0
点赞
收藏
分享

微信扫一扫

关于顽固进程scclient.exe、scguardc.exe、sccltui.exe和系统服务scclient、scguardc


  今天一位网友在用QQ电脑管家优化系统启动项时,发现两个奇怪的服务项:

关于顽固进程scclient.exe、scguardc.exe、sccltui.exe和系统服务scclient、scguardc_联想

  右击选择“打开所在目录”,打开的却是c:\。禁用不了。

  打开任务管理器:

关于顽固进程scclient.exe、scguardc.exe、sccltui.exe和系统服务scclient、scguardc_联想_02

  又发现scclient.exe、scguardc.exe、sccltui.exe三个陌生的进程,无法终止。

  在网上搜索信息,有说是恶意程序,于是请我帮忙处理。

  用pe_xscan扫描log,对应的项目如下:


pe_xscan 11-03-17 by Purple Endurer
2012-2-11 16:22:58
Windows XP Service Pack 3(5.1.2600)
MSIE:8.0.6001.18702
管理员用户组
正常模式

C:\WINDOWS\system32\Pclient\scclient.exe * 2044
C:\WINDOWS\system32\Pclient\scguardc.exe * 484
C:\WINDOWS\system32\Pclient\sccltui.exe * 2516

O23 - 服务: scclient (scclient) - C:\WINDOWS\system32\Pclient\scclient.exe(自动)
O23 - 服务: scguardc (scguardc) - C:\WINDOWS\system32\Pclient\scguardc.exe(自动)

  由于朋友的电脑里装有瑞星2012杀毒软件,所以是病毒的可能性不大。想把这3个文件上传到多杀毒引擎网站上进行扫描,不实找不到C:\WINDOWS\system32\Pclient这个文件夹!也3个文件自然也找不到了。

下载 DrWeb CureIt!进行扫描,结果如下:

C:\WINDOWS\system32\Pclient\AMTClientDll.dll - 确定
C:\WINDOWS\system32\Pclient\ats.xml - 确定
C:\WINDOWS\system32\Pclient\blLog.dll - 确定
C:\WINDOWS\system32\Pclient\Block.exe - 确定
C:\WINDOWS\system32\Pclient\blUI.dll - 确定
C:\WINDOWS\system32\Pclient\ClientScript.xml - 确定
C:\WINDOWS\system32\Pclient\data.xml - 确定
C:\WINDOWS\system32\Pclient\DevHelper.dll - 确定
C:\WINDOWS\system32\Pclient\devmgr.dll - 确定
C:\WINDOWS\system32\Pclient\ftdump.xml - 确定
C:\WINDOWS\system32\Pclient\init.xml - 确定
C:\WINDOWS\system32\Pclient\INSTALL.LOG - 确定
C:\WINDOWS\system32\Pclient\iobios.dll - 确定
C:\WINDOWS\system32\Pclient\iobios125.dll - 确定
C:\WINDOWS\system32\Pclient\IpMdll.dll - 确定
C:\WINDOWS\system32\Pclient\krnlmgr.dll - 确定
C:\WINDOWS\system32\Pclient\lps.xml - 确定
C:\WINDOWS\system32\Pclient\lpst.xml - 确定
C:\WINDOWS\system32\Pclient\mid.xml - 确定
C:\WINDOWS\system32\Pclient\msvcp80.dll - 确定
C:\WINDOWS\system32\Pclient\msvcr80.dll - 确定
C:\WINDOWS\system32\Pclient\nethelptools.dll - 确定
C:\WINDOWS\system32\Pclient\netmgr.dll - 压缩文件 BINARYRES
>C:\WINDOWS\system32\Pclient\netmgr.dll/data001 - 确定
C:\WINDOWS\system32\Pclient\netmgr.dll - 确定
C:\WINDOWS\system32\Pclient\pcit.exe - 确定
C:\WINDOWS\system32\Pclient\pfmcomm.dll - 确定
C:\WINDOWS\system32\Pclient\pfmscript.dll - 确定
C:\WINDOWS\system32\Pclient\pfmtask.dll - 确定
C:\WINDOWS\system32\Pclient\pfmtransmit.dll - 确定
C:\WINDOWS\system32\Pclient\pnpmgr.dll - 确定
C:\WINDOWS\system32\Pclient\pureres.dll - 确定
C:\WINDOWS\system32\Pclient\safedisk.dll - 确定
C:\WINDOWS\system32\Pclient\scclient.exe - 确定
C:\WINDOWS\system32\Pclient\sccltui.exe - 确定
C:\WINDOWS\system32\Pclient\scguardc.exe - 确定
C:\WINDOWS\system32\Pclient\StatusStrings.dll - 确定
C:\WINDOWS\system32\Pclient\Svctrl.exe - 确定
C:\WINDOWS\system32\Pclient\TCMTddl.dll - 确定
C:\WINDOWS\system32\Pclient\uninst.exe - 确定
C:\WINDOWS\system32\Pclient\wm_hooks.dll - 确定
C:\WINDOWS\system32\Pclient\modules\Appmgr.dll - 确定
C:\WINDOWS\system32\Pclient\modules\AssetMgr.dll - 确定
C:\WINDOWS\system32\Pclient\modules\Baseinfo.dll - 确定
C:\WINDOWS\system32\Pclient\modules\BatchNet.dll - 确定
C:\WINDOWS\system32\Pclient\modules\cltmgr.dll - 确定
C:\WINDOWS\system32\Pclient\modules\CtrlBios.dll - 确定
C:\WINDOWS\system32\Pclient\modules\DeskMgr.dll - 确定
C:\WINDOWS\system32\Pclient\modules\DialMgr.dll - 确定
C:\WINDOWS\system32\Pclient\modules\EquipMgr.dll - 确定
C:\WINDOWS\system32\Pclient\modules\FluxMgr.dll - 确定
C:\WINDOWS\system32\Pclient\modules\IEConfig.dll - 确定
C:\WINDOWS\system32\Pclient\modules\iospc.dll - 确定
C:\WINDOWS\system32\Pclient\modules\Ipbind.dll - 确定
C:\WINDOWS\system32\Pclient\modules\IPMCLI.dll - 确定
C:\WINDOWS\system32\Pclient\modules\NetSetup.dll - 确定
C:\WINDOWS\system32\Pclient\modules\NetShare.dll - 确定
C:\WINDOWS\system32\Pclient\modules\offlinepolicy.dll - 确定
C:\WINDOWS\system32\Pclient\modules\Patchmgr.dll - 确定
C:\WINDOWS\system32\Pclient\modules\pfmdata.dll - 确定
C:\WINDOWS\system32\Pclient\modules\pfmtimer.dll - 确定
C:\WINDOWS\system32\Pclient\modules\Proclist.dll - 确定
C:\WINDOWS\system32\Pclient\modules\prtmgm.dll - 确定
C:\WINDOWS\system32\Pclient\modules\Registry.dll - 确定
C:\WINDOWS\system32\Pclient\modules\rmtast.dll - 确定
C:\WINDOWS\system32\Pclient\modules\RunProc.dll - 确定
C:\WINDOWS\system32\Pclient\modules\saveret.dll - 确定
C:\WINDOWS\system32\Pclient\modules\SetCpName.dll 已感染:  BackDoor.Infum.origin
C:\WINDOWS\system32\Pclient\modules\setuputl.dll - 确定
C:\WINDOWS\system32\Pclient\modules\SoftManage.dll - 确定
C:\WINDOWS\system32\Pclient\modules\SysAdmin.dll - 确定
C:\WINDOWS\system32\Pclient\modules\SysSafe.dll - 确定
C:\WINDOWS\system32\Pclient\modules\tranfile.dll - 确定
C:\WINDOWS\system32\Pclient\modules\vaa.dll - 确定
C:\WINDOWS\system32\Pclient\modules\WebSite.dll - 确定
C:\WINDOWS\system32\Pclient\uimodules\AdminDialog.dll - 确定
C:\WINDOWS\system32\Pclient\uimodules\PatchUI.dll - 确定
C:\WINDOWS\system32\Pclient\uimodules\safetray.dll - 确定
C:\WINDOWS\system32\Pclient\uimodules\SendMessage.dll - 确定
C:\WINDOWS\system32\Pclient\uimodules\ShutDown.dll - 确定

将 DrWeb CureIt!隔离出来的文件:

文件说明符 : C:\Documents and Settings\hcny1\DoctorWeb\Quarantine\SetCpName.dll
属性 : A---
数字签名:Shenyang GeneralSoft Co., Ltd
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2012-2-11 14:11:52
修改时间 : 2012-2-11 14:11:52
大小 : 144824 字节 141.440 KB
MD5 : cd8637b5046f5b9d60304ade56c5af47
SHA1: 89548945F0B6381F995F2E9D4450A546D25F1ED4
CRC32: 9e584c8e

 

  上传到​​http://www.virscan.org/​​结果为:

扫描结果

扫描结果 :

  3%的杀软(1/36)报告发现病毒

时间 :

  2012/02/11 15:55:11 (CST)

​​软件名称​​

​​引擎版本​​

​​病毒库版本​​

​​病毒库时间​​

​​扫描结果​​

​​时间​​

a-squared

5.1.0.4

20120210201806

2012-02-10

-

0.406

AntiVir

8.2.8.44

7.11.21.199

2012-01-27

-

0.232

Arcavir

2011

201202091446

2012-02-09

-

4.318

Authentium

5.1.1

201202100920

2012-02-10

-

1.513

AVAST!

4.7.4

120210-1

2012-02-10

-

0.265

AVG

10.0.1405

2090/4802

2012-02-10

-

0.281

BitDefender

7.90123.7834518

7.40959

2012-02-11

-

3.947

ClamAV

0.97.3

14430

2012-02-11

-

0.208

Comodo

5.1

11485

2012-02-11

-

2.296

CP Secure

1.3.0.5

2012.02.11

2012-02-11

-

0.257

Dr.Web

7.0.0.11250

2012.02.10

2012-02-10

​​BackDoor.Infum.origin​​

12.045

F-Prot

4.6.2.117

20120209

2012-02-09

-

0.927

F-Secure

7.02.73807

2012.02.07.03

2012-02-07

-

0.219

GData

22.3838

20120211

2012-02-11

-

7.696

Ikarus

T3.1.32.20.0

2012.02.10.80457

2012-02-10

-

5.146

Microsoft

1.8001

2012.02.11

2012-02-11

-

0.155

NOD32

3.0.21

6841

2012-01-30

-

0.164

nProtect

20120210.01

11789984

2012-02-10

-

1.230

Quick Heal

11.00

2012.02.10

2012-02-10

-

1.059

Sophos

3.28.1

4.74

2012-02-11

-

4.649

Sunbelt

3.9.2527.2

11528

2012-02-10

-

1.316

The Hacker

6.7.0.1

v00388

2012-01-27

-

0.608

VBA32

3.12.16.4

20120210.1015

2012-02-10

-

3.519

ViRobot

20120210

2012.02.10

2012-02-10

-

0.379

VirusBuster

5.4.1.7

14.1.211.0/7775937

2012-02-10

-

0.275

卡巴斯基

5.5.10

2012.02.08

2012-02-08

-

0.375

安博士V3

2012.02.11.00

2012.02.11

2012-02-11

-

4.793

安天

2.0.18

20120126.15937943

2012-01-26

-

0.574

江民杀毒

13.0.900

2012.01.31

2012-01-31

-

2.316

熊猫卫士

9.05.01

2012.02.10

2012-02-10

-

2.402

瑞星

20.0

23.96.04.02

2012-02-10

-

2.773

赛门铁克

1.3.0.24

20120210.003

2012-02-10

-

0.496

趋势科技

9.500-1005

8.769.00

2012-02-10

-

0.194

迈克菲

5400.1158

6616

2012-02-10

-

10.129

金山毒霸

2009.2.5.15

2012.2.10.18

2012-02-10

-

1.040

飞塔

4.3.388

15.195

2012-02-10

-

0.582


​​http://r.virscan.org/report/4152da19721034730a6fe993d9012821.html​​


  只有Dr.Web一家报。应该是误报。


  从网上的资料看,都是在联想电脑上发现这3个东东,而朋友的这台电脑也是配有正版Windows系统的联想电脑。于是怀疑这个东东是联想电脑预置的软件。

  从网友TOM2000了解到的情况如下:

  这是联想的一个远程管理软件,但是不属于联想公司,是联想外包软件之一,由沈阳一个什么网络公司维护的,主要用于对企业内部计算机范围管理,不过类型很像流氓软件。
  如果不需要,可以这样删除:首先启用administrator,自定义密码,安全命令模式下(快速)更名pclient即可,即rename pclient pclient1,再启动后即可删除了。服务也可以更改。

  当然,用win PE系统启动应该也可搞定。

举报

相关推荐

0 条评论