今天一位网友在用QQ电脑管家优化系统启动项时,发现两个奇怪的服务项:

 

  右击选择“打开所在目录”,打开的却是c:\。禁用不了。

  打开任务管理器:

 

  又发现scclient.exe、scguardc.exe、sccltui.exe三个陌生的进程,无法终止。

  在网上搜索信息,有说是恶意程序,于是请我帮忙处理。

  用pe_xscan扫描log,对应的项目如下:

 

pe_xscan 11-03-17 by Purple Endurer
2012-2-11 16:22:58
Windows XP Service Pack 3(5.1.2600)
MSIE:8.0.6001.18702
管理员用户组
正常模式

C:\WINDOWS\system32\Pclient\scclient.exe * 2044
C:\WINDOWS\system32\Pclient\scguardc.exe * 484
C:\WINDOWS\system32\Pclient\sccltui.exe * 2516

O23 - 服务: scclient (scclient) - C:\WINDOWS\system32\Pclient\scclient.exe(自动)
O23 - 服务: scguardc (scguardc) - C:\WINDOWS\system32\Pclient\scguardc.exe(自动)

  由于朋友的电脑里装有瑞星2012杀毒软件,所以是病毒的可能性不大。想把这3个文件上传到多杀毒引擎网站上进行扫描,不实找不到C:\WINDOWS\system32\Pclient这个文件夹!也3个文件自然也找不到了。

下载 DrWeb CureIt!进行扫描,结果如下:

C:\WINDOWS\system32\Pclient\AMTClientDll.dll - 确定
C:\WINDOWS\system32\Pclient\ats.xml - 确定
C:\WINDOWS\system32\Pclient\blLog.dll - 确定
C:\WINDOWS\system32\Pclient\Block.exe - 确定
C:\WINDOWS\system32\Pclient\blUI.dll - 确定
C:\WINDOWS\system32\Pclient\ClientScript.xml - 确定
C:\WINDOWS\system32\Pclient\data.xml - 确定
C:\WINDOWS\system32\Pclient\DevHelper.dll - 确定
C:\WINDOWS\system32\Pclient\devmgr.dll - 确定
C:\WINDOWS\system32\Pclient\ftdump.xml - 确定
C:\WINDOWS\system32\Pclient\init.xml - 确定
C:\WINDOWS\system32\Pclient\INSTALL.LOG - 确定
C:\WINDOWS\system32\Pclient\iobios.dll - 确定
C:\WINDOWS\system32\Pclient\iobios125.dll - 确定
C:\WINDOWS\system32\Pclient\IpMdll.dll - 确定
C:\WINDOWS\system32\Pclient\krnlmgr.dll - 确定
C:\WINDOWS\system32\Pclient\lps.xml - 确定
C:\WINDOWS\system32\Pclient\lpst.xml - 确定
C:\WINDOWS\system32\Pclient\mid.xml - 确定
C:\WINDOWS\system32\Pclient\msvcp80.dll - 确定
C:\WINDOWS\system32\Pclient\msvcr80.dll - 确定
C:\WINDOWS\system32\Pclient\nethelptools.dll - 确定
C:\WINDOWS\system32\Pclient\netmgr.dll - 压缩文件 BINARYRES
>C:\WINDOWS\system32\Pclient\netmgr.dll/data001 - 确定
C:\WINDOWS\system32\Pclient\netmgr.dll - 确定
C:\WINDOWS\system32\Pclient\pcit.exe - 确定
C:\WINDOWS\system32\Pclient\pfmcomm.dll - 确定
C:\WINDOWS\system32\Pclient\pfmscript.dll - 确定
C:\WINDOWS\system32\Pclient\pfmtask.dll - 确定
C:\WINDOWS\system32\Pclient\pfmtransmit.dll - 确定
C:\WINDOWS\system32\Pclient\pnpmgr.dll - 确定
C:\WINDOWS\system32\Pclient\pureres.dll - 确定
C:\WINDOWS\system32\Pclient\safedisk.dll - 确定
C:\WINDOWS\system32\Pclient\scclient.exe - 确定
C:\WINDOWS\system32\Pclient\sccltui.exe - 确定
C:\WINDOWS\system32\Pclient\scguardc.exe - 确定
C:\WINDOWS\system32\Pclient\StatusStrings.dll - 确定
C:\WINDOWS\system32\Pclient\Svctrl.exe - 确定
C:\WINDOWS\system32\Pclient\TCMTddl.dll - 确定
C:\WINDOWS\system32\Pclient\uninst.exe - 确定
C:\WINDOWS\system32\Pclient\wm_hooks.dll - 确定
C:\WINDOWS\system32\Pclient\modules\Appmgr.dll - 确定
C:\WINDOWS\system32\Pclient\modules\AssetMgr.dll - 确定
C:\WINDOWS\system32\Pclient\modules\Baseinfo.dll - 确定
C:\WINDOWS\system32\Pclient\modules\BatchNet.dll - 确定
C:\WINDOWS\system32\Pclient\modules\cltmgr.dll - 确定
C:\WINDOWS\system32\Pclient\modules\CtrlBios.dll - 确定
C:\WINDOWS\system32\Pclient\modules\DeskMgr.dll - 确定
C:\WINDOWS\system32\Pclient\modules\DialMgr.dll - 确定
C:\WINDOWS\system32\Pclient\modules\EquipMgr.dll - 确定
C:\WINDOWS\system32\Pclient\modules\FluxMgr.dll - 确定
C:\WINDOWS\system32\Pclient\modules\IEConfig.dll - 确定
C:\WINDOWS\system32\Pclient\modules\iospc.dll - 确定
C:\WINDOWS\system32\Pclient\modules\Ipbind.dll - 确定
C:\WINDOWS\system32\Pclient\modules\IPMCLI.dll - 确定
C:\WINDOWS\system32\Pclient\modules\NetSetup.dll - 确定
C:\WINDOWS\system32\Pclient\modules\NetShare.dll - 确定
C:\WINDOWS\system32\Pclient\modules\offlinepolicy.dll - 确定
C:\WINDOWS\system32\Pclient\modules\Patchmgr.dll - 确定
C:\WINDOWS\system32\Pclient\modules\pfmdata.dll - 确定
C:\WINDOWS\system32\Pclient\modules\pfmtimer.dll - 确定
C:\WINDOWS\system32\Pclient\modules\Proclist.dll - 确定
C:\WINDOWS\system32\Pclient\modules\prtmgm.dll - 确定
C:\WINDOWS\system32\Pclient\modules\Registry.dll - 确定
C:\WINDOWS\system32\Pclient\modules\rmtast.dll - 确定
C:\WINDOWS\system32\Pclient\modules\RunProc.dll - 确定
C:\WINDOWS\system32\Pclient\modules\saveret.dll - 确定
C:\WINDOWS\system32\Pclient\modules\SetCpName.dll 已感染:  BackDoor.Infum.origin
C:\WINDOWS\system32\Pclient\modules\setuputl.dll - 确定
C:\WINDOWS\system32\Pclient\modules\SoftManage.dll - 确定
C:\WINDOWS\system32\Pclient\modules\SysAdmin.dll - 确定
C:\WINDOWS\system32\Pclient\modules\SysSafe.dll - 确定
C:\WINDOWS\system32\Pclient\modules\tranfile.dll - 确定
C:\WINDOWS\system32\Pclient\modules\vaa.dll - 确定
C:\WINDOWS\system32\Pclient\modules\WebSite.dll - 确定
C:\WINDOWS\system32\Pclient\uimodules\AdminDialog.dll - 确定
C:\WINDOWS\system32\Pclient\uimodules\PatchUI.dll - 确定
C:\WINDOWS\system32\Pclient\uimodules\safetray.dll - 确定
C:\WINDOWS\system32\Pclient\uimodules\SendMessage.dll - 确定
C:\WINDOWS\system32\Pclient\uimodules\ShutDown.dll - 确定

将 DrWeb CureIt!隔离出来的文件:


文件说明符 : C:\Documents and Settings\hcny1\DoctorWeb\Quarantine\SetCpName.dll
属性 : A---
数字签名:Shenyang GeneralSoft Co., Ltd
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2012-2-11 14:11:52
修改时间 : 2012-2-11 14:11:52
大小 : 144824 字节 141.440 KB
MD5 : cd8637b5046f5b9d60304ade56c5af47
SHA1: 89548945F0B6381F995F2E9D4450A546D25F1ED4
CRC32: 9e584c8e

 

  上传到http://www.virscan.org/结果为:

扫描结果
扫描结果 :  3%的杀软(1/36)报告发现病毒
时间 :  2012/02/11 15:55:11 (CST)
软件名称引擎版本病毒库版本病毒库时间扫描结果时间
a-squared5.1.0.4201202102018062012-02-10
-
0.406
AntiVir8.2.8.447.11.21.1992012-01-27
-
0.232
Arcavir20112012020914462012-02-09
-
4.318
Authentium5.1.12012021009202012-02-10
-
1.513
AVAST!4.7.4120210-12012-02-10
-
0.265
AVG10.0.14052090/48022012-02-10
-
0.281
BitDefender7.90123.78345187.409592012-02-11
-
3.947
ClamAV0.97.3144302012-02-11
-
0.208
Comodo5.1114852012-02-11
-
2.296
CP Secure1.3.0.52012.02.112012-02-11
-
0.257
Dr.Web7.0.0.112502012.02.102012-02-10
BackDoor.Infum.origin
12.045
F-Prot4.6.2.117201202092012-02-09
-
0.927
F-Secure7.02.738072012.02.07.032012-02-07
-
0.219
GData22.3838201202112012-02-11
-
7.696
IkarusT3.1.32.20.02012.02.10.804572012-02-10
-
5.146
Microsoft1.80012012.02.112012-02-11
-
0.155
NOD323.0.2168412012-01-30
-
0.164
nProtect20120210.01117899842012-02-10
-
1.230
Quick Heal11.002012.02.102012-02-10
-
1.059
Sophos3.28.14.742012-02-11
-
4.649
Sunbelt3.9.2527.2115282012-02-10
-
1.316
The Hacker6.7.0.1v003882012-01-27
-
0.608
VBA323.12.16.420120210.10152012-02-10
-
3.519
ViRobot201202102012.02.102012-02-10
-
0.379
VirusBuster5.4.1.714.1.211.0/77759372012-02-10
-
0.275
卡巴斯基5.5.102012.02.082012-02-08
-
0.375
安博士V32012.02.11.002012.02.112012-02-11
-
4.793
安天2.0.1820120126.159379432012-01-26
-
0.574
江民杀毒13.0.9002012.01.312012-01-31
-
2.316
熊猫卫士9.05.012012.02.102012-02-10
-
2.402
瑞星20.023.96.04.022012-02-10
-
2.773
赛门铁克1.3.0.2420120210.0032012-02-10
-
0.496
趋势科技9.500-10058.769.002012-02-10
-
0.194
迈克菲5400.115866162012-02-10
-
10.129
金山毒霸2009.2.5.152012.2.10.182012-02-10
-
1.040
飞塔4.3.38815.1952012-02-10
-
0.582

 

http://r.virscan.org/report/4152da19721034730a6fe993d9012821.html

  只有Dr.Web一家报。应该是误报。

 

  从网上的资料看,都是在联想电脑上发现这3个东东,而朋友的这台电脑也是配有正版Windows系统的联想电脑。于是怀疑这个东东是联想电脑预置的软件。

  从网友TOM2000了解到的情况如下:

  这是联想的一个远程管理软件,但是不属于联想公司,是联想外包软件之一,由沈阳一个什么网络公司维护的,主要用于对企业内部计算机范围管理,不过类型很像流氓软件。
  如果不需要,可以这样删除:首先启用administrator,自定义密码,安全命令模式下(快速)更名pclient即可,即rename pclient pclient1,再启动后即可删除了。服务也可以更改。

  当然,用win PE系统启动应该也可搞定。