關於頑固進程scclient.exe、scguardc.exe、sccltui.exe和系統服務scclient、scguardc

  今天一位網友在用QQ電腦管家優化系統啓動項時,發現兩個奇怪的服務項:html

 

  右擊選擇「打開所在目錄」,打開的倒是c:\。禁用不了。ios

  打開任務管理器:npm

 

  又發現scclient.exe、scguardc.exe、sccltui.exe三個陌生的進程,沒法終止。安全

  在網上搜索信息,有說是惡意程序,因而請我幫忙處理。網絡

  用pe_xscan掃描log,對應的項目以下:ide

 

pe_xscan 11-03-17 by Purple Endurer
2012-2-11 16:22:58
Windows XP Service Pack 3(5.1.2600)
MSIE:8.0.6001.18702
管理員用戶組
正常模式
優化

C:\WINDOWS\system32\Pclient\scclient.exe * 2044
C:\WINDOWS\system32\Pclient\scguardc.exe * 484
C:\WINDOWS\system32\Pclient\sccltui.exe * 2516
網站

O23 - 服務: scclient (scclient) - C:\WINDOWS\system32\Pclient\scclient.exe(自動)
O23 - 服務: scguardc (scguardc) - C:\WINDOWS\system32\Pclient\scguardc.exe(自動)
ui

  因爲朋友的電腦裏裝有瑞星2012殺毒軟件,因此是病毒的可能性不大。想把這3個文件上傳到多殺毒引擎網站上進行掃描,不實找不到C:\WINDOWS\system32\Pclient這個文件夾!也3個文件天然也找不到了。spa

下載 DrWeb CureIt!進行掃描,結果以下:

C:\WINDOWS\system32\Pclient\AMTClientDll.dll - 肯定
C:\WINDOWS\system32\Pclient\ats.xml - 肯定
C:\WINDOWS\system32\Pclient\blLog.dll - 肯定
C:\WINDOWS\system32\Pclient\Block.exe - 肯定
C:\WINDOWS\system32\Pclient\blUI.dll - 肯定
C:\WINDOWS\system32\Pclient\ClientScript.xml - 肯定
C:\WINDOWS\system32\Pclient\data.xml - 肯定
C:\WINDOWS\system32\Pclient\DevHelper.dll - 肯定
C:\WINDOWS\system32\Pclient\devmgr.dll - 肯定
C:\WINDOWS\system32\Pclient\ftdump.xml - 肯定
C:\WINDOWS\system32\Pclient\init.xml - 肯定
C:\WINDOWS\system32\Pclient\INSTALL.LOG - 肯定
C:\WINDOWS\system32\Pclient\iobios.dll - 肯定
C:\WINDOWS\system32\Pclient\iobios125.dll - 肯定
C:\WINDOWS\system32\Pclient\IpMdll.dll - 肯定
C:\WINDOWS\system32\Pclient\krnlmgr.dll - 肯定
C:\WINDOWS\system32\Pclient\lps.xml - 肯定
C:\WINDOWS\system32\Pclient\lpst.xml - 肯定
C:\WINDOWS\system32\Pclient\mid.xml - 肯定
C:\WINDOWS\system32\Pclient\msvcp80.dll - 肯定
C:\WINDOWS\system32\Pclient\msvcr80.dll - 肯定
C:\WINDOWS\system32\Pclient\nethelptools.dll - 肯定
C:\WINDOWS\system32\Pclient\netmgr.dll - 壓縮文件 BINARYRES
>C:\WINDOWS\system32\Pclient\netmgr.dll/data001 - 肯定
C:\WINDOWS\system32\Pclient\netmgr.dll - 肯定
C:\WINDOWS\system32\Pclient\pcit.exe - 肯定
C:\WINDOWS\system32\Pclient\pfmcomm.dll - 肯定
C:\WINDOWS\system32\Pclient\pfmscript.dll - 肯定
C:\WINDOWS\system32\Pclient\pfmtask.dll - 肯定
C:\WINDOWS\system32\Pclient\pfmtransmit.dll - 肯定
C:\WINDOWS\system32\Pclient\pnpmgr.dll - 肯定
C:\WINDOWS\system32\Pclient\pureres.dll - 肯定
C:\WINDOWS\system32\Pclient\safedisk.dll - 肯定
C:\WINDOWS\system32\Pclient\scclient.exe - 肯定
C:\WINDOWS\system32\Pclient\sccltui.exe - 肯定
C:\WINDOWS\system32\Pclient\scguardc.exe - 肯定
C:\WINDOWS\system32\Pclient\StatusStrings.dll - 肯定
C:\WINDOWS\system32\Pclient\Svctrl.exe - 肯定
C:\WINDOWS\system32\Pclient\TCMTddl.dll - 肯定
C:\WINDOWS\system32\Pclient\uninst.exe - 肯定
C:\WINDOWS\system32\Pclient\wm_hooks.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\Appmgr.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\AssetMgr.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\Baseinfo.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\BatchNet.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\cltmgr.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\CtrlBios.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\DeskMgr.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\DialMgr.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\EquipMgr.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\FluxMgr.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\IEConfig.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\iospc.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\Ipbind.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\IPMCLI.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\NetSetup.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\NetShare.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\offlinepolicy.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\Patchmgr.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\pfmdata.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\pfmtimer.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\Proclist.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\prtmgm.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\Registry.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\rmtast.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\RunProc.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\saveret.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\SetCpName.dll 已感染:  BackDoor.Infum.origin
C:\WINDOWS\system32\Pclient\modules\setuputl.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\SoftManage.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\SysAdmin.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\SysSafe.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\tranfile.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\vaa.dll - 肯定
C:\WINDOWS\system32\Pclient\modules\WebSite.dll - 肯定
C:\WINDOWS\system32\Pclient\uimodules\AdminDialog.dll - 肯定
C:\WINDOWS\system32\Pclient\uimodules\PatchUI.dll - 肯定
C:\WINDOWS\system32\Pclient\uimodules\safetray.dll - 肯定
C:\WINDOWS\system32\Pclient\uimodules\SendMessage.dll - 肯定
C:\WINDOWS\system32\Pclient\uimodules\ShutDown.dll - 肯定

將 DrWeb CureIt!隔離出來的文件:


文件說明符 : C:\Documents and Settings\hcny1\DoctorWeb\Quarantine\SetCpName.dll
屬性 : A---
數字簽名:Shenyang GeneralSoft Co., Ltd
PE文件:是
獲取文件版本信息大小失敗!
建立時間 : 2012-2-11 14:11:52
修改時間 : 2012-2-11 14:11:52
大小 : 144824 字節 141.440 KB
MD5 : cd8637b5046f5b9d60304ade56c5af47
SHA1: 89548945F0B6381F995F2E9D4450A546D25F1ED4
CRC32: 9e584c8e

 

  上傳到http://www.virscan.org/結果爲:

掃描結果
掃描結果 :   3%的殺軟(1/36)報告發現病毒
時間 :   2012/02/11 15:55:11 (CST)
軟件名稱 引擎版本 病毒庫版本 病毒庫時間 掃描結果 時間
a-squared 5.1.0.4 20120210201806 2012-02-10
-
0.406
AntiVir 8.2.8.44 7.11.21.199 2012-01-27
-
0.232
Arcavir 2011 201202091446 2012-02-09
-
4.318
Authentium 5.1.1 201202100920 2012-02-10
-
1.513
AVAST! 4.7.4 120210-1 2012-02-10
-
0.265
AVG 10.0.1405 2090/4802 2012-02-10
-
0.281
BitDefender 7.90123.7834518 7.40959 2012-02-11
-
3.947
ClamAV 0.97.3 14430 2012-02-11
-
0.208
Comodo 5.1 11485 2012-02-11
-
2.296
CP Secure 1.3.0.5 2012.02.11 2012-02-11
-
0.257
Dr.Web 7.0.0.11250 2012.02.10 2012-02-10 12.045
F-Prot 4.6.2.117 20120209 2012-02-09
-
0.927
F-Secure 7.02.73807 2012.02.07.03 2012-02-07
-
0.219
GData 22.3838 20120211 2012-02-11
-
7.696
Ikarus T3.1.32.20.0 2012.02.10.80457 2012-02-10
-
5.146
Microsoft 1.8001 2012.02.11 2012-02-11
-
0.155
NOD32 3.0.21 6841 2012-01-30
-
0.164
nProtect 20120210.01 11789984 2012-02-10
-
1.230
Quick Heal 11.00 2012.02.10 2012-02-10
-
1.059
Sophos 3.28.1 4.74 2012-02-11
-
4.649
Sunbelt 3.9.2527.2 11528 2012-02-10
-
1.316
The Hacker 6.7.0.1 v00388 2012-01-27
-
0.608
VBA32 3.12.16.4 20120210.1015 2012-02-10
-
3.519
ViRobot 20120210 2012.02.10 2012-02-10
-
0.379
VirusBuster 5.4.1.7 14.1.211.0/7775937 2012-02-10
-
0.275
卡巴斯基 5.5.10 2012.02.08 2012-02-08
-
0.375
安博士V3 2012.02.11.00 2012.02.11 2012-02-11
-
4.793
安天 2.0.18 20120126.15937943 2012-01-26
-
0.574
江民殺毒 13.0.900 2012.01.31 2012-01-31
-
2.316
熊貓衛士 9.05.01 2012.02.10 2012-02-10
-
2.402
瑞星 20.0 23.96.04.02 2012-02-10
-
2.773
賽門鐵克 1.3.0.24 20120210.003 2012-02-10
-
0.496
趨勢科技 9.500-1005 8.769.00 2012-02-10
-
0.194
邁克菲 5400.1158 6616 2012-02-10
-
10.129
金山毒霸 2009.2.5.15 2012.2.10.18 2012-02-10
-
1.040
飛塔 4.3.388 15.195 2012-02-10
-
0.582

 

http://r.virscan.org/report/4152da19721034730a6fe993d9012821.html

  只有Dr.Web一家報。應該是誤報。

 

  從網上的資料看,都是在聯想電腦上發現這3個東東,而朋友的這臺電腦也是配有正版Windows系統的聯想電腦。因而懷疑這個東東是聯想電腦預置的軟件。

  從網友TOM2000瞭解到的狀況以下:

  這是聯想的一個遠程管理軟件,可是不屬於聯想公司,是聯想外包軟件之一,由瀋陽一個什麼網絡公司維護的,主要用於對企業內部計算機範圍管理,不過類型很像流氓軟件。
  若是不須要,能夠這樣刪除:首先啓用administrator,自定義密碼,安全命令模式下(快速)改名pclient便可,即rename pclient pclient1,再啓動後便可刪除了。服務也能夠更改。

  固然,用win PE系統啓動應該也可搞定。

相關文章
相關標籤/搜索