Службы с непонятными названиями

@Сидорович · Регистрация: 03.08.2010

Author24 — интернет-сервис помощи студентам

После недавних апдейтов (возможно, после Creators Update), стали появляться службы вроде "ServiceName" - обычная служба, (например, WpnUserService или OneSyncSvc) и к ней создаётся дополнительная служба "ServiceName_xxxxx", где 'xxxxx' -
идентификатор-суффикс, единый для всех служб (например, WpnUserService_50154 и OneSyncSvc_50154). Проблемы добавляет то, что этот идентификатор-суффикс периодически меняется.

1. Что это за 'xxxxx' и зачем он?
2. Как создавать правила файрвола, учитывая, что 'xxxxx' периодически меняется?

gecata · 09.05.2017, 17:15

Несколько цитат с разных форумов:

Название службы меняется и имеет вид CDPUserSvc_xxxxx. Обычно так ведут себя вредоносные программы, но Microsoft сообщает что это всё же системный процесс. При этом разъяснений по поводу назначения не дают. Для чего же системному процессу изменять название? Скорее всего это мера для предотвращения автоматического завершения и удаления службы из системы

Службы с "добавкой" в названии - самовосстанавливаются. Как ты их не отключай и даже удаляй - все равно возродятся. Еще эти службы "с добавкой" - работают от имени текущего пользователя, а не от системы

Обсуждающие эти темы исследователи единогласны во мнении, что это - "следилка от Майкрософт"

@Сидорович · 09.05.2017, 17:21 **[ТС]**

Сообщение от gecata

исследователи

Сообщение от gecata

"следилка от Майкрософт"

Название: icon_twisted[1].gif
Просмотров: 541

Размер: 1.7 Кб

@lojcin · 09.05.2017, 17:51

По пробуйте это по умолчанию(не устанавливайте галочки сами), если вас не устраивают подобные службы:
Ashampoo® AntiSpy for Windows 10

Теперь же одна из довольно известных компаний Ashampoo выпустила свою утилиту AntiSpy для Windows 10, которой, как мне кажется, можно доверять, не боясь что-либо испортить.

https://www.ashampoo.com/en/us... Windows-10
Программа не требует установки, и сразу после запуска вы получите доступ к включению и отключению всех имеющихся функций отслеживания пользователя в Windows 10. К сожалению для нашего пользователя, программа на английском языке. Но и в данном случае вы можете ее легко использовать: просто выберите в разделе Action пункт Use recommended settings, чтобы разом применить рекомендованные настройки безопасности личных данных.

@bormotolog · 09.05.2017, 18:02

Сообщение от Сидорович

Как создавать правила файрвола, учитывая, что 'xxxxx' периодически меняется?

на машине с самой 10-й "создавать правила файрвола" для системных процессов - бесполезное занятие.
Можете разминки ради позапрещать всё что нашли, а потом глянуть на шлюзе соединения с этой машины.

Если для стационара с проводным соединением ещё есть варианты блокировки на шлюзе, то для ноутов и это не выход - винда присосётся к первой же открытой точке доступа и снова здрасти.

@Сидорович · 09.05.2017, 18:34 **[ТС]**

Сообщение от bormotolog

на машине с самой 10-й "создавать правила файрвола" для системных процессов - бесполезное занятие.

Запрещал доступ для Центра обновления (wuasrv) - обновления не качались.

Добавлено через 1 минуту

Сообщение от bormotolog

Если для стационара с проводным соединением ещё есть варианты блокировки на шлюзе, то для ноутов и это не выход - винда присосётся к первой же открытой точке доступа и снова здрасти.

Отрубить в диспетчере устройств wi-fi адаптер?

Добавлено через 2 минуты

Сообщение от lojcin

Ashampoo® AntiSpy for Windows 10

Да я не боюсь слежки, мне просто нужно иметь возможность при необходимости заблочить ту или иную службу.
PS: но для интереса прогу скачаю на досуге.

@Сидорович · 21.12.2017, 09:00 **[ТС]**

Код

sc query type=service

Имя_службы: CDPUserSvc_1aadf6b
Имя_службы: OneSyncSvc_1aadf6b
Имя_службы: PimIndexMaintenanceSvc_1aadf6b
Имя_службы: UnistoreSvc_1aadf6b
Имя_службы: UserDataSvc_1aadf6b
Имя_службы: WpnUserService_1aadf6b

Тут 2 странности:
1. Шестнадцатеричный суффикс вида _[0-9a-f]+ периодически меняется (но реже, чем каждая перезагрузка системы).
2. Все они имеют нормальные бессуффиксные аналоги:
CDPUserSvc, OneSyncSvc, PimIndexMaintenanceSvc, UnistoreSvc, UserDataSvc, WpnUserService

Такое появилось вроде с 1703 апдейтом и доставляет некоторые неудобства.
Вопрос: что это за службы с суффиксами; чем они отличаются от своих бессуффиксных аналогов; можно ли вернуть "как было" - настроить Windows так, чтобы она не создавала подобных служб?

gecata · 21.12.2017, 11:42

Комментарий модератора

Была же у вас такая тема... Зачем вы вторую создали? Переношу в неё

К сожалению, по теме добавить ничего не могу

@RockInHeart · 21.12.2017, 11:57

Вот что пишут на форуме майков: (если уже видели эту тему то извиняюсь за повтор инфы),

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CDPUserSvc

I changed the "Start" value data from "2" (Automatic) to "4" (Disabled). Restarted and now it is disabled.

The only thing is that the number at the end is now different (CDPUserSvc_35375), but at least it is disabled now.
Good information. Thanks.

If you stop the service before editing the Registry, you don't actually have to restart the computer to realize the change. All you have to do it refresh the list of Services.

When you restart the computer, Windows changes the suffixes on all of the related services (svchost.exe -k UnistackSvcGroup). I have 7 different services that all have the same suffix. When I disabled the CDPUserSvc (and also the Contact Data service, because I don't use Windows Contacts), the suffix on all 7 of them was _7e9782. After restarting, all 7 of them now have the suffix _40a6a.

CDPUserSvc_40a6a (CDPUserSvc_40a6a)
Contact Data_40a6a (PimIndexMaintenanceSvc_40a6a)
MessagingService_40a6a (MessagingService_40a6a)
Sync Host_40a6a (OneSyncSvc_40a6a)
User Data Access_40a6a (UserDataSvc_40a6a)
User Data Storage_40a6a (UnistoreSvc_40a6a)
Windows Push Notifications User Service_40a6a (WpnUserService_40a6a)

I'm not sure what purpose the changing suffix serves, other than to prevent any apps from being able to programmatically modify the services - at least not easily anyway. But if that were the case, they would do that with all of Microsoft's services. So far I have not seen any ill effects from disabling the first two in that list, but we'll see if that continues.

Добавлю еще это : https://social.technet.microso... progeneral если уважаемая gecata, разрешит.

@persen27 · 21.12.2017, 15:17

Сообщение от Сидорович

Имя_службы: CDPUserSvc

Отключаю на всех 10-ках без каких-либо последствий,т.к.вычитал что она получает доступ к пользовательским данным и ведёт обмен информацией в зашифрованном виде с серверами Microsoft. Что это за информация выяснить не удалось, но возможно, это персональные данные пользователя Windows.

Кликните здесь для просмотра всего текста

Команды удаления пишем в консоль Windows. Запустить её необходимо от имени администратора, иначе попытка удаления приведёт к ошибке «Отказано в доступе».Вводим команды отключения и удаления. Кроме самой службы CDPUserSvc так же приходится отключать связанные с ней процессы, иначе после перезагрузки можем получить синий экран. Операционная система при этом запустит восстановление и ничего не удалится.После каждой команды Энтер.
sc delete DiagTrack
sc delete dmwappushservice
sc delete WerSvc
sc delete CDPUserSvc
sc delete CDPUserSvc_ххххх
sc delete OneSyncSvc
sc delete OneSyncSvc_ххххх
sc delete MessagingService_ххххх
Перезагрузите компьютер, после чего в редакторе реестра найдите ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services и удалите в ней следующие ключи:
PimIndexMaintenanceSvc
PimIndexMaintenanceSvc_xxxxx
UserDataSvc
UserDataSvc_xxxxx
UnistoreSvc
UnistoreSvc_xxxxx

Так-же вычитал с какими службами взаимодействует CDPUserSvc:
OneSyncSvc — синхронизирует почту, контакты, календарь и другие пользовательские данные.
PimIndexMaintenanceSvc — индексирует поиск по контактам на мобильных устройствах.
UnistoreSvc — отвечает за хранение пользовательских данных, таких как контакты, календари, сообщения.
UserDataSvc — предоставляет приложениям доступ к структурированным данным пользователя.
Другими словами, Connected Devices Platform User Service имеет доступ к любым пользовательским данным, обменивается какой-то информацией с серверами и никак не влияет на работу операционной системы и приложений.

@lojcin · 21.12.2017, 17:59

То же вычитал и до первого пользования всегда делаю так:
Выключение AutoLogger( кто в теме тот наверняка знает что это такое)
Открываем командную строку от администратора, а затем вводим следующие команды поочередно:
net stop DiagTrack - (чистая остановка DiagTrack)
net stop dmwappushservice - (чистая остановка dmwappushservice)
sc config DiagTrack start= disabled - (СК конфиг DiagTrack пуск= отключено)
sc config dmwappushservice start= disabled - (СК конфиг dmwappushservice пуск= отключено)
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\DataCollection" /v AllowTelemetry /t REG_DWORD /d 0 /f
echo "" > C:\ProgramData\Microsoft\Diagnosis\ETLLogs\AutoLogger\AutoLogger-Diagtrack-Listener.etl

и в добавку:
Писанием файла AutoLogger-Diagtrack-Listener.etl занимается не служба (процесс usermode), а само ядро.
Служба diagtrack принудительно включает разрешение на логгинг в реестре, так что ее тоже надо отключать. Она же отсылает отчеты в MS, если судить по многочисленным импортам из winhttp.dll и строкам внутри DLL.
Вот такая таблетка нарисовывается :

Bash

set F=%TEMP%\al.reg
set F2=%TEMP%\al2.reg
regedit /e "%F%" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\AutoLogger-Diagtrack-Listener
powershell -Command "Select-String -Pattern "\"Enabled\"", "\[HKEY", "Windows\sRegistry" -Path \"%F%\" | ForEach-Object {$_.Line} | Foreach-Object {$_ -replace '\"Enabled\"=dword:00000001', '\"Enabled\"=dword:00000000'} | Out-File \"%F2%\"" 
regedit /s "%F2%"
del "%F%" "%F2%"
del "%ProgramData%\Microsoft\Diagnosis\ETLLogs\AutoLogger\*.etl" "%ProgramData%\Microsoft\Diagnosis\ETLLogs\ShutdownLogger\*.etl"
reg add HKLM\SYSTEM\CurrentControlSet\Control\WMI\AutoLogger\AutoLogger-Diagtrack-Listener /v Start /t REG_DWORD /d 0 /f
sc config diagtrack start= disabled
sc stop diagtrack

@Сидорович 129 / 31 / 3 Регистрация: 03.08.2010 Сообщений: 630
		1
	Службы с непонятными названиями 09.05.2017, 15:33. Показов 84170. Ответов 10 Метки нет (Все метки) После недавних апдейтов (возможно, после Creators Update), стали появляться службы вроде "ServiceName" - обычная служба, (например, WpnUserService или OneSyncSvc) и к ней создаётся дополнительная служба "ServiceName_xxxxx", где 'xxxxx' - идентификатор-суффикс, единый для всех служб (например, WpnUserService_50154 и OneSyncSvc_50154). Проблемы добавляет то, что этот идентификатор-суффикс периодически меняется. 1. Что это за 'xxxxx' и зачем он? 2. Как создавать правила файрвола, учитывая, что 'xxxxx' периодически меняется? Миниатюры 0

gecata Модератор 15900 / 7922 / 755 Регистрация: 03.01.2012 Сообщений: 32,863
	09.05.2017, 17:15	2
	Сообщение было отмечено bormotolog как решение Решение Несколько цитат с разных форумов: Название службы меняется и имеет вид CDPUserSvc_xxxxx. Обычно так ведут себя вредоносные программы, но Microsoft сообщает что это всё же системный процесс. При этом разъяснений по поводу назначения не дают. Для чего же системному процессу изменять название? Скорее всего это мера для предотвращения автоматического завершения и удаления службы из системы Службы с "добавкой" в названии - самовосстанавливаются. Как ты их не отключай и даже удаляй - все равно возродятся. Еще эти службы "с добавкой" - работают от имени текущего пользователя, а не от системы Обсуждающие эти темы исследователи единогласны во мнении, что это - "следилка от Майкрософт" 2

@Сидорович 129 / 31 / 3 Регистрация: 03.08.2010 Сообщений: 630
	09.05.2017, 17:21 [ТС]	3
	Сообщение от gecata исследователи Сообщение от gecata "следилка от Майкрософт" 0

@lojcin 327 / 157 / 14 Регистрация: 30.12.2014 Сообщений: 804 Записей в блоге: 3
	09.05.2017, 17:51	4
	По пробуйте это по умолчанию(не устанавливайте галочки сами), если вас не устраивают подобные службы: Ashampoo® AntiSpy for Windows 10 Теперь же одна из довольно известных компаний Ashampoo выпустила свою утилиту AntiSpy для Windows 10, которой, как мне кажется, можно доверять, не боясь что-либо испортить. https://www.ashampoo.com/en/us... Windows-10 Программа не требует установки, и сразу после запуска вы получите доступ к включению и отключению всех имеющихся функций отслеживания пользователя в Windows 10. К сожалению для нашего пользователя, программа на английском языке. Но и в данном случае вы можете ее легко использовать: просто выберите в разделе Action пункт Use recommended settings, чтобы разом применить рекомендованные настройки безопасности личных данных. 0

@bormotolog 2408 / 608 / 50 Регистрация: 17.03.2013 Сообщений: 2,212
	09.05.2017, 18:02	5
	Сообщение от Сидорович Как создавать правила файрвола, учитывая, что 'xxxxx' периодически меняется? на машине с самой 10-й "создавать правила файрвола" для системных процессов - бесполезное занятие. Можете разминки ради позапрещать всё что нашли, а потом глянуть на шлюзе соединения с этой машины. Если для стационара с проводным соединением ещё есть варианты блокировки на шлюзе, то для ноутов и это не выход - винда присосётся к первой же открытой точке доступа и снова здрасти. 1

@Сидорович 129 / 31 / 3 Регистрация: 03.08.2010 Сообщений: 630
	09.05.2017, 18:34 [ТС]	6
	Сообщение от bormotolog на машине с самой 10-й "создавать правила файрвола" для системных процессов - бесполезное занятие. Запрещал доступ для Центра обновления (wuasrv) - обновления не качались. Добавлено через 1 минуту Сообщение от bormotolog Если для стационара с проводным соединением ещё есть варианты блокировки на шлюзе, то для ноутов и это не выход - винда присосётся к первой же открытой точке доступа и снова здрасти. Отрубить в диспетчере устройств wi-fi адаптер? Добавлено через 2 минуты Сообщение от lojcin Ashampoo® AntiSpy for Windows 10 Да я не боюсь слежки, мне просто нужно иметь возможность при необходимости заблочить ту или иную службу. PS: но для интереса прогу скачаю на досуге. 0

@Сидорович 129 / 31 / 3 Регистрация: 03.08.2010 Сообщений: 630
	21.12.2017, 09:00 [ТС]	7
	Код sc query type=service Имя_службы: CDPUserSvc_1aadf6b Имя_службы: OneSyncSvc_1aadf6b Имя_службы: PimIndexMaintenanceSvc_1aadf6b Имя_службы: UnistoreSvc_1aadf6b Имя_службы: UserDataSvc_1aadf6b Имя_службы: WpnUserService_1aadf6b Тут 2 странности: 1. Шестнадцатеричный суффикс вида _[0-9a-f]+ периодически меняется (но реже, чем каждая перезагрузка системы). 2. Все они имеют нормальные бессуффиксные аналоги: CDPUserSvc, OneSyncSvc, PimIndexMaintenanceSvc, UnistoreSvc, UserDataSvc, WpnUserService Такое появилось вроде с 1703 апдейтом и доставляет некоторые неудобства. Вопрос: что это за службы с суффиксами; чем они отличаются от своих бессуффиксных аналогов; можно ли вернуть "как было" - настроить Windows так, чтобы она не создавала подобных служб? 0

@RockInHeart 253 / 254 / 36 Регистрация: 14.08.2012 Сообщений: 1,274
	21.12.2017, 11:57	9
	Вот что пишут на форуме майков: (если уже видели эту тему то извиняюсь за повтор инфы), HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CDPUserSvc I changed the "Start" value data from "2" (Automatic) to "4" (Disabled). Restarted and now it is disabled. The only thing is that the number at the end is now different (CDPUserSvc_35375), but at least it is disabled now. Good information. Thanks. If you stop the service before editing the Registry, you don't actually have to restart the computer to realize the change. All you have to do it refresh the list of Services. When you restart the computer, Windows changes the suffixes on all of the related services (svchost.exe -k UnistackSvcGroup). I have 7 different services that all have the same suffix. When I disabled the CDPUserSvc (and also the Contact Data service, because I don't use Windows Contacts), the suffix on all 7 of them was _7e9782. After restarting, all 7 of them now have the suffix _40a6a. CDPUserSvc_40a6a (CDPUserSvc_40a6a) Contact Data_40a6a (PimIndexMaintenanceSvc_40a6a) MessagingService_40a6a (MessagingService_40a6a) Sync Host_40a6a (OneSyncSvc_40a6a) User Data Access_40a6a (UserDataSvc_40a6a) User Data Storage_40a6a (UnistoreSvc_40a6a) Windows Push Notifications User Service_40a6a (WpnUserService_40a6a) I'm not sure what purpose the changing suffix serves, other than to prevent any apps from being able to programmatically modify the services - at least not easily anyway. But if that were the case, they would do that with all of Microsoft's services. So far I have not seen any ill effects from disabling the first two in that list, but we'll see if that continues. Добавлю еще это : https://social.technet.microso... progeneral если уважаемая gecata, разрешит. 0

@persen27 6512 / 3569 / 465 Регистрация: 28.06.2013 Сообщений: 11,094
	21.12.2017, 15:17	10
	Сообщение от Сидорович Имя_службы: CDPUserSvc Отключаю на всех 10-ках без каких-либо последствий,т.к.вычитал что она получает доступ к пользовательским данным и ведёт обмен информацией в зашифрованном виде с серверами Microsoft. Что это за информация выяснить не удалось, но возможно, это персональные данные пользователя Windows. Кликните здесь для просмотра всего текста Команды удаления пишем в консоль Windows. Запустить её необходимо от имени администратора, иначе попытка удаления приведёт к ошибке «Отказано в доступе».Вводим команды отключения и удаления. Кроме самой службы CDPUserSvc так же приходится отключать связанные с ней процессы, иначе после перезагрузки можем получить синий экран. Операционная система при этом запустит восстановление и ничего не удалится.После каждой команды Энтер. sc delete DiagTrack sc delete dmwappushservice sc delete WerSvc sc delete CDPUserSvc sc delete CDPUserSvc_ххххх sc delete OneSyncSvc sc delete OneSyncSvc_ххххх sc delete MessagingService_ххххх Перезагрузите компьютер, после чего в редакторе реестра найдите ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services и удалите в ней следующие ключи: PimIndexMaintenanceSvc PimIndexMaintenanceSvc_xxxxx UserDataSvc UserDataSvc_xxxxx UnistoreSvc UnistoreSvc_xxxxx Так-же вычитал с какими службами взаимодействует CDPUserSvc: OneSyncSvc — синхронизирует почту, контакты, календарь и другие пользовательские данные. PimIndexMaintenanceSvc — индексирует поиск по контактам на мобильных устройствах. UnistoreSvc — отвечает за хранение пользовательских данных, таких как контакты, календари, сообщения. UserDataSvc — предоставляет приложениям доступ к структурированным данным пользователя. Другими словами, Connected Devices Platform User Service имеет доступ к любым пользовательским данным, обменивается какой-то информацией с серверами и никак не влияет на работу операционной системы и приложений. 2

	21.12.2017, 17:59

Опции темы

Службы с непонятными названиями

Решение