今天一位網友在用QQ電腦管家優化系統啓動項時,發現兩個奇怪的服務項:html
右擊選擇「打開所在目錄」,打開的倒是c:\。禁用不了。ios
打開任務管理器:npm
又發現scclient.exe、scguardc.exe、sccltui.exe三個陌生的進程,沒法終止。安全
在網上搜索信息,有說是惡意程序,因而請我幫忙處理。網絡
用pe_xscan掃描log,對應的項目以下:ide
pe_xscan 11-03-17 by Purple Endurer
2012-2-11 16:22:58
Windows XP Service Pack 3(5.1.2600)
MSIE:8.0.6001.18702
管理員用戶組
正常模式優化
C:\WINDOWS\system32\Pclient\scclient.exe * 2044
C:\WINDOWS\system32\Pclient\scguardc.exe * 484
C:\WINDOWS\system32\Pclient\sccltui.exe * 2516網站
O23 - 服務: scclient (scclient) - C:\WINDOWS\system32\Pclient\scclient.exe(自動)
O23 - 服務: scguardc (scguardc) - C:\WINDOWS\system32\Pclient\scguardc.exe(自動)ui
因爲朋友的電腦裏裝有瑞星2012殺毒軟件,因此是病毒的可能性不大。想把這3個文件上傳到多殺毒引擎網站上進行掃描,不實找不到C:\WINDOWS\system32\Pclient這個文件夾!也3個文件天然也找不到了。spa
下載 DrWeb CureIt!進行掃描,結果以下:
C:\WINDOWS\system32\Pclient\AMTClientDll.dll - 肯定
C:\WINDOWS\system32\Pclient\ats.xml - 肯定
C:\WINDOWS\system32\Pclient\blLog.dll - 肯定
C:\WINDOWS\system32\Pclient\Block.exe - 肯定
C:\WINDOWS\system32\Pclient\blUI.dll - 肯定
C:\WINDOWS\system32\Pclient\ClientScript.xml - 肯定
C:\WINDOWS\system32\Pclient\data.xml - 肯定
C:\WINDOWS\system32\Pclient\DevHelper.dll - 肯定
C:\WINDOWS\system32\Pclient\devmgr.dll - 肯定
C:\WINDOWS\system32\Pclient\ftdump.xml - 肯定
C:\WINDOWS\system32\Pclient\init.xml - 肯定
C:\WINDOWS\system32\Pclient\INSTALL.LOG - 肯定
C:\WINDOWS\system32\Pclient\iobios.dll - 肯定
C:\WINDOWS\system32\Pclient\iobios125.dll - 肯定
C:\WINDOWS\system32\Pclient\IpMdll.dll - 肯定
C:\WINDOWS\system32\Pclient\krnlmgr.dll - 肯定
C:\WINDOWS\system32\Pclient\lps.xml - 肯定
C:\WINDOWS\system32\Pclient\lpst.xml - 肯定
C:\WINDOWS\system32\Pclient\mid.xml - 肯定
C:\WINDOWS\system32\Pclient\msvcp80.dll - 肯定
C:\WINDOWS\system32\Pclient\msvcr80.dll - 肯定
C:\WINDOWS\system32\Pclient\nethelptools.dll - 肯定
C:\WINDOWS\system32\Pclient\netmgr.dll - 壓縮文件 BINARYRES
>C:\WINDOWS\system32\Pclient\netmgr.dll/data001 - 肯定
C:\WINDOWS\system32\Pclient\netmgr.dll - 肯定
C:\WINDOWS\system32\Pclient\pcit.exe - 肯定
C:\WINDOWS\system32\Pclient\pfmcomm.dll - 肯定
C:\WINDOWS\system32\Pclient\pfmscript.dll - 肯定
C:\WINDOWS\system32\Pclient\pfmtask.dll - 肯定
C:\WINDOWS\system32\Pclient\pfmtransmit.dll - 肯定
C:\WINDOWS\system32\Pclient\pnpmgr.dll - 肯定
C:\WINDOWS\system32\Pclient\pureres.dll - 肯定
C:\WINDOWS\system32\Pclient\safedisk.dll - 肯定
C:\WINDOWS\system32\Pclient\scclient.exe - 肯定
C:\WINDOWS\system32\Pclient\sccltui.exe - 肯定
C:\WINDOWS\system32\Pclient\scguardc.exe - 肯定
C:\WINDOWS\system32\Pclient\StatusStrings.dll - 肯定
C:\WINDOWS\system32\Pclient\Svctrl.exe - 肯定
C:\WINDOWS\system32\Pclient\TCMTddl.dll - 肯定
C:\WINDOWS\system32\Pclient\uninst.exe - 肯定
C:\WINDOWS\system32\Pclient\wm_hooks.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\Appmgr.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\AssetMgr.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\Baseinfo.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\BatchNet.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\cltmgr.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\CtrlBios.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\DeskMgr.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\DialMgr.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\EquipMgr.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\FluxMgr.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\IEConfig.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\iospc.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\Ipbind.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\IPMCLI.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\NetSetup.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\NetShare.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\offlinepolicy.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\Patchmgr.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\pfmdata.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\pfmtimer.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\Proclist.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\prtmgm.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\Registry.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\rmtast.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\RunProc.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\saveret.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\SetCpName.dll 已感染: BackDoor.Infum.origin
C:\WINDOWS\system32\Pclient\modules\setuputl.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\SoftManage.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\SysAdmin.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\SysSafe.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\tranfile.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\vaa.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\WebSite.dll - 肯定
C:\WINDOWS\system32\Pclient\uimodules\AdminDialog.dll - 肯定
C:\WINDOWS\system32\Pclient\uimodules\PatchUI.dll - 肯定
C:\WINDOWS\system32\Pclient\uimodules\safetray.dll - 肯定
C:\WINDOWS\system32\Pclient\uimodules\SendMessage.dll - 肯定
C:\WINDOWS\system32\Pclient\uimodules\ShutDown.dll - 肯定
將 DrWeb CureIt!隔離出來的文件:
文件說明符 : C:\Documents and Settings\hcny1\DoctorWeb\Quarantine\SetCpName.dll
屬性 : A---
數字簽名:Shenyang GeneralSoft Co., Ltd
PE文件:是
獲取文件版本信息大小失敗!
建立時間 : 2012-2-11 14:11:52
修改時間 : 2012-2-11 14:11:52
大小 : 144824 字節 141.440 KB
MD5 : cd8637b5046f5b9d60304ade56c5af47
SHA1: 89548945F0B6381F995F2E9D4450A546D25F1ED4
CRC32: 9e584c8e
上傳到http://www.virscan.org/結果爲:
掃描結果 : | 3%的殺軟(1/36)報告發現病毒 |
時間 : | 2012/02/11 15:55:11 (CST) |
軟件名稱 | 引擎版本 | 病毒庫版本 | 病毒庫時間 | 掃描結果 | 時間 |
---|---|---|---|---|---|
a-squared | 5.1.0.4 | 20120210201806 | 2012-02-10 |
-
|
0.406 |
AntiVir | 8.2.8.44 | 7.11.21.199 | 2012-01-27 |
-
|
0.232 |
Arcavir | 2011 | 201202091446 | 2012-02-09 |
-
|
4.318 |
Authentium | 5.1.1 | 201202100920 | 2012-02-10 |
-
|
1.513 |
AVAST! | 4.7.4 | 120210-1 | 2012-02-10 |
-
|
0.265 |
AVG | 10.0.1405 | 2090/4802 | 2012-02-10 |
-
|
0.281 |
BitDefender | 7.90123.7834518 | 7.40959 | 2012-02-11 |
-
|
3.947 |
ClamAV | 0.97.3 | 14430 | 2012-02-11 |
-
|
0.208 |
Comodo | 5.1 | 11485 | 2012-02-11 |
-
|
2.296 |
CP Secure | 1.3.0.5 | 2012.02.11 | 2012-02-11 |
-
|
0.257 |
Dr.Web | 7.0.0.11250 | 2012.02.10 | 2012-02-10 | 12.045 | |
F-Prot | 4.6.2.117 | 20120209 | 2012-02-09 |
-
|
0.927 |
F-Secure | 7.02.73807 | 2012.02.07.03 | 2012-02-07 |
-
|
0.219 |
GData | 22.3838 | 20120211 | 2012-02-11 |
-
|
7.696 |
Ikarus | T3.1.32.20.0 | 2012.02.10.80457 | 2012-02-10 |
-
|
5.146 |
Microsoft | 1.8001 | 2012.02.11 | 2012-02-11 |
-
|
0.155 |
NOD32 | 3.0.21 | 6841 | 2012-01-30 |
-
|
0.164 |
nProtect | 20120210.01 | 11789984 | 2012-02-10 |
-
|
1.230 |
Quick Heal | 11.00 | 2012.02.10 | 2012-02-10 |
-
|
1.059 |
Sophos | 3.28.1 | 4.74 | 2012-02-11 |
-
|
4.649 |
Sunbelt | 3.9.2527.2 | 11528 | 2012-02-10 |
-
|
1.316 |
The Hacker | 6.7.0.1 | v00388 | 2012-01-27 |
-
|
0.608 |
VBA32 | 3.12.16.4 | 20120210.1015 | 2012-02-10 |
-
|
3.519 |
ViRobot | 20120210 | 2012.02.10 | 2012-02-10 |
-
|
0.379 |
VirusBuster | 5.4.1.7 | 14.1.211.0/7775937 | 2012-02-10 |
-
|
0.275 |
卡巴斯基 | 5.5.10 | 2012.02.08 | 2012-02-08 |
-
|
0.375 |
安博士V3 | 2012.02.11.00 | 2012.02.11 | 2012-02-11 |
-
|
4.793 |
安天 | 2.0.18 | 20120126.15937943 | 2012-01-26 |
-
|
0.574 |
江民殺毒 | 13.0.900 | 2012.01.31 | 2012-01-31 |
-
|
2.316 |
熊貓衛士 | 9.05.01 | 2012.02.10 | 2012-02-10 |
-
|
2.402 |
瑞星 | 20.0 | 23.96.04.02 | 2012-02-10 |
-
|
2.773 |
賽門鐵克 | 1.3.0.24 | 20120210.003 | 2012-02-10 |
-
|
0.496 |
趨勢科技 | 9.500-1005 | 8.769.00 | 2012-02-10 |
-
|
0.194 |
邁克菲 | 5400.1158 | 6616 | 2012-02-10 |
-
|
10.129 |
金山毒霸 | 2009.2.5.15 | 2012.2.10.18 | 2012-02-10 |
-
|
1.040 |
飛塔 | 4.3.388 | 15.195 | 2012-02-10 |
-
|
0.582 |
( http://r.virscan.org/report/4152da19721034730a6fe993d9012821.html )
只有Dr.Web一家報。應該是誤報。
從網上的資料看,都是在聯想電腦上發現這3個東東,而朋友的這臺電腦也是配有正版Windows系統的聯想電腦。因而懷疑這個東東是聯想電腦預置的軟件。
從網友TOM2000瞭解到的狀況以下:
這是聯想的一個遠程管理軟件,可是不屬於聯想公司,是聯想外包軟件之一,由瀋陽一個什麼網絡公司維護的,主要用於對企業內部計算機範圍管理,不過類型很像流氓軟件。
若是不須要,能夠這樣刪除:首先啓用administrator,自定義密碼,安全命令模式下(快速)改名pclient便可,即rename pclient pclient1,再啓動後便可刪除了。服務也能夠更改。
固然,用win PE系統啓動應該也可搞定。