关于顽固进程scclient exe scguardc exe sccltui exe和系统服务scclient scg
今天一位网友在用QQ电脑管家优化系统启动项时,发现两个奇怪的服务项:
右击选择“打开所在目录”,打开的却是c:\。禁用不了。
打开任务管理器:
又发现scclient.exe、scguardc.exe、sccltui.exe三个陌生的进程,无法终止。
在网上搜索信息,有说是恶意程序,于是请我帮忙处理。
用pe_xscan扫描log,对应的项目如下:
pe_xscan 11-03-17 by Purple Endurer
2012-2-11 16:22:58
Windows XP Service Pack 3(5.1.2600)
MSIE:8.0.6001.18702
管理员用户组
正常模式
C:\WINDOWS\system32\Pclient\scclient.exe * 2044
C:\WINDOWS\system32\Pclient\scguardc.exe * 484
C:\WINDOWS\system32\Pclient\sccltui.exe * 2516
O23 - 服务: scclient (scclient) - C:\WINDOWS\system32\Pclient\scclient.exe(自动)
O23 - 服务: scguardc (scguardc) - C:\WINDOWS\system32\Pclient\scguardc.exe(自动)
由于朋友的电脑里装有瑞星2012杀毒软件,所以是病毒的可能性不大。想把这3个文件上传到多杀毒引擎网站上进行扫描,不实找不到C:\WINDOWS\system32\Pclient这个文件夹!也3个文件自然也找不到了。
下载 DrWeb CureIt!进行扫描,结果如下:
C:\WINDOWS\system32\Pclient\AMTClientDll.dll - 确定
C:\WINDOWS\system32\Pclient\ats.xml - 确定
C:\WINDOWS\system32\Pclient\blLog.dll - 确定
C:\WINDOWS\system32\Pclient\Block.exe - 确定
C:\WINDOWS\system32\Pclient\blUI.dll - 确定
C:\WINDOWS\system32\Pclient\ClientScript.xml - 确定
C:\WINDOWS\system32\Pclient\data.xml - 确定
C:\WINDOWS\system32\Pclient\DevHelper.dll - 确定
C:\WINDOWS\system32\Pclient\devmgr.dll - 确定
C:\WINDOWS\system32\Pclient\ftdump.xml - 确定
C:\WINDOWS\system32\Pclient\init.xml - 确定
C:\WINDOWS\system32\Pclient\INSTALL.LOG - 确定
C:\WINDOWS\system32\Pclient\iobios.dll - 确定
C:\WINDOWS\system32\Pclient\iobios125.dll - 确定
C:\WINDOWS\system32\Pclient\IpMdll.dll - 确定
C:\WINDOWS\system32\Pclient\krnlmgr.dll - 确定
C:\WINDOWS\system32\Pclient\lps.xml - 确定
C:\WINDOWS\system32\Pclient\lpst.xml - 确定
C:\WINDOWS\system32\Pclient\mid.xml - 确定
C:\WINDOWS\system32\Pclient\msvcp80.dll - 确定
C:\WINDOWS\system32\Pclient\msvcr80.dll - 确定
C:\WINDOWS\system32\Pclient\nethelptools.dll - 确定
C:\WINDOWS\system32\Pclient\netmgr.dll - 压缩文件 BINARYRES
>C:\WINDOWS\system32\Pclient\netmgr.dll/data001 - 确定
C:\WINDOWS\system32\Pclient\netmgr.dll - 确定
C:\WINDOWS\system32\Pclient\pcit.exe - 确定
C:\WINDOWS\system32\Pclient\pfmcomm.dll - 确定
C:\WINDOWS\system32\Pclient\pfmscript.dll - 确定
C:\WINDOWS\system32\Pclient\pfmtask.dll - 确定
C:\WINDOWS\system32\Pclient\pfmtransmit.dll - 确定
C:\WINDOWS\system32\Pclient\pnpmgr.dll - 确定
C:\WINDOWS\system32\Pclient\pureres.dll - 确定
C:\WINDOWS\system32\Pclient\safedisk.dll - 确定
C:\WINDOWS\system32\Pclient\scclient.exe - 确定
C:\WINDOWS\system32\Pclient\sccltui.exe - 确定
C:\WINDOWS\system32\Pclient\scguardc.exe - 确定
C:\WINDOWS\system32\Pclient\StatusStrings.dll - 确定
C:\WINDOWS\system32\Pclient\Svctrl.exe - 确定
C:\WINDOWS\system32\Pclient\TCMTddl.dll - 确定
C:\WINDOWS\system32\Pclient\uninst.exe - 确定
C:\WINDOWS\system32\Pclient\wm_hooks.dll - 确定
C:\WINDOWS\system32\Pclient\modules\Appmgr.dll - 确定
C:\WINDOWS\system32\Pclient\modules\AssetMgr.dll - 确定
C:\WINDOWS\system32\Pclient\modules\Baseinfo.dll - 确定
C:\WINDOWS\system32\Pclient\modules\BatchNet.dll - 确定
C:\WINDOWS\system32\Pclient\modules\cltmgr.dll - 确定
C:\WINDOWS\system32\Pclient\modules\CtrlBios.dll - 确定
C:\WINDOWS\system32\Pclient\modules\DeskMgr.dll - 确定
C:\WINDOWS\system32\Pclient\modules\DialMgr.dll - 确定
C:\WINDOWS\system32\Pclient\modules\EquipMgr.dll - 确定
C:\WINDOWS\system32\Pclient\modules\FluxMgr.dll - 确定
C:\WINDOWS\system32\Pclient\modules\IEConfig.dll - 确定
C:\WINDOWS\system32\Pclient\modules\iospc.dll - 确定
C:\WINDOWS\system32\Pclient\modules\Ipbind.dll - 确定
C:\WINDOWS\system32\Pclient\modules\IPMCLI.dll - 确定
C:\WINDOWS\system32\Pclient\modules\NetSetup.dll - 确定
C:\WINDOWS\system32\Pclient\modules\NetShare.dll - 确定
C:\WINDOWS\system32\Pclient\modules\offlinepolicy.dll - 确定
C:\WINDOWS\system32\Pclient\modules\Patchmgr.dll - 确定
C:\WINDOWS\system32\Pclient\modules\pfmdata.dll - 确定
C:\WINDOWS\system32\Pclient\modules\pfmtimer.dll - 确定
C:\WINDOWS\system32\Pclient\modules\Proclist.dll - 确定
C:\WINDOWS\system32\Pclient\modules\prtmgm.dll - 确定
C:\WINDOWS\system32\Pclient\modules\Registry.dll - 确定
C:\WINDOWS\system32\Pclient\modules\rmtast.dll - 确定
C:\WINDOWS\system32\Pclient\modules\RunProc.dll - 确定
C:\WINDOWS\system32\Pclient\modules\saveret.dll - 确定
C:\WINDOWS\system32\Pclient\modules\SetCpName.dll 已感染: BackDoor.Infum.origin
C:\WINDOWS\system32\Pclient\modules\setuputl.dll - 确定
C:\WINDOWS\system32\Pclient\modules\SoftManage.dll - 确定
C:\WINDOWS\system32\Pclient\modules\SysAdmin.dll - 确定
C:\WINDOWS\system32\Pclient\modules\SysSafe.dll - 确定
C:\WINDOWS\system32\Pclient\modules\tranfile.dll - 确定
C:\WINDOWS\system32\Pclient\modules\vaa.dll - 确定
C:\WINDOWS\system32\Pclient\modules\WebSite.dll - 确定
C:\WINDOWS\system32\Pclient\uimodules\AdminDialog.dll - 确定
C:\WINDOWS\system32\Pclient\uimodules\PatchUI.dll - 确定
C:\WINDOWS\system32\Pclient\uimodules\safetray.dll - 确定
C:\WINDOWS\system32\Pclient\uimodules\SendMessage.dll - 确定
C:\WINDOWS\system32\Pclient\uimodules\ShutDown.dll - 确定
将 DrWeb CureIt!隔离出来的文件:
文件说明符 : C:\Documents and Settings\hcny1\DoctorWeb\Quarantine\SetCpName.dll
属性 : A---
数字签名:Shenyang GeneralSoft Co., Ltd
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2012-2-11 14:11:52
修改时间 : 2012-2-11 14:11:52
大小 : 144824 字节 141.440 KB
MD5 : cd8637b5046f5b9d60304ade56c5af47
SHA1: 89548945F0B6381F995F2E9D4450A546D25F1ED4
CRC32: 9e584c8e
上传到http://www.virscan.org/结果为:
扫描结果
| 扫描结果 : | 3%的杀软(1/36)报告发现病毒 |
| 时间 : | 2012/02/11 15:55:11 (CST) |
| 软件名称 | 引擎版本 | 病毒库版本 | 病毒库时间 | 扫描结果 | 时间 |
|---|---|---|---|---|---|
| a-squared | 5.1.0.4 | 20120210201806 | 2012-02-10 |
-
|
0.406 |
| AntiVir | 8.2.8.44 | 7.11.21.199 | 2012-01-27 |
-
|
0.232 |
| Arcavir | 2011 | 201202091446 | 2012-02-09 |
-
|
4.318 |
| Authentium | 5.1.1 | 201202100920 | 2012-02-10 |
-
|
1.513 |
| AVAST! | 4.7.4 | 120210-1 | 2012-02-10 |
-
|
0.265 |
| AVG | 10.0.1405 | 2090/4802 | 2012-02-10 |
-
|
0.281 |
| BitDefender | 7.90123.7834518 | 7.40959 | 2012-02-11 |
-
|
3.947 |
| ClamAV | 0.97.3 | 14430 | 2012-02-11 |
-
|
0.208 |
| Comodo | 5.1 | 11485 | 2012-02-11 |
-
|
2.296 |
| CP Secure | 1.3.0.5 | 2012.02.11 | 2012-02-11 |
-
|
0.257 |
| Dr.Web | 7.0.0.11250 | 2012.02.10 | 2012-02-10 |
BackDoor.Infum.origin
|
12.045 |
| F-Prot | 4.6.2.117 | 20120209 | 2012-02-09 |
-
|
0.927 |
| F-Secure | 7.02.73807 | 2012.02.07.03 | 2012-02-07 |
-
|
0.219 |
| GData | 22.3838 | 20120211 | 2012-02-11 |
-
|
7.696 |
| Ikarus | T3.1.32.20.0 | 2012.02.10.80457 | 2012-02-10 |
-
|
5.146 |
| Microsoft | 1.8001 | 2012.02.11 | 2012-02-11 |
-
|
0.155 |
| NOD32 | 3.0.21 | 6841 | 2012-01-30 |
-
|
0.164 |
| nProtect | 20120210.01 | 11789984 | 2012-02-10 |
-
|
1.230 |
| Quick Heal | 11.00 | 2012.02.10 | 2012-02-10 |
-
|
1.059 |
| Sophos | 3.28.1 | 4.74 | 2012-02-11 |
-
|
4.649 |
| Sunbelt | 3.9.2527.2 | 11528 | 2012-02-10 |
-
|
1.316 |
| The Hacker | 6.7.0.1 | v00388 | 2012-01-27 |
-
|
0.608 |
| VBA32 | 3.12.16.4 | 20120210.1015 | 2012-02-10 |
-
|
3.519 |
| ViRobot | 20120210 | 2012.02.10 | 2012-02-10 |
-
|
0.379 |
| VirusBuster | 5.4.1.7 | 14.1.211.0/7775937 | 2012-02-10 |
-
|
0.275 |
| 卡巴斯基 | 5.5.10 | 2012.02.08 | 2012-02-08 |
-
|
0.375 |
| 安博士V3 | 2012.02.11.00 | 2012.02.11 | 2012-02-11 |
-
|
4.793 |
| 安天 | 2.0.18 | 20120126.15937943 | 2012-01-26 |
-
|
0.574 |
| 江民杀毒 | 13.0.900 | 2012.01.31 | 2012-01-31 |
-
|
2.316 |
| 熊猫卫士 | 9.05.01 | 2012.02.10 | 2012-02-10 |
-
|
2.402 |
| 瑞星 | 20.0 | 23.96.04.02 | 2012-02-10 |
-
|
2.773 |
| 赛门铁克 | 1.3.0.24 | 20120210.003 | 2012-02-10 |
-
|
0.496 |
| 趋势科技 | 9.500-1005 | 8.769.00 | 2012-02-10 |
-
|
0.194 |
| 迈克菲 | 5400.1158 | 6616 | 2012-02-10 |
-
|
10.129 |
| 金山毒霸 | 2009.2.5.15 | 2012.2.10.18 | 2012-02-10 |
-
|
1.040 |
| 飞塔 | 4.3.388 | 15.195 | 2012-02-10 |
-
|
0.582 |
( http://r.virscan.org/report/4152da19721034730a6fe993d9012821.html )
只有Dr.Web一家报。应该是误报。
从网上的资料看,都是在联想电脑上发现这3个东东,而朋友的这台电脑也是配有正版Windows系统的联想电脑。于是怀疑这个东东是联想电脑预置的软件。
从网友TOM2000了解到的情况如下:
这是联想的一个远程管理软件,但是不属于联想公司,是联想外包软件之一,由沈阳一个什么网络公司维护的,主要用于对企业内部计算机范围管理,不过类型很像流氓软件。
如果不需要,可以这样删除:首先启用administrator,自定义密码,安全命令模式下(快速)更名pclient即可,即rename pclient pclient1,再启动后即可删除了。服务也可以更改。
当然,用win PE系统启动应该也可搞定。
再分享一下我老师大神的人工智能教程吧。零基础!通俗易懂!风趣幽默!还带黄段子!希望你也加入到我们人工智能的队伍中来!https://blog.csdn.net/jiangjunshow
关于顽固进程scclient exe scguardc exe sccltui exe和系统服务scclient scg相关推荐
- 进程文件: cidaemon or cidaemon.exe
进程文件: cidaemon or cidaemon.exe 进程名称: Microsoft Indexing Service 进程类别:其他进程 英文描述: cidaemon.exe is an i ...
- win7 clr20r3程序终止_mscorsvw.exe是什么进程 win7系统怎么禁用mscorsvw.exe进程【禁用方法】...
最近有位win7系统用户发现电脑运行速度越来越慢了,网络卡到不行,打开任务管理器发现cpu内存都要被mscorsvw.exe进程占满了,那么mscorsvw.exe是什么进程呢?win7系统怎么禁用m ...
- 电脑老是弹出vrvedp_m_vrvedp_m.exe是什么进程?是病毒吗?vrvedp,vrvedp.exe,,,,,,,
首页 >Exe文件大全>正文 公告: 为响应国家净网行动,部分内容已经删除,感谢网友理解. vrvedp_m.exe是什么进程?是病毒吗?vrvedp,vrvedp.exe,,,,,,, ...
- 一个window下的简单的全局快捷键向指定的进程发送的c代码与exe程序下载(二)
c代码:一个window下的简单的全局快捷键向指定的进程发送的c代码与exe程序下载 -----------------这是文件 hotkey.zip base64后的字符,复制代码时不要复制我(共2 ...
- win10taskkill无法终止进程_进程结束不掉?超级技巧干掉顽固进程!
当系统运行异常时,我们最直接的反应就是打开任务管理器,来检查是否有病毒木马进程在捣乱.可有时试图关闭来历不明的可疑进程时,却面临操作失败的困扰.这些顽固的可疑进程采用各种对抗手段,让用户对其束手无策. ...
- php cgi.exe在哪里,php-cgi.exe
php-cgi.exe进程详细介绍 php服务器的执行程序. 系统文件php-cgi.exe是存放在Windows系统文件夹中的重要文件,通常情况下是在安装操作系统过程中自动创建的,对于系统正常运行来 ...
- dwshd.sys,EASYDOWNS.sys,HBKernel32.sys,QQPlatform.exe,RDPWD.sys,easy2.exe等
dwshd.sys,EASYDOWNS.sys,HBKernel32.sys,QQPlatform.exe,RDPWD.sys,easy2.exe等 endurer 原创 2008-11-25 第1版 ...
- !EP(EXE Pack)1.4.exe
首先查壳,显示是!EP(EXE Pack)1.4.exe 根据查阅国外文献资料,试运行,发现该壳重新运行创建了自己,有一定的反调试.就像下面的情况,F9执行程序,调试器直接中断,程序还能正常运行. 于 ...
- 超级BT木马下载器 Gameservet.exe的分析 game1.exe 8888-521ww.exe qjso.exe
今天接到了一个叫Gameservet.exe的样本 测试了一下 测试结果真的让人震惊 这是个超级变态的木马下载器 当今流行的木马几乎都全了 而且最后还捣登出来个威金来 哎 现在的病毒都太厉害 那些无耻 ...
最新文章
- IT职场常见疾病之“颈椎病”
- Linux查看文件夹大小du
- JQuery自定义插件详解之Banner图滚动插件
- hdu3338 最大流
- weblogic9修改线程数设置
- Java黑皮书课后题第5章:**5.34(游戏:石头、剪刀、布)编程练习题3.17给出玩石头-剪刀-布游戏的程序。修改这个程序,让用户可以连续玩这个游戏,直到用户或者计算机赢对手两次以上为止
- 《从零开始学ASP.NET CORE MVC》:VS2019创建ASP.NET Core Web程序(三)
- ActiveX 技术疑点 一
- Vue生命周期学习总结
- 软件测试——测试用例的编写
- Hackintosh-OpenCore系列篇-Windows install
- TVS瞬态抑制二极管选型指南
- 直流有刷电机驱动板原理和测试方法
- Linux下编译程序/usr/bin/ld: cannot find -l*错误的解决方法
- C++ Learn from菜鸟教程
- 【可视化】对比与位置的艺术 - how we position and what we compare
- 股神问题 - 有股神吗? 有, 小赛就是!
- Java--实验一(2)
- C# 以GET或Post方式请求Web地址
- 阿里字体图标(iconfont)使用