关于顽固进程scclient.exe、scguardc.exe、sccltui.exe和系统服务scclient、scguardc

最新推荐文章于 2020-12-22 23:16:12 发布

iteye_6637

最新推荐文章于 2020-12-22 23:16:12 发布

阅读量1.3k

点赞数

文章标签：操作系统

　　今天一位网友在用QQ电脑管家优化系统启动项时，发现两个奇怪的服务项：

　　右击选择“打开所在目录”，打开的却是c:\。禁用不了。

　　打开任务管理器：

　　又发现scclient.exe、scguardc.exe、sccltui.exe三个陌生的进程，无法终止。

　　在网上搜索信息，有说是恶意程序，于是请我帮忙处理。

　　用pe_xscan扫描log，对应的项目如下：

pe_xscan 11-03-17 by Purple Endurer
2012-2-11 16:22:58
Windows XP Service Pack 3(5.1.2600)
MSIE:8.0.6001.18702
管理员用户组
正常模式

C:\WINDOWS\system32\Pclient\scclient.exe * 2044
C:\WINDOWS\system32\Pclient\scguardc.exe * 484
C:\WINDOWS\system32\Pclient\sccltui.exe * 2516

O23 - 服务: scclient (scclient) - C:\WINDOWS\system32\Pclient\scclient.exe(自动)
O23 - 服务: scguardc (scguardc) - C:\WINDOWS\system32\Pclient\scguardc.exe(自动)

　　由于朋友的电脑里装有瑞星2012杀毒软件，所以是病毒的可能性不大。想把这3个文件上传到多杀毒引擎网站上进行扫描，不实找不到C:\WINDOWS\system32\Pclient这个文件夹！也3个文件自然也找不到了。

下载 DrWeb CureIt!进行扫描，结果如下：

C:\WINDOWS\system32\Pclient\AMTClientDll.dll - 确定
C:\WINDOWS\system32\Pclient\ats.xml - 确定
C:\WINDOWS\system32\Pclient\blLog.dll - 确定
C:\WINDOWS\system32\Pclient\Block.exe - 确定
C:\WINDOWS\system32\Pclient\blUI.dll - 确定
C:\WINDOWS\system32\Pclient\ClientScript.xml - 确定
C:\WINDOWS\system32\Pclient\data.xml - 确定
C:\WINDOWS\system32\Pclient\DevHelper.dll - 确定
C:\WINDOWS\system32\Pclient\devmgr.dll - 确定
C:\WINDOWS\system32\Pclient\ftdump.xml - 确定
C:\WINDOWS\system32\Pclient\init.xml - 确定
C:\WINDOWS\system32\Pclient\INSTALL.LOG - 确定
C:\WINDOWS\system32\Pclient\iobios.dll - 确定
C:\WINDOWS\system32\Pclient\iobios125.dll - 确定
C:\WINDOWS\system32\Pclient\IpMdll.dll - 确定
C:\WINDOWS\system32\Pclient\krnlmgr.dll - 确定
C:\WINDOWS\system32\Pclient\lps.xml - 确定
C:\WINDOWS\system32\Pclient\lpst.xml - 确定
C:\WINDOWS\system32\Pclient\mid.xml - 确定
C:\WINDOWS\system32\Pclient\msvcp80.dll - 确定
C:\WINDOWS\system32\Pclient\msvcr80.dll - 确定
C:\WINDOWS\system32\Pclient\nethelptools.dll - 确定
C:\WINDOWS\system32\Pclient\netmgr.dll - 压缩文件 BINARYRES
>C:\WINDOWS\system32\Pclient\netmgr.dll/data001 - 确定
C:\WINDOWS\system32\Pclient\netmgr.dll - 确定
C:\WINDOWS\system32\Pclient\pcit.exe - 确定
C:\WINDOWS\system32\Pclient\pfmcomm.dll - 确定
C:\WINDOWS\system32\Pclient\pfmscript.dll - 确定
C:\WINDOWS\system32\Pclient\pfmtask.dll - 确定
C:\WINDOWS\system32\Pclient\pfmtransmit.dll - 确定
C:\WINDOWS\system32\Pclient\pnpmgr.dll - 确定
C:\WINDOWS\system32\Pclient\pureres.dll - 确定
C:\WINDOWS\system32\Pclient\safedisk.dll - 确定
C:\WINDOWS\system32\Pclient\scclient.exe - 确定
C:\WINDOWS\system32\Pclient\sccltui.exe - 确定
C:\WINDOWS\system32\Pclient\scguardc.exe - 确定
C:\WINDOWS\system32\Pclient\StatusStrings.dll - 确定
C:\WINDOWS\system32\Pclient\Svctrl.exe - 确定
C:\WINDOWS\system32\Pclient\TCMTddl.dll - 确定
C:\WINDOWS\system32\Pclient\uninst.exe - 确定
C:\WINDOWS\system32\Pclient\wm_hooks.dll - 确定
C:\WINDOWS\system32\Pclient\modules\Appmgr.dll - 确定
C:\WINDOWS\system32\Pclient\modules\AssetMgr.dll - 确定
C:\WINDOWS\system32\Pclient\modules\Baseinfo.dll - 确定
C:\WINDOWS\system32\Pclient\modules\BatchNet.dll - 确定
C:\WINDOWS\system32\Pclient\modules\cltmgr.dll - 确定
C:\WINDOWS\system32\Pclient\modules\CtrlBios.dll - 确定
C:\WINDOWS\system32\Pclient\modules\DeskMgr.dll - 确定
C:\WINDOWS\system32\Pclient\modules\DialMgr.dll - 确定
C:\WINDOWS\system32\Pclient\modules\EquipMgr.dll - 确定
C:\WINDOWS\system32\Pclient\modules\FluxMgr.dll - 确定
C:\WINDOWS\system32\Pclient\modules\IEConfig.dll - 确定
C:\WINDOWS\system32\Pclient\modules\iospc.dll - 确定
C:\WINDOWS\system32\Pclient\modules\Ipbind.dll - 确定
C:\WINDOWS\system32\Pclient\modules\IPMCLI.dll - 确定
C:\WINDOWS\system32\Pclient\modules\NetSetup.dll - 确定
C:\WINDOWS\system32\Pclient\modules\NetShare.dll - 确定
C:\WINDOWS\system32\Pclient\modules\offlinepolicy.dll - 确定
C:\WINDOWS\system32\Pclient\modules\Patchmgr.dll - 确定
C:\WINDOWS\system32\Pclient\modules\pfmdata.dll - 确定
C:\WINDOWS\system32\Pclient\modules\pfmtimer.dll - 确定
C:\WINDOWS\system32\Pclient\modules\Proclist.dll - 确定
C:\WINDOWS\system32\Pclient\modules\prtmgm.dll - 确定
C:\WINDOWS\system32\Pclient\modules\Registry.dll - 确定
C:\WINDOWS\system32\Pclient\modules\rmtast.dll - 确定
C:\WINDOWS\system32\Pclient\modules\RunProc.dll - 确定
C:\WINDOWS\system32\Pclient\modules\saveret.dll - 确定
C:\WINDOWS\system32\Pclient\modules\SetCpName.dll 已感染： BackDoor.Infum.origin
C:\WINDOWS\system32\Pclient\modules\setuputl.dll - 确定
C:\WINDOWS\system32\Pclient\modules\SoftManage.dll - 确定
C:\WINDOWS\system32\Pclient\modules\SysAdmin.dll - 确定
C:\WINDOWS\system32\Pclient\modules\SysSafe.dll - 确定
C:\WINDOWS\system32\Pclient\modules\tranfile.dll - 确定
C:\WINDOWS\system32\Pclient\modules\vaa.dll - 确定
C:\WINDOWS\system32\Pclient\modules\WebSite.dll - 确定
C:\WINDOWS\system32\Pclient\uimodules\AdminDialog.dll - 确定
C:\WINDOWS\system32\Pclient\uimodules\PatchUI.dll - 确定
C:\WINDOWS\system32\Pclient\uimodules\safetray.dll - 确定
C:\WINDOWS\system32\Pclient\uimodules\SendMessage.dll - 确定
C:\WINDOWS\system32\Pclient\uimodules\ShutDown.dll - 确定

将 DrWeb CureIt!隔离出来的文件：

文件说明符 : C:\Documents and Settings\hcny1\DoctorWeb\Quarantine\SetCpName.dll
属性 : A---
数字签名:Shenyang GeneralSoft Co., Ltd
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2012-2-11 14:11:52
修改时间 : 2012-2-11 14:11:52
大小 : 144824 字节 141.440 KB
MD5 : cd8637b5046f5b9d60304ade56c5af47
SHA1: 89548945F0B6381F995F2E9D4450A546D25F1ED4
CRC32: 9e584c8e

　　上传到http://www.virscan.org/结果为：

扫描结果

扫描结果 :	3%的杀软(1/36)报告发现病毒
时间 :	2012/02/11 15:55:11 (CST)

软件名称	引擎版本	病毒库版本	病毒库时间	扫描结果	时间
a-squared	5.1.0.4	20120210201806	2012-02-10	-	0.406
AntiVir	8.2.8.44	7.11.21.199	2012-01-27	-	0.232
Arcavir	2011	201202091446	2012-02-09	-	4.318
Authentium	5.1.1	201202100920	2012-02-10	-	1.513
AVAST!	4.7.4	120210-1	2012-02-10	-	0.265
AVG	10.0.1405	2090/4802	2012-02-10	-	0.281
BitDefender	7.90123.7834518	7.40959	2012-02-11	-	3.947
ClamAV	0.97.3	14430	2012-02-11	-	0.208
Comodo	5.1	11485	2012-02-11	-	2.296
CP Secure	1.3.0.5	2012.02.11	2012-02-11	-	0.257
Dr.Web	7.0.0.11250	2012.02.10	2012-02-10	BackDoor.Infum.origin	12.045
F-Prot	4.6.2.117	20120209	2012-02-09	-	0.927
F-Secure	7.02.73807	2012.02.07.03	2012-02-07	-	0.219
GData	22.3838	20120211	2012-02-11	-	7.696
Ikarus	T3.1.32.20.0	2012.02.10.80457	2012-02-10	-	5.146
Microsoft	1.8001	2012.02.11	2012-02-11	-	0.155
NOD32	3.0.21	6841	2012-01-30	-	0.164
nProtect	20120210.01	11789984	2012-02-10	-	1.230
Quick Heal	11.00	2012.02.10	2012-02-10	-	1.059
Sophos	3.28.1	4.74	2012-02-11	-	4.649
Sunbelt	3.9.2527.2	11528	2012-02-10	-	1.316
The Hacker	6.7.0.1	v00388	2012-01-27	-	0.608
VBA32	3.12.16.4	20120210.1015	2012-02-10	-	3.519
ViRobot	20120210	2012.02.10	2012-02-10	-	0.379
VirusBuster	5.4.1.7	14.1.211.0/7775937	2012-02-10	-	0.275
卡巴斯基	5.5.10	2012.02.08	2012-02-08	-	0.375
安博士V3	2012.02.11.00	2012.02.11	2012-02-11	-	4.793
安天	2.0.18	20120126.15937943	2012-01-26	-	0.574
江民杀毒	13.0.900	2012.01.31	2012-01-31	-	2.316
熊猫卫士	9.05.01	2012.02.10	2012-02-10	-	2.402
瑞星	20.0	23.96.04.02	2012-02-10	-	2.773
赛门铁克	1.3.0.24	20120210.003	2012-02-10	-	0.496
趋势科技	9.500-1005	8.769.00	2012-02-10	-	0.194
迈克菲	5400.1158	6616	2012-02-10	-	10.129
金山毒霸	2009.2.5.15	2012.2.10.18	2012-02-10	-	1.040
飞塔	4.3.388	15.195	2012-02-10	-	0.582

（ http://r.virscan.org/report/4152da19721034730a6fe993d9012821.html ）

　　只有Dr.Web一家报。应该是误报。

　　从网上的资料看，都是在联想电脑上发现这3个东东，而朋友的这台电脑也是配有正版Windows系统的联想电脑。于是怀疑这个东东是联想电脑预置的软件。

　　从网友TOM2000了解到的情况如下：

　　这是联想的一个远程管理软件，但是不属于联想公司，是联想外包软件之一，由沈阳一个什么网络公司维护的，主要用于对企业内部计算机范围管理，不过类型很像流氓软件。
　　如果不需要，可以这样删除：首先启用administrator，自定义密码，安全命令模式下(快速)更名pclient即可，即rename pclient pclient1，再启动后即可删除了。服务也可以更改。

　　当然，用win PE系统启动应该也可搞定。