本文主要是介绍关于顽固进程scclient.exe、scguardc.exe、sccltui.exe和系统服务scclient、scguardc,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
今天一位网友在用QQ电脑管家优化系统启动项时,发现两个奇怪的服务项:
右击选择“打开所在目录”,打开的却是c:\。禁用不了。
打开任务管理器:
又发现scclient.exe、scguardc.exe、sccltui.exe三个陌生的进程,无法终止。
在网上搜索信息,有说是恶意程序,于是请我帮忙处理。
用pe_xscan扫描log,对应的项目如下:
pe_xscan 11-03-17 by Purple Endurer
2012-2-11 16:22:58
Windows XP Service Pack 3(5.1.2600)
MSIE:8.0.6001.18702
管理员用户组
正常模式
C:\WINDOWS\system32\Pclient\scclient.exe * 2044
C:\WINDOWS\system32\Pclient\scguardc.exe * 484
C:\WINDOWS\system32\Pclient\sccltui.exe * 2516
O23 - 服务: scclient (scclient) - C:\WINDOWS\system32\Pclient\scclient.exe(自动)
O23 - 服务: scguardc (scguardc) - C:\WINDOWS\system32\Pclient\scguardc.exe(自动)
由于朋友的电脑里装有瑞星2012杀毒软件,所以是病毒的可能性不大。想把这3个文件上传到多杀毒引擎网站上进行扫描,不实找不到C:\WINDOWS\system32\Pclient这个文件夹!也3个文件自然也找不到了。
下载 DrWeb CureIt!进行扫描,结果如下:
C:\WINDOWS\system32\Pclient\AMTClientDll.dll - 确定
C:\WINDOWS\system32\Pclient\ats.xml - 确定
C:\WINDOWS\system32\Pclient\blLog.dll - 确定
C:\WINDOWS\system32\Pclient\Block.exe - 确定
C:\WINDOWS\system32\Pclient\blUI.dll - 确定
C:\WINDOWS\system32\Pclient\ClientScript.xml - 确定
C:\WINDOWS\system32\Pclient\data.xml - 确定
C:\WINDOWS\system32\Pclient\DevHelper.dll - 确定
C:\WINDOWS\system32\Pclient\devmgr.dll - 确定
C:\WINDOWS\system32\Pclient\ftdump.xml - 确定
C:\WINDOWS\system32\Pclient\init.xml - 确定
C:\WINDOWS\system32\Pclient\INSTALL.LOG - 确定
C:\WINDOWS\system32\Pclient\iobios.dll - 确定
C:\WINDOWS\system32\Pclient\iobios125.dll - 确定
C:\WINDOWS\system32\Pclient\IpMdll.dll - 确定
C:\WINDOWS\system32\Pclient\krnlmgr.dll - 确定
C:\WINDOWS\system32\Pclient\lps.xml - 确定
C:\WINDOWS\system32\Pclient\lpst.xml - 确定
C:\WINDOWS\system32\Pclient\mid.xml - 确定
C:\WINDOWS\system32\Pclient\msvcp80.dll - 确定
C:\WINDOWS\system32\Pclient\msvcr80.dll - 确定
C:\WINDOWS\system32\Pclient\nethelptools.dll - 确定
C:\WINDOWS\system32\Pclient\netmgr.dll - 压缩文件 BINARYRES
>C:\WINDOWS\system32\Pclient\netmgr.dll/data001 - 确定
C:\WINDOWS\system32\Pclient\netmgr.dll - 确定
C:\WINDOWS\system32\Pclient\pcit.exe - 确定
C:\WINDOWS\system32\Pclient\pfmcomm.dll - 确定
C:\WINDOWS\system32\Pclient\pfmscript.dll - 确定
C:\WINDOWS\system32\Pclient\pfmtask.dll - 确定
C:\WINDOWS\system32\Pclient\pfmtransmit.dll - 确定
C:\WINDOWS\system32\Pclient\pnpmgr.dll - 确定
C:\WINDOWS\system32\Pclient\pureres.dll - 确定
C:\WINDOWS\system32\Pclient\safedisk.dll - 确定
C:\WINDOWS\system32\Pclient\scclient.exe - 确定
C:\WINDOWS\system32\Pclient\sccltui.exe - 确定
C:\WINDOWS\system32\Pclient\scguardc.exe - 确定
C:\WINDOWS\system32\Pclient\StatusStrings.dll - 确定
C:\WINDOWS\system32\Pclient\Svctrl.exe - 确定
C:\WINDOWS\system32\Pclient\TCMTddl.dll - 确定
C:\WINDOWS\system32\Pclient\uninst.exe - 确定
C:\WINDOWS\system32\Pclient\wm_hooks.dll - 确定
C:\WINDOWS\system32\Pclient\modules\Appmgr.dll - 确定
C:\WINDOWS\system32\Pclient\modules\AssetMgr.dll - 确定
C:\WINDOWS\system32\Pclient\modules\Baseinfo.dll - 确定
C:\WINDOWS\system32\Pclient\modules\BatchNet.dll - 确定
C:\WINDOWS\system32\Pclient\modules\cltmgr.dll - 确定
C:\WINDOWS\system32\Pclient\modules\CtrlBios.dll - 确定
C:\WINDOWS\system32\Pclient\modules\DeskMgr.dll - 确定
C:\WINDOWS\system32\Pclient\modules\DialMgr.dll - 确定
C:\WINDOWS\system32\Pclient\modules\EquipMgr.dll - 确定
C:\WINDOWS\system32\Pclient\modules\FluxMgr.dll - 确定
C:\WINDOWS\system32\Pclient\modules\IEConfig.dll - 确定
C:\WINDOWS\system32\Pclient\modules\iospc.dll - 确定
C:\WINDOWS\system32\Pclient\modules\Ipbind.dll - 确定
C:\WINDOWS\system32\Pclient\modules\IPMCLI.dll - 确定
C:\WINDOWS\system32\Pclient\modules\NetSetup.dll - 确定
C:\WINDOWS\system32\Pclient\modules\NetShare.dll - 确定
C:\WINDOWS\system32\Pclient\modules\offlinepolicy.dll - 确定
C:\WINDOWS\system32\Pclient\modules\Patchmgr.dll - 确定
C:\WINDOWS\system32\Pclient\modules\pfmdata.dll - 确定
C:\WINDOWS\system32\Pclient\modules\pfmtimer.dll - 确定
C:\WINDOWS\system32\Pclient\modules\Proclist.dll - 确定
C:\WINDOWS\system32\Pclient\modules\prtmgm.dll - 确定
C:\WINDOWS\system32\Pclient\modules\Registry.dll - 确定
C:\WINDOWS\system32\Pclient\modules\rmtast.dll - 确定
C:\WINDOWS\system32\Pclient\modules\RunProc.dll - 确定
C:\WINDOWS\system32\Pclient\modules\saveret.dll - 确定
C:\WINDOWS\system32\Pclient\modules\SetCpName.dll 已感染: BackDoor.Infum.origin
C:\WINDOWS\system32\Pclient\modules\setuputl.dll - 确定
C:\WINDOWS\system32\Pclient\modules\SoftManage.dll - 确定
C:\WINDOWS\system32\Pclient\modules\SysAdmin.dll - 确定
C:\WINDOWS\system32\Pclient\modules\SysSafe.dll - 确定
C:\WINDOWS\system32\Pclient\modules\tranfile.dll - 确定
C:\WINDOWS\system32\Pclient\modules\vaa.dll - 确定
C:\WINDOWS\system32\Pclient\modules\WebSite.dll - 确定
C:\WINDOWS\system32\Pclient\uimodules\AdminDialog.dll - 确定
C:\WINDOWS\system32\Pclient\uimodules\PatchUI.dll - 确定
C:\WINDOWS\system32\Pclient\uimodules\safetray.dll - 确定
C:\WINDOWS\system32\Pclient\uimodules\SendMessage.dll - 确定
C:\WINDOWS\system32\Pclient\uimodules\ShutDown.dll - 确定
将 DrWeb CureIt!隔离出来的文件:
文件说明符 : C:\Documents and Settings\hcny1\DoctorWeb\Quarantine\SetCpName.dll
属性 : A---
数字签名:Shenyang GeneralSoft Co., Ltd
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2012-2-11 14:11:52
修改时间 : 2012-2-11 14:11:52
大小 : 144824 字节 141.440 KB
MD5 : cd8637b5046f5b9d60304ade56c5af47
SHA1: 89548945F0B6381F995F2E9D4450A546D25F1ED4
CRC32: 9e584c8e
上传到http://www.virscan.org/结果为:
扫描结果扫描结果 : | 3%的杀软(1/36)报告发现病毒 |
时间 : | 2012/02/11 15:55:11 (CST) |
软件名称 | 引擎版本 | 病毒库版本 | 病毒库时间 | 扫描结果 | 时间 |
---|---|---|---|---|---|
a-squared | 5.1.0.4 | 20120210201806 | 2012-02-10 | - | 0.406 |
AntiVir | 8.2.8.44 | 7.11.21.199 | 2012-01-27 | - | 0.232 |
Arcavir | 2011 | 201202091446 | 2012-02-09 | - | 4.318 |
Authentium | 5.1.1 | 201202100920 | 2012-02-10 | - | 1.513 |
AVAST! | 4.7.4 | 120210-1 | 2012-02-10 | - | 0.265 |
AVG | 10.0.1405 | 2090/4802 | 2012-02-10 | - | 0.281 |
BitDefender | 7.90123.7834518 | 7.40959 | 2012-02-11 | - | 3.947 |
ClamAV | 0.97.3 | 14430 | 2012-02-11 | - | 0.208 |
Comodo | 5.1 | 11485 | 2012-02-11 | - | 2.296 |
CP Secure | 1.3.0.5 | 2012.02.11 | 2012-02-11 | - | 0.257 |
Dr.Web | 7.0.0.11250 | 2012.02.10 | 2012-02-10 | BackDoor.Infum.origin | 12.045 |
F-Prot | 4.6.2.117 | 20120209 | 2012-02-09 | - | 0.927 |
F-Secure | 7.02.73807 | 2012.02.07.03 | 2012-02-07 | - | 0.219 |
GData | 22.3838 | 20120211 | 2012-02-11 | - | 7.696 |
Ikarus | T3.1.32.20.0 | 2012.02.10.80457 | 2012-02-10 | - | 5.146 |
Microsoft | 1.8001 | 2012.02.11 | 2012-02-11 | - | 0.155 |
NOD32 | 3.0.21 | 6841 | 2012-01-30 | - | 0.164 |
nProtect | 20120210.01 | 11789984 | 2012-02-10 | - | 1.230 |
Quick Heal | 11.00 | 2012.02.10 | 2012-02-10 | - | 1.059 |
Sophos | 3.28.1 | 4.74 | 2012-02-11 | - | 4.649 |
Sunbelt | 3.9.2527.2 | 11528 | 2012-02-10 | - | 1.316 |
The Hacker | 6.7.0.1 | v00388 | 2012-01-27 | - | 0.608 |
VBA32 | 3.12.16.4 | 20120210.1015 | 2012-02-10 | - | 3.519 |
ViRobot | 20120210 | 2012.02.10 | 2012-02-10 | - | 0.379 |
VirusBuster | 5.4.1.7 | 14.1.211.0/7775937 | 2012-02-10 | - | 0.275 |
卡巴斯基 | 5.5.10 | 2012.02.08 | 2012-02-08 | - | 0.375 |
安博士V3 | 2012.02.11.00 | 2012.02.11 | 2012-02-11 | - | 4.793 |
安天 | 2.0.18 | 20120126.15937943 | 2012-01-26 | - | 0.574 |
江民杀毒 | 13.0.900 | 2012.01.31 | 2012-01-31 | - | 2.316 |
熊猫卫士 | 9.05.01 | 2012.02.10 | 2012-02-10 | - | 2.402 |
瑞星 | 20.0 | 23.96.04.02 | 2012-02-10 | - | 2.773 |
赛门铁克 | 1.3.0.24 | 20120210.003 | 2012-02-10 | - | 0.496 |
趋势科技 | 9.500-1005 | 8.769.00 | 2012-02-10 | - | 0.194 |
迈克菲 | 5400.1158 | 6616 | 2012-02-10 | - | 10.129 |
金山毒霸 | 2009.2.5.15 | 2012.2.10.18 | 2012-02-10 | - | 1.040 |
飞塔 | 4.3.388 | 15.195 | 2012-02-10 | - | 0.582 |
( http://r.virscan.org/report/4152da19721034730a6fe993d9012821.html )
只有Dr.Web一家报。应该是误报。
从网上的资料看,都是在联想电脑上发现这3个东东,而朋友的这台电脑也是配有正版Windows系统的联想电脑。于是怀疑这个东东是联想电脑预置的软件。
从网友TOM2000了解到的情况如下:
这是联想的一个远程管理软件,但是不属于联想公司,是联想外包软件之一,由沈阳一个什么网络公司维护的,主要用于对企业内部计算机范围管理,不过类型很像流氓软件。
如果不需要,可以这样删除:首先启用administrator,自定义密码,安全命令模式下(快速)更名pclient即可,即rename pclient pclient1,再启动后即可删除了。服务也可以更改。
当然,用win PE系统启动应该也可搞定。
转载于:https://blog.51cto.com/endurer/777619
这篇关于关于顽固进程scclient.exe、scguardc.exe、sccltui.exe和系统服务scclient、scguardc的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!