关于顽固进程scclient exe

2023年12月19日发(作者：)

关于顽固进程、、和系统服务scclient、scguardc 今天一位网友在用QQ电脑管家优化系统启动项时发现两个奇怪的服务项 右击选择“打开所在目录”打开的却是c:。禁用不了。 打开任务管理器 又发现、、三个陌生的进程无法终止。 在网上搜索信息有说是恶意程序于是请我帮忙处理。

用pe_xscan扫描log对应的项目如下 pe_xscan 11-03-17 by

Purple Endurer 2012-2-11 16:22:58 Windows XP Service Pack

35.1.2600 MSIE:8.0.6001.18702 管理员用户组 正常模式

C: 2044

C: 484

C: 2516 O23 - 服务:

scclient scclient - C:自动 O23 - 服务: scguardc scguardc -

C:自动 由于朋友的电脑里装有瑞星2012杀毒软件所以是病毒的可能性不大。想把这3个文件上传到多杀毒引擎网站上进行扫描不实找不到C:WINDOWSsystem32Pclient这个文件夹也3个文件自然也找不到了。 下载 DrWeb CureIt进行扫描结果如下

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 压缩文件

BINARYRES C:/data001

- 确定 C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C:WINDOWSsystem32Pclientwm_ - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: 已感染

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定

C: - 确定 C: - 确定

C: - 确定

C: - 确定 C: - 确定 将 DrWeb CureIt隔离出来的文件 文件说明符 :

C:Documents and

属性 :

A--- 数字签名:Shenyang GeneralSoft Co. Ltd PE文件:是 获取文件版本信息大小失败 创建时间 : 2012-2-11 14:11:52

修改时间 : 2012-2-11 14:11:52 大小 : 144824 字节 141.440

KB MD5 : cd8637b5046f5b9d60304ade56c5af47 SHA1:

89548945F0B6381F995F2E9D4450A546D25F1ED4 CRC32:

9e584c8e 上传到/结果为 扫描结果

扫描结果 : 3的杀软1/36报告发现病毒 时间 : 2012/02/11

15:55:11 CST 软件名称 引擎版本 病毒库版本 病毒库时间

扫描结果 时间 a-squared 5.1.0.4 26

2012-02-10 - 0.406 AntiVir 8.2.8.44 7.11.21.199 2012-01-27 -

0.232 Arcavir 2011 2 2012-02-09 - 4.318

Authentium 5.1.1 2 2012-02-10 - 1.513 AVAST

4.7.4 120210-1 2012-02-10 - 0.265 AVG 10.0.1405 2090/4802

2012-02-10 - 0.281 BitDefender 7.90123.7834518 7.40959

2012-02-11 - 3.947 ClamAV 0.97.3 14430 2012-02-11 - 0.208

Comodo 5.1 11485 2012-02-11 - 2.296 CP Secure 1.3.0.5

2012.02.11 2012-02-11 - 0.257 7.0.0.11250 2012.02.10

2012-02-10 12.045 F-Prot 4.6.2.117

20120209 2012-02-09 - 0.927 F-Secure 7.02.73807

2012.02.07.03 2012-02-07 - 0.219 GData 22.3838 20120211

2012-02-11 - 7.696 Ikarus T3.1.32.20.0 2012.02.10.80457

2012-02-10 - 5.146 Microsoft 1.8001 2012.02.11 2012-02-11 -

0.155 NOD32 3.0.21 6841 2012-01-30 - 0.164 nProtect

20120210.01 11789984 2012-02-10 - 1.230 Quick Heal 11.00

2012.02.10 2012-02-10 - 1.059 Sophos 3.28.1 4.74 2012-02-11 -

4.649 Sunbelt 3.9.2527.2 11528 2012-02-10 - 1.316 The Hacker

6.7.0.1 v00388 2012-01-27 - 0.608 VBA32 3.12.16.4

20120210.1015 2012-02-10 - 3.519 ViRobot 20120210

2012.02.10 2012-02-10 - 0.379 VirusBuster 5.4.1.7

14.1.211.0/7775937 2012-02-10 - 0.275 卡巴斯基 5.5.10

2012.02.08 2012-02-08 - 0.375 安博士V3 2012.02.11.00

2012.02.11 2012-02-11 - 4.793 安天 2.0.18

20120126.15937943 2012-01-26 - 0.574 江民杀毒 13.0.900

2012.01.31 2012-01-31 - 2.316 熊猫卫士 9.05.01 2012.02.10

2012-02-10 - 2.402 瑞星 20.0 23.96.04.02 2012-02-10 - 2.773

赛门铁克 1.3.0.24 20120210.003 2012-02-10 - 0.496 趋势科技 9.500-1005 8.769.00 2012-02-10 - 0.194 迈克菲

5400.1158 6616 2012-02-10 - 10.129 金山毒霸 2009.2.5.15

2012.2.10.18 2012-02-10 - 1.040 飞塔 4.3.388 15.195

2012-02-10 - 0.582

/report/ 只有一家报。应该是误报。 从网上的资料看都是在联想电脑上发现这3个东东而朋友的这台电脑也是配有正版Windows系统的联想电脑。于是怀疑这个东东是联想电脑预置的软件。 从网友TOM2000了解到的情况如下 这是联想的一个远程管理软件但是不属于联想公司是联想外包软件之一由沈阳一个什么网络公司维护的主要用于对企业内部计算机范围管理不过类型很像流氓软件。 如果不需要可以这样删除首先启用administrator自定义密码安全命令模式下快速更名pclient即可即rename pclient pclient1再启动

后即可删除了。服务也可以更改。 当然用win PE系统启动应该也可搞定。