關於頑固進程scclient.exe、scguardc.exe、sccltui.exe和系統服務scclient、scguardc

時間 2020-02-04

標籤關於頑固進程 scclient.exe scclient exe scguardc.exe scguardc sccltui.exe sccltui 系統服務简体版

原文原文鏈接

　　今天一位網友在用QQ電腦管家優化系統啓動項時，發現兩個奇怪的服務項：html

　　右擊選擇「打開所在目錄」，打開的倒是c:\。禁用不了。ios

　　打開任務管理器：npm

　　又發現scclient.exe、scguardc.exe、sccltui.exe三個陌生的進程，沒法終止。安全

　　在網上搜索信息，有說是惡意程序，因而請我幫忙處理。網絡

　　用pe_xscan掃描log，對應的項目以下：ide

pe_xscan 11-03-17 by Purple Endurer
2012-2-11 16:22:58
Windows XP Service Pack 3(5.1.2600)
MSIE:8.0.6001.18702
管理員用戶組
正常模式優化

C:\WINDOWS\system32\Pclient\scclient.exe * 2044
C:\WINDOWS\system32\Pclient\scguardc.exe * 484
C:\WINDOWS\system32\Pclient\sccltui.exe * 2516網站

O23 - 服務: scclient (scclient) - C:\WINDOWS\system32\Pclient\scclient.exe(自動)
O23 - 服務: scguardc (scguardc) - C:\WINDOWS\system32\Pclient\scguardc.exe(自動)ui

　　因爲朋友的電腦裏裝有瑞星2012殺毒軟件，因此是病毒的可能性不大。想把這3個文件上傳到多殺毒引擎網站上進行掃描，不實找不到C:\WINDOWS\system32\Pclient這個文件夾！也3個文件天然也找不到了。spa

下載 DrWeb CureIt!進行掃描，結果以下：

C:\WINDOWS\system32\Pclient\AMTClientDll.dll - 肯定
C:\WINDOWS\system32\Pclient\ats.xml - 肯定
C:\WINDOWS\system32\Pclient\blLog.dll - 肯定
C:\WINDOWS\system32\Pclient\Block.exe - 肯定
C:\WINDOWS\system32\Pclient\blUI.dll - 肯定
C:\WINDOWS\system32\Pclient\ClientScript.xml - 肯定
C:\WINDOWS\system32\Pclient\data.xml - 肯定
C:\WINDOWS\system32\Pclient\DevHelper.dll - 肯定
C:\WINDOWS\system32\Pclient\devmgr.dll - 肯定
C:\WINDOWS\system32\Pclient\ftdump.xml - 肯定
C:\WINDOWS\system32\Pclient\init.xml - 肯定
C:\WINDOWS\system32\Pclient\INSTALL.LOG - 肯定
C:\WINDOWS\system32\Pclient\iobios.dll - 肯定
C:\WINDOWS\system32\Pclient\iobios125.dll - 肯定
C:\WINDOWS\system32\Pclient\IpMdll.dll - 肯定
C:\WINDOWS\system32\Pclient\krnlmgr.dll - 肯定
C:\WINDOWS\system32\Pclient\lps.xml - 肯定
C:\WINDOWS\system32\Pclient\lpst.xml - 肯定
C:\WINDOWS\system32\Pclient\mid.xml - 肯定
C:\WINDOWS\system32\Pclient\msvcp80.dll - 肯定
C:\WINDOWS\system32\Pclient\msvcr80.dll - 肯定
C:\WINDOWS\system32\Pclient\nethelptools.dll - 肯定
C:\WINDOWS\system32\Pclient\netmgr.dll - 壓縮文件 BINARYRES
>C:\WINDOWS\system32\Pclient\netmgr.dll/data001 - 肯定
C:\WINDOWS\system32\Pclient\netmgr.dll - 肯定
C:\WINDOWS\system32\Pclient\pcit.exe - 肯定
C:\WINDOWS\system32\Pclient\pfmcomm.dll - 肯定
C:\WINDOWS\system32\Pclient\pfmscript.dll - 肯定
C:\WINDOWS\system32\Pclient\pfmtask.dll - 肯定
C:\WINDOWS\system32\Pclient\pfmtransmit.dll - 肯定
C:\WINDOWS\system32\Pclient\pnpmgr.dll - 肯定
C:\WINDOWS\system32\Pclient\pureres.dll - 肯定
C:\WINDOWS\system32\Pclient\safedisk.dll - 肯定
C:\WINDOWS\system32\Pclient\scclient.exe - 肯定
C:\WINDOWS\system32\Pclient\sccltui.exe - 肯定
C:\WINDOWS\system32\Pclient\scguardc.exe - 肯定
C:\WINDOWS\system32\Pclient\StatusStrings.dll - 肯定
C:\WINDOWS\system32\Pclient\Svctrl.exe - 肯定
C:\WINDOWS\system32\Pclient\TCMTddl.dll - 肯定
C:\WINDOWS\system32\Pclient\uninst.exe - 肯定
C:\WINDOWS\system32\Pclient\wm_hooks.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\Appmgr.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\AssetMgr.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\Baseinfo.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\BatchNet.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\cltmgr.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\CtrlBios.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\DeskMgr.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\DialMgr.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\EquipMgr.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\FluxMgr.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\IEConfig.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\iospc.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\Ipbind.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\IPMCLI.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\NetSetup.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\NetShare.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\offlinepolicy.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\Patchmgr.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\pfmdata.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\pfmtimer.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\Proclist.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\prtmgm.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\Registry.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\rmtast.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\RunProc.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\saveret.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\SetCpName.dll 已感染： BackDoor.Infum.origin
C:\WINDOWS\system32\Pclient\modules\setuputl.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\SoftManage.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\SysAdmin.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\SysSafe.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\tranfile.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\vaa.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\WebSite.dll - 肯定
C:\WINDOWS\system32\Pclient\uimodules\AdminDialog.dll - 肯定
C:\WINDOWS\system32\Pclient\uimodules\PatchUI.dll - 肯定
C:\WINDOWS\system32\Pclient\uimodules\safetray.dll - 肯定
C:\WINDOWS\system32\Pclient\uimodules\SendMessage.dll - 肯定
C:\WINDOWS\system32\Pclient\uimodules\ShutDown.dll - 肯定

將 DrWeb CureIt!隔離出來的文件：

文件說明符 : C:\Documents and Settings\hcny1\DoctorWeb\Quarantine\SetCpName.dll
屬性 : A---
數字簽名:Shenyang GeneralSoft Co., Ltd
PE文件:是
獲取文件版本信息大小失敗!
建立時間 : 2012-2-11 14:11:52
修改時間 : 2012-2-11 14:11:52
大小 : 144824 字節 141.440 KB
MD5 : cd8637b5046f5b9d60304ade56c5af47
SHA1: 89548945F0B6381F995F2E9D4450A546D25F1ED4
CRC32: 9e584c8e

　　上傳到http://www.virscan.org/結果爲：

掃描結果

掃描結果 :	3%的殺軟(1/36)報告發現病毒
時間 :	2012/02/11 15:55:11 (CST)

軟件名稱	引擎版本	病毒庫版本	病毒庫時間	掃描結果	時間
a-squared	5.1.0.4	20120210201806	2012-02-10	-	0.406
AntiVir	8.2.8.44	7.11.21.199	2012-01-27	-	0.232
Arcavir	2011	201202091446	2012-02-09	-	4.318
Authentium	5.1.1	201202100920	2012-02-10	-	1.513
AVAST!	4.7.4	120210-1	2012-02-10	-	0.265
AVG	10.0.1405	2090/4802	2012-02-10	-	0.281
BitDefender	7.90123.7834518	7.40959	2012-02-11	-	3.947
ClamAV	0.97.3	14430	2012-02-11	-	0.208
Comodo	5.1	11485	2012-02-11	-	2.296
CP Secure	1.3.0.5	2012.02.11	2012-02-11	-	0.257
Dr.Web	7.0.0.11250	2012.02.10	2012-02-10	BackDoor.Infum.origin	12.045
F-Prot	4.6.2.117	20120209	2012-02-09	-	0.927
F-Secure	7.02.73807	2012.02.07.03	2012-02-07	-	0.219
GData	22.3838	20120211	2012-02-11	-	7.696
Ikarus	T3.1.32.20.0	2012.02.10.80457	2012-02-10	-	5.146
Microsoft	1.8001	2012.02.11	2012-02-11	-	0.155
NOD32	3.0.21	6841	2012-01-30	-	0.164
nProtect	20120210.01	11789984	2012-02-10	-	1.230
Quick Heal	11.00	2012.02.10	2012-02-10	-	1.059
Sophos	3.28.1	4.74	2012-02-11	-	4.649
Sunbelt	3.9.2527.2	11528	2012-02-10	-	1.316
The Hacker	6.7.0.1	v00388	2012-01-27	-	0.608
VBA32	3.12.16.4	20120210.1015	2012-02-10	-	3.519
ViRobot	20120210	2012.02.10	2012-02-10	-	0.379
VirusBuster	5.4.1.7	14.1.211.0/7775937	2012-02-10	-	0.275
卡巴斯基	5.5.10	2012.02.08	2012-02-08	-	0.375
安博士V3	2012.02.11.00	2012.02.11	2012-02-11	-	4.793
安天	2.0.18	20120126.15937943	2012-01-26	-	0.574
江民殺毒	13.0.900	2012.01.31	2012-01-31	-	2.316
熊貓衛士	9.05.01	2012.02.10	2012-02-10	-	2.402
瑞星	20.0	23.96.04.02	2012-02-10	-	2.773
賽門鐵克	1.3.0.24	20120210.003	2012-02-10	-	0.496
趨勢科技	9.500-1005	8.769.00	2012-02-10	-	0.194
邁克菲	5400.1158	6616	2012-02-10	-	10.129
金山毒霸	2009.2.5.15	2012.2.10.18	2012-02-10	-	1.040
飛塔	4.3.388	15.195	2012-02-10	-	0.582

（ http://r.virscan.org/report/4152da19721034730a6fe993d9012821.html ）

　　只有Dr.Web一家報。應該是誤報。

　　從網上的資料看，都是在聯想電腦上發現這3個東東，而朋友的這臺電腦也是配有正版Windows系統的聯想電腦。因而懷疑這個東東是聯想電腦預置的軟件。

　　從網友TOM2000瞭解到的狀況以下：

　　這是聯想的一個遠程管理軟件，可是不屬於聯想公司，是聯想外包軟件之一，由瀋陽一個什麼網絡公司維護的，主要用於對企業內部計算機範圍管理，不過類型很像流氓軟件。
　　若是不須要，能夠這樣刪除：首先啓用administrator，自定義密碼，安全命令模式下(快速)改名pclient便可，即rename pclient pclient1，再啓動後便可刪除了。服務也能夠更改。

　　固然，用win PE系統啓動應該也可搞定。