_.Name -ForegroundColor Red
Remove-Item -Path "HKLM:\SYSTEM\CurrentControlSet\Services\$($_.Name)" -Recurse -Force
}
}
第三步:残留清理(深度处理)
清理注册表启动项
运行regedit,检查以下路径:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除与_103852相关的条目
任务计划清理
运行taskschd.msc,检查所有任务计划,禁用/删除可疑任务
文件系统清理
检查以下目录,删除可疑文件:
C:\Windows\System32\Tasks\
%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\
%ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp\
第四步:终极解决方案(系统修复)
如果上述步骤仍无法彻底清除:
使用系统修复工具
运行sfc /scannow
执行DISM /Online /Cleanup-Image /RestoreHealth
创建新用户账户
设置 → 账户 → 家庭和其他用户 → 添加新账户
切换至新账户测试是否仍存在残留
系统还原/重置
若问题持续,考虑:
系统还原点还原(需之前创建过)
重置此电脑(保留文件)
第五步:预防措施
安装专业安全软件
推荐组合:
火绒安全(轻量级HIPS)
卡巴斯基免费版(深度扫描)
运行全盘扫描,重点关注Rootkit检测
监控服务创建
使用工具Process Monitor设置过滤:
Operation → RegSetValue
Path → contains Services
实时捕获服务创建行为
技术原理说明
服务删除失败原因
服务进程仍在运行(即使sc stop失败)
注册表项权限被篡改
存在驱动级保护(Rootkit特性)
强制删除逻辑
方案一通过taskkill强制终止进程树
方案二使用WMI的Delete()方法绕过常规删除限制
注册表删除作为兜底方案
建议优先尝试方案二(PowerShell),其执行效率更高且对异常情况处理更完善。如果问题服务持续复活,请立即进行全盘安全扫描,这可能是恶意软件驻留系统的表现。
页:
[1]