C:\WINDOWS\system32\dllcache\netstat.exe Email-Worm.Win32.Brontok.dr
今天卡巴查出来的病毒~网上百度后发现netstat是系统文件,这是不是误报?C:\WINDOWS\system32\dllcache\netstat.exe Email-Worm.Win32.Brontok.dr
C:\windows\system32\dllcache\netstat.exe.tmp Email-Worm.Win32.Brontok.dr
加入到卡巴6。0信任区域后重启~结果还查的~是不是6。0的卡巴有什么问题?
升级到7。0效果如何?[:12:] [quote]windows文件保护:
打开我的电脑,进入windows\system32\看看,里面有很多诸如动态链接库(.dll )和可执行文件(.exe )等系统文件(也有许多是属于你装的软件的),这些文件关乎系统的稳定运作,却在暴露在光天化日之下,如果被删除和被替换,就可能会造成系统运行不稳定。事实上,装软件的时候,特别是一些版本老的软件的时候,覆盖一些共享系统文件的事是常有的。
针对这一点,windows就有一个“文件保护”的后台服务。默认情况下,该服务一直处于启用状态,监视着所有受保护的系统文件,如果发现替换或移动受保护的系统文件企图,它能直接阻止。当然windows并不阻止所有这样的企图,它允许有Windows 数字签名文件替换现有文件,这样你的系统才可以更新和升级。
“系统文件检测”程序
“系统文件检测”程序是一个在命令提示符下使用的实用程序,命令是“sfc”,只有是管理员才能使用该程序,那些“大虾”们教的删除dllcache的命令“sfc/purgecache”就是用了这个程序,这个程序的作用就是检测系统文件,如果检测到受保护的文件已经被不正确的文件覆盖,它就从系统文件备份(就是dllcache)中提取正确的系统文件,替换不正确的文件。
这个程序也检测dllcache本身,如果发现dllcache已经损坏或者不能使用,可以用修复它,所谓修复,就是要你插入安装盘,它自动从中提取所需的文件。命令是“sfc /scannow”,具体各位可以查看帮助。
dllcache:
dllcache的位置在“\windows\system32\dllcache”,有350M以上,是个系统隐藏文件,这么大的体积是想减肥的xp用户盯上它的原因。
大家搜索一下windows文件夹下的某类系统文件(先取消系统文件的隐藏属性喔!),会发现有很多文件是重复的,许多文件会在system32(除dllcache)和dllcache里各有一个。所以dllcache可以看作是个备份。它的体积不是固定的,当你装一些微软系的软件,或做升级,打补丁时,安装程序会在dllcache中放一些重要文件的副本——这样他的体积就增加了。
dllcache作为备份是在使用“系统文件检测”时发挥作用的,介绍“系统文件检测”时已经做了说明。
其实dllcache里面“备份”的系统文件要比你使用的多,也就是说它准备的东西有些你还没用到,在你用到的时候,它结合“windows文件保护”就能发挥作用。比如你装了一些软件(主要是微软系),这个软件会在windows里的有关文件夹里放入已经被设定为被“windows文件保护”监视的重要文件,但要比dllcache里的旧,这时“windows文件保护”就会从dllcache里读取最新的版本替换旧的文件。
所以dllcache不只是一个简单的“备份”,它实际上“准备”了你可能会用到的所有重要系统文件,是一个备用的系统文件库。
从“删不删?”到“万全之策”
很多人问我这个问题的时候,我都说“不”,dllcache是不应该删的。
dllcache是系统隐藏文件,微软这么小心奕奕地把它藏起来总是有它的道理的。引起“删不删”的疑问是因为它体积大而用的少,不象shell,无处不用。
但删除它是危险的:
1,容易让旧版本的文件贮存系统文件夹,造成系统不稳定。
2,使“系统文件检测”程序失效,一旦使用就会提示你从安装盘把dllcache“取”回来,如果取回来,那你不就白删了?
3,升级,打补丁的时候,原来设定要放到dllcache里的备份没处放,可能会造成升级中止,或重建一个名为dllcache的文件夹来放备份。(我没删,所以我不敢确定是什么后果)。
4,当你装一些软件,或加一些硬件时,他们可能设定要从dllcache重提取一些文件出来使用,没有dllcache会造成硬件无法使用或软件无法安装。
可见,删dllcache短期内也许没关系,但长期看,你会碰到问题却不知道问题出在哪里——而这很可能是因为没有dllcache造成的。所以我强烈建议不要删。
那么那些系统盘实在太小的朋友该怎么办呢?经过研究,我找到了方法,就是把dllcache“转移”到别的盘,就象转移虚拟内存。下面容我讲来这个“完全之策”地步骤:
1,开始->运行,键入“gpedit”->启动“group policy”。
2,在“group policy”找到:本地计算机策略->计算机管理->管理模块->system ->windows File protection
3,单击“windows File protection”,你在右面看到一个叫“Specify Windows
File Protection cache locatin”的项。这个项是设置dllcache的位置的,下面 你就知道怎么做了,我就不多说了,自己动手搞定它吧。[/quote]
Google了一些信息,希望对你有帮助,删与不删,看你了
对于netstat.exe等系统工具 一般是system32目录下,系统用它们多数也是在system32下的。
或许你应该看下文件的属性,看看版本 公司等信息,或者上传到[url=http://www.virustotal.com/zh-cn/]http://www.virustotal.com/zh-cn/[/url] 扫描下啊。 最好将此文件上传。 文件 netstat.exe 接收于 2008.08.24 02:51:20 (CET)
当前状态: 完成
结果: [color=red]2[/color]/36 (5.56%)
[align=right][float=left][size=11px][img=14,14]http://www.virustotal.com/img/compress-icon.png[/img] [url=http://www.virustotal.com/zh-cn/analisis/578e060e0baded363ab836b0a8571d76#][color=#800080]格式化文本[/color][/url] [/size][/float]
[size=11px][color=#0000ff]打印结果[/color] [img=14,14]http://www.virustotal.com/img/print-icon.png[/img] [/size]
[/align]
[table=550][tr][td]反病毒引擎[/td][td]版本[/td][td]最后更新[/td][td]扫描结果[/td][/tr][tr][td]AhnLab-V3[/td][td]2008.8.21.0[/td][td]2008.08.22[/td][td]-[/td][/tr][tr][td]AntiVir[/td][td]7.8.1.23[/td][td]2008.08.23[/td][td]-[/td][/tr][tr][td]Authentium[/td][td]5.1.0.4[/td][td]2008.08.24[/td][td]-[/td][/tr][tr][td]Avast[/td][td]4.8.1195.0[/td][td]2008.08.23[/td][td]-[/td][/tr][tr][td]AVG[/td][td]8.0.0.161[/td][td]2008.08.23[/td][td]-[/td][/tr][tr][td]BitDefender[/td][td]7.2[/td][td]2008.08.24[/td][td]-[/td][/tr][tr][td]CAT-QuickHeal[/td][td]9.50[/td][td]2008.08.22[/td][td]-[/td][/tr][tr][td]ClamAV[/td][td]0.93.1[/td][td]2008.08.24[/td][td]-[/td][/tr][tr][td]DrWeb[/td][td]4.44.0.09170[/td][td]2008.08.23[/td][td]-[/td][/tr][tr][td]eSafe[/td][td]7.0.17.0[/td][td]2008.08.21[/td][td]-[/td][/tr][tr][td]eTrust-Vet[/td][td]31.6.6044[/td][td]2008.08.23[/td][td]-[/td][/tr][tr][td]Ewido[/td][td]4.0[/td][td]2008.08.23[/td][td]-[/td][/tr][tr][td]F-Prot[/td][td]4.4.4.56[/td][td]2008.08.24[/td][td]-[/td][/tr][tr][td]F-Secure[/td][td]7.60.13501.0[/td][td]2008.08.24[/td][td]-[/td][/tr][tr][td]Fortinet[/td][td]3.14.0.0[/td][td]2008.08.23[/td][td]-[/td][/tr][tr][td]GData[/td][td]2.0.7306.1023[/td][td]2008.08.20[/td][td]-[/td][/tr][tr][td]Ikarus[/td][td]T3.1.1.34.0[/td][td]2008.08.24[/td][td]Email-Worm.Win32.Brontok.dr[/td][/tr][tr][td]K7AntiVirus[/td][td]7.10.427[/td][td]2008.08.23[/td][td]-[/td][/tr][tr][td]Kaspersky[/td][td]7.0.0.125[/td][td]2008.08.24[/td][td]Email-Worm.Win32.Brontok.dr[/td][/tr][tr][td]McAfee[/td][td]5368[/td][td]2008.08.22[/td][td]-[/td][/tr][tr][td]Microsoft[/td][td]1.3807[/td][td]2008.08.24[/td][td]-[/td][/tr][tr][td]NOD32v2[/td][td]3382[/td][td]2008.08.23[/td][td]-[/td][/tr][tr][td]Norman[/td][td]5.80.02[/td][td]2008.08.22[/td][td]-[/td][/tr][tr][td]Panda[/td][td]9.0.0.4[/td][td]2008.08.23[/td][td]-[/td][/tr][tr][td]PCTools[/td][td]4.4.2.0[/td][td]2008.08.23[/td][td]-[/td][/tr][tr][td]Prevx1[/td][td]V2[/td][td]2008.08.24[/td][td]-[/td][/tr][tr][td]Rising[/td][td]20.58.52.00[/td][td]2008.08.23[/td][td]-[/td][/tr][tr][td]Sophos[/td][td]4.32.0[/td][td]2008.08.23[/td][td]-[/td][/tr][tr][td]Sunbelt[/td][td]3.1.1575.1[/td][td]2008.08.23[/td][td]-[/td][/tr][tr][td]Symantec[/td][td]10[/td][td]2008.08.24[/td][td]-[/td][/tr][tr][td]TheHacker[/td][td]6.3.0.6.060[/td][td]2008.08.23[/td][td]-[/td][/tr][tr][td]TrendMicro[/td][td]8.700.0.1004[/td][td]2008.08.23[/td][td]-[/td][/tr][tr][td]VBA32[/td][td]3.12.8.4[/td][td]2008.08.23[/td][td]-[/td][/tr][tr][td]ViRobot[/td][td]2008.8.22.1346[/td][td]2008.08.22[/td][td]-[/td][/tr][tr][td]VirusBuster[/td][td]4.5.11.0[/td][td]2008.08.23[/td][td]-[/td][/tr][tr][td]Webwasher-Gateway[/td][td]6.6.2[/td][td]2008.08.23[/td][td]-[/td][/tr][/table][table=550][tr][td]附加信息[/td][/tr][tr][td]File size: 36864 bytes[/td][/tr][tr][td]MD5...: 6de07ba5032225cfa285b8ce277cc1e6[/td][/tr][tr][td]SHA1..: 08ea071074e5cc14194cc77fdde573476957848b[/td][/tr][tr][td]SHA256: a98358ded3da515b8c08a6212a9865f08babe9e968b8b03a63753cd993bb7d89[/td][/tr][tr][td]SHA512: 631e1ba5e6844994f525e8fdd334d7cc5b80db2c09a8f381689c6b61b5ad1164
db44814341c01f0f3049921d183e71a21b2413e8e6076dbd920c4a16f54b07da[/td][/tr][tr][td]PEiD..: -[/td][/tr][tr][td]PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x10039fc
timedatestamp.....: 0x41107d19 (Wed Aug 04 06:07:21 2004)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4848 0x4a00 6.34 b5cdc3159f21caf39a735845abb14c9c
.data 0x6000 0xb30 0xa00 0.50 7a940d1e8c7a0e5c593f729685ad4bc1
.rsrc 0x7000 0x3740 0x3800 3.24 5ef043c4119aa92824a095dc27df8705
( 10 imports )
> msvcrt.dll: _iob, exit, toupper, sscanf, _strupr, _c_exit, _exit, _XcptFilter, _cexit, __initenv, __getmainargs, _initterm, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, sprintf, _except_handler3, _controlfp, time, fprintf, strchr, _setmode, system
> ADVAPI32.dll: LookupPrivilegeValueA, AdjustTokenPrivileges, OpenProcessToken
> KERNEL32.dll: GetModuleHandleA, SetUnhandledExceptionFilter, UnhandledExceptionFilter, CloseHandle, LoadLibraryA, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, LoadLibraryExA, Sleep, FreeLibrary, HeapFree, GetProcessHeap, OpenProcess, lstrcmpiA, GetProcAddress, GetCurrentProcess, GetSystemTimeAsFileTime, TerminateProcess, GetLastError, GetSystemDirectoryA, LocalFree, FormatMessageA
> DBGHELP.dll: SymInitialize, SymSetSearchPath, SymLoadModuleEx, SymGetModuleInfo64, SymCleanup
> PSAPI.DLL: EnumProcessModules, GetModuleInformation, GetModuleBaseNameA, GetModuleFileNameExA
> iphlpapi.dll: AllocateAndGetTcpExTableFromStack, AllocateAndGetUdpExTableFromStack, GetIcmpStatsFromStackEx, GetUdpStatsFromStackEx, AllocateAndGetUdpExTable2FromStack, GetIpStatsFromStackEx, AllocateAndGetTcpExTable2FromStack, GetTcpStatsFromStackEx
> USER32.dll: CharToOemBuffA
> WS2_32.dll: -, getnameinfo, -, -, -, -
> ntdll.dll: RtlAllocateHeap, RtlFreeHeap, NtQuerySystemInformation
> snmpapi.dll: SnmpUtilVarBindFree, SnmpUtilMemFree, SnmpUtilMemAlloc, SnmpUtilOidCpy
( 0 exports )
这是扫描结果
[/td][/tr][/table] 应该属于误报
建议尝试上传卡巴处理 误报应该不多
页:
[1]