今天一位网友在用QQ电脑管家优化系统启动项时,发现两个奇怪的服务项:
右击选择“打开所在目录”,打开的却是c:\。禁用不了。
打开任务管理器:
又发现scclient.exe、scguardc.exe、sccltui.exe三个陌生的进程,无法终止。
在网上搜索信息,有说是恶意程序,于是请我帮忙处理。
用pe_xscan扫描log,对应的项目如下:
pe_xscan 11-03-17 by Purple Endurer
2012-2-11 16:22:58
Windows XP Service Pack 3(5.1.2600)
MSIE:8.0.6001.18702
管理员用户组
正常模式
C:\WINDOWS\system32\Pclient\scclient.exe * 2044
C:\WINDOWS\system32\Pclient\scguardc.exe * 484
C:\WINDOWS\system32\Pclient\sccltui.exe * 2516
O23 - 服务: scclient (scclient) - C:\WINDOWS\system32\Pclient\scclient.exe(自动)
O23 - 服务: scguardc (scguardc) - C:\WINDOWS\system32\Pclient\scguardc.exe(自动)
由于朋友的电脑里装有瑞星2012杀毒软件,所以是病毒的可能性不大。想把这3个文件上传到多杀毒引擎网站上进行扫描,不实找不到C:\WINDOWS\system32\Pclient这个文件夹!也3个文件自然也找不到了。
下载 DrWeb CureIt!进行扫描,结果如下:
C:\WINDOWS\system32\Pclient\AMTClientDll.dll - 确定
C:\WINDOWS\system32\Pclient\ats.xml - 确定
C:\WINDOWS\system32\Pclient\blLog.dll - 确定
C:\WINDOWS\system32\Pclient\Block.exe - 确定
C:\WINDOWS\system32\Pclient\blUI.dll - 确定
C:\WINDOWS\system32\Pclient\ClientScript.xml - 确定
C:\WINDOWS\system32\Pclient\data.xml - 确定
C:\WINDOWS\system32\Pclient\DevHelper.dll - 确定
C:\WINDOWS\system32\Pclient\devmgr.dll - 确定
C:\WINDOWS\system32\Pclient\ftdump.xml - 确定
C:\WINDOWS\system32\Pclient\init.xml - 确定
C:\WINDOWS\system32\Pclient\INSTALL.LOG - 确定
C:\WINDOWS\system32\Pclient\iobios.dll - 确定
C:\WINDOWS\system32\Pclient\iobios125.dll - 确定
C:\WINDOWS\system32\Pclient\IpMdll.dll - 确定
C:\WINDOWS\system32\Pclient\krnlmgr.dll - 确定
C:\WINDOWS\system32\Pclient\lps.xml - 确定
C:\WINDOWS\system32\Pclient\lpst.xml - 确定
C:\WINDOWS\system32\Pclient\mid.xml - 确定
C:\WINDOWS\system32\Pclient\msvcp80.dll - 确定
C:\WINDOWS\system32\Pclient\msvcr80.dll - 确定
C:\WINDOWS\system32\Pclient\nethelptools.dll - 确定
C:\WINDOWS\system32\Pclient\netmgr.dll - 压缩文件 BINARYRES
>C:\WINDOWS\system32\Pclient\netmgr.dll/data001 - 确定
C:\WINDOWS\system32\Pclient\netmgr.dll - 确定
C:\WINDOWS\system32\Pclient\pcit.exe - 确定
C:\WINDOWS\system32\Pclient\pfmcomm.dll - 确定
C:\WINDOWS\system32\Pclient\pfmscript.dll - 确定
C:\WINDOWS\system32\Pclient\pfmtask.dll - 确定
C:\WINDOWS\system32\Pclient\pfmtransmit.dll - 确定
C:\WINDOWS\system32\Pclient\pnpmgr.dll - 确定
C:\WINDOWS\system32\Pclient\pureres.dll - 确定
C:\WINDOWS\system32\Pclient\safedisk.dll - 确定
C:\WINDOWS\system32\Pclient\scclient.exe - 确定
C:\WINDOWS\system32\Pclient\sccltui.exe - 确定
C:\WINDOWS\system32\Pclient\scguardc.exe - 确定
C:\WINDOWS\system32\Pclient\StatusStrings.dll - 确定
C:\WINDOWS\system32\Pclient\Svctrl.exe - 确定
C:\WINDOWS\system32\Pclient\TCMTddl.dll - 确定
C:\WINDOWS\system32\Pclient\uninst.exe - 确定
C:\WINDOWS\system32\Pclient\wm_hooks.dll - 确定
C:\WINDOWS\system32\Pclient\modules\Appmgr.dll - 确定
C:\WINDOWS\system32\Pclient\modules\AssetMgr.dll - 确定
C:\WINDOWS\system32\Pclient\modules\Baseinfo.dll - 确定
C:\WINDOWS\system32\Pclient\modules\BatchNet.dll - 确定
C:\WINDOWS\system32\Pclient\modules\cltmgr.dll - 确定
C:\WINDOWS\system32\Pclient\modules\CtrlBios.dll - 确定
C:\WINDOWS\system32\Pclient\modules\DeskMgr.dll - 确定
C:\WINDOWS\system32\Pclient\modules\DialMgr.dll - 确定
C:\WINDOWS\system32\Pclient\modules\EquipMgr.dll - 确定
C:\WINDOWS\system32\Pclient\modules\FluxMgr.dll - 确定
C:\WINDOWS\system32\Pclient\modules\IEConfig.dll - 确定
C:\WINDOWS\system32\Pclient\modules\iospc.dll - 确定
C:\WINDOWS\system32\Pclient\modules\Ipbind.dll - 确定
C:\WINDOWS\system32\Pclient\modules\IPMCLI.dll - 确定
C:\WINDOWS\system32\Pclient\modules\NetSetup.dll - 确定
C:\WINDOWS\system32\Pclient\modules\NetShare.dll - 确定
C:\WINDOWS\system32\Pclient\modules\offlinepolicy.dll - 确定
C:\WINDOWS\system32\Pclient\modules\Patchmgr.dll - 确定
C:\WINDOWS\system32\Pclient\modules\pfmdata.dll - 确定
C:\WINDOWS\system32\Pclient\modules\pfmtimer.dll - 确定
C:\WINDOWS\system32\Pclient\modules\Proclist.dll - 确定
C:\WINDOWS\system32\Pclient\modules\prtmgm.dll - 确定
C:\WINDOWS\system32\Pclient\modules\Registry.dll - 确定
C:\WINDOWS\system32\Pclient\modules\rmtast.dll - 确定
C:\WINDOWS\system32\Pclient\modules\RunProc.dll - 确定
C:\WINDOWS\system32\Pclient\modules\saveret.dll - 确定
C:\WINDOWS\system32\Pclient\modules\SetCpName.dll 已感染: BackDoor.Infum.origin
C:\WINDOWS\system32\Pclient\modules\setuputl.dll - 确定
C:\WINDOWS\system32\Pclient\modules\SoftManage.dll - 确定
C:\WINDOWS\system32\Pclient\modules\SysAdmin.dll - 确定
C:\WINDOWS\system32\Pclient\modules\SysSafe.dll - 确定
C:\WINDOWS\system32\Pclient\modules\tranfile.dll - 确定
C:\WINDOWS\system32\Pclient\modules\vaa.dll - 确定
C:\WINDOWS\system32\Pclient\modules\WebSite.dll - 确定
C:\WINDOWS\system32\Pclient\uimodules\AdminDialog.dll - 确定
C:\WINDOWS\system32\Pclient\uimodules\PatchUI.dll - 确定
C:\WINDOWS\system32\Pclient\uimodules\safetray.dll - 确定
C:\WINDOWS\system32\Pclient\uimodules\SendMessage.dll - 确定
C:\WINDOWS\system32\Pclient\uimodules\ShutDown.dll - 确定
将 DrWeb CureIt!隔离出来的文件:
文件说明符 : C:\Documents and Settings\hcny1\DoctorWeb\Quarantine\SetCpName.dll
属性 : A---
数字签名:Shenyang GeneralSoft Co., Ltd
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2012-2-11 14:11:52
修改时间 : 2012-2-11 14:11:52
大小 : 144824 字节 141.440 KB
MD5 : cd8637b5046f5b9d60304ade56c5af47
SHA1: 89548945F0B6381F995F2E9D4450A546D25F1ED4
CRC32: 9e584c8e
上传到http://www.virscan.org/结果为:
扫描结果
| 扫描结果 : |
3%的杀软(1/36)报告发现病毒 |
| 时间 : |
2012/02/11 15:55:11 (CST) |
| a-squared |
5.1.0.4 |
20120210201806 |
2012-02-10 |
- |
0.406 |
| AntiVir |
8.2.8.44 |
7.11.21.199 |
2012-01-27 |
- |
0.232 |
| Arcavir |
2011 |
201202091446 |
2012-02-09 |
- |
4.318 |
| Authentium |
5.1.1 |
201202100920 |
2012-02-10 |
- |
1.513 |
| AVAST! |
4.7.4 |
120210-1 |
2012-02-10 |
- |
0.265 |
| AVG |
10.0.1405 |
2090/4802 |
2012-02-10 |
- |
0.281 |
| BitDefender |
7.90123.7834518 |
7.40959 |
2012-02-11 |
- |
3.947 |
| ClamAV |
0.97.3 |
14430 |
2012-02-11 |
- |
0.208 |
| Comodo |
5.1 |
11485 |
2012-02-11 |
- |
2.296 |
| CP Secure |
1.3.0.5 |
2012.02.11 |
2012-02-11 |
- |
0.257 |
| Dr.Web |
7.0.0.11250 |
2012.02.10 |
2012-02-10 |
|
12.045 |
| F-Prot |
4.6.2.117 |
20120209 |
2012-02-09 |
- |
0.927 |
| F-Secure |
7.02.73807 |
2012.02.07.03 |
2012-02-07 |
- |
0.219 |
| GData |
22.3838 |
20120211 |
2012-02-11 |
- |
7.696 |
| Ikarus |
T3.1.32.20.0 |
2012.02.10.80457 |
2012-02-10 |
- |
5.146 |
| Microsoft |
1.8001 |
2012.02.11 |
2012-02-11 |
- |
0.155 |
| NOD32 |
3.0.21 |
6841 |
2012-01-30 |
- |
0.164 |
| nProtect |
20120210.01 |
11789984 |
2012-02-10 |
- |
1.230 |
| Quick Heal |
11.00 |
2012.02.10 |
2012-02-10 |
- |
1.059 |
| Sophos |
3.28.1 |
4.74 |
2012-02-11 |
- |
4.649 |
| Sunbelt |
3.9.2527.2 |
11528 |
2012-02-10 |
- |
1.316 |
| The Hacker |
6.7.0.1 |
v00388 |
2012-01-27 |
- |
0.608 |
| VBA32 |
3.12.16.4 |
20120210.1015 |
2012-02-10 |
- |
3.519 |
| ViRobot |
20120210 |
2012.02.10 |
2012-02-10 |
- |
0.379 |
| VirusBuster |
5.4.1.7 |
14.1.211.0/7775937 |
2012-02-10 |
- |
0.275 |
| 卡巴斯基 |
5.5.10 |
2012.02.08 |
2012-02-08 |
- |
0.375 |
| 安博士V3 |
2012.02.11.00 |
2012.02.11 |
2012-02-11 |
- |
4.793 |
| 安天 |
2.0.18 |
20120126.15937943 |
2012-01-26 |
- |
0.574 |
| 江民杀毒 |
13.0.900 |
2012.01.31 |
2012-01-31 |
- |
2.316 |
| 熊猫卫士 |
9.05.01 |
2012.02.10 |
2012-02-10 |
- |
2.402 |
| 瑞星 |
20.0 |
23.96.04.02 |
2012-02-10 |
- |
2.773 |
| 赛门铁克 |
1.3.0.24 |
20120210.003 |
2012-02-10 |
- |
0.496 |
| 趋势科技 |
9.500-1005 |
8.769.00 |
2012-02-10 |
- |
0.194 |
| 迈克菲 |
5400.1158 |
6616 |
2012-02-10 |
- |
10.129 |
| 金山毒霸 |
2009.2.5.15 |
2012.2.10.18 |
2012-02-10 |
- |
1.040 |
| 飞塔 |
4.3.388 |
15.195 |
2012-02-10 |
- |
0.582 |
(
http://r.virscan.org/report/4152da19721034730a6fe993d9012821.html) 只有Dr.Web一家报。应该是误报。
从网上的资料看,都是在联想电脑上发现这3个东东,而朋友的这台电脑也是配有正版Windows系统的联想电脑。于是怀疑这个东东是联想电脑预置的软件。
从网友TOM2000了解到的情况如下:
这是联想的一个远程管理软件,但是不属于联想公司,是联想外包软件之一,由沈阳一个什么网络公司维护的,主要用于对企业内部计算机范围管理,不过类型很像流氓软件。
如果不需要,可以这样删除:首先启用administrator,自定义密码,安全命令模式下(快速)更名pclient即可,即rename pclient pclient1,再启动后即可删除了。服务也可以更改。
当然,用win PE系统启动应该也可搞定。
分享到:
相关推荐
.关于顽固进程scclient exe.docx
.关于顽固进程scclient exe.pdf
面对这种情况,Windows操作系统内置的删除功能往往显得力不从心,此时就需要借助第三方工具——“Windows顽固文件强行删除器.exe”。这个小巧的工具旨在帮助用户解决那些常规方法无法处理的文件删除问题,让用户在...
总的来说,“超强卸载软件srvinstw.exe”是解决那些顽固或复杂卸载问题的有效解决方案,它能够帮助用户更专业、更安全地管理自己的计算机软件环境,提升系统的稳定性和效率。对于经常需要安装和卸载软件的用户,这样...
"文件夹强制删除工具.exe"就是这样一款针对此类问题设计的应用程序。 首先,我们要理解为什么会出现无法删除文件的情况。在Windows操作系统中,如果一个文件正在被运行或者被其他进程占用,系统会阻止我们直接删除...
ProcExp.exe 的主要特点在于其功能的深度和易用性,使得用户能够轻易地检测和管理电脑上的进程。 1. **进程查看与管理**:Process Explorer 可以显示所有正在运行的进程,包括隐藏的系统进程,以及它们的详细信息,...
NTSD的功能非常的强大,用它强行结束某个比较顽固的进程还是很好用的,基本上除了WINDOWS系统自己的管理进程,ntsd几乎都可以杀掉。XP下是自带的,但是Win8没有,下载后解压到C:/windows/system32下,然后在cmd下,就...
在Windows操作系统中,.exe文件是可执行程序的文件扩展名,Auto.exe本身可能是一个合法的系统或应用进程,但恶意软件开发者有时会将其篡改或伪装成合法程序,用于在用户计算机上自动运行恶意代码。这些恶意Auto.exe...
标题中的“收藏的一些小工具(2)PROCEXP.EXE”指的是一个名为“PROCEXP.EXE”的实用程序,这通常是一个小型但功能强大的系统工具,可能是为了管理系统进程而设计的。在IT领域,这样的小工具往往能提供比操作系统...
系统服务备份恢复.exe——设置、备份、还原本机系统服务状态 2、杀毒防毒 HiJackThis.exe——趋势科技出品的分析系统故障的小工具,和SRENG类似 IceSword.exe(冰刃)——大名鼎鼎的反Rookit工具,手工杀毒必备 ...
查杀各类恶性顽固病毒扫描出来的可疑的东西火绒自动处理,特别是真的流氓浏览器持劫行为,2345浏览器的流氓行为,解决浏览器首页劫持类等病毒,解决例如“打不开页面”、“主页被篡改”、“网址不断刷新”等问题。...
标题中的"takeown.exe"是Windows操作系统中一个用于权限管理的命令行工具,它在WinXP系统中尤其常见。这个工具允许用户或者管理员获取对某个文件或目录的所有权,这对于解决权限问题,尤其是处理系统级别的文件时...
标题中的“geek.exe”可能是指“Geek Uninstaller”,这是一款广受欢迎的卸载应用程序工具,尤其受到技术爱好者和IT专业人士的青睐。它以其高效、简洁和强大的功能著称,能够帮助用户彻底卸载不需要的软件,清除残留...
for /f "skip=3 tokens=1,2" %%a in ('tasklist') do echo %%a %%b|findstr /i /v "System smss.exe csrss.exe winlogon.exe services.exe lsass.exe svchost.exe conime.exe explorer.exe wmiPrvSE.exe Userinit....
总的来说,"eBay_shortcuts_1016.exe解锁程序"是一个针对特定程序的卸载辅助工具,通过结束相关进程和解除文件锁定,帮助用户顺利卸载顽固的eBay相关程序。了解其工作原理和使用方法,能有效地处理软件卸载难题,...
在数字化时代,电脑病毒的威胁无处不在,其中有一种特殊类型的病毒——将文件夹变为.exe文件的病毒,这种病毒极具隐蔽性和破坏性,一旦感染,可能导致用户数据丢失,系统稳定性受到严重影响。为了解决这一问题,专门...
例如,如果你的系统上有多个"example.exe"进程,批处理会终止所有这些进程。这正是批处理文件在处理顽固进程时的优势,它能够批量操作,而不仅仅针对单个实例。 然而,需要注意的是,强制结束进程可能会导致数据...
CMT.exe病毒是一种极具破坏性的恶意软件,它能够深度潜伏在计算机系统中,即使重装系统或格式化硬盘也无法彻底清除。这种病毒通常通过网络、邮件附件、U盘等途径传播,一旦感染,可能会导致文件被篡改、系统运行缓慢...
随着信息技术的飞速发展,计算机已经成为我们日常生活和工作中不可或缺的一部分。然而,随着使用时间的增加,电脑系统可能...通过合理地管理和优化系统进程,我们可以使电脑运行得更加顺畅,从而提高工作和生活的效率。