今天卡巴查出来的病毒~网上百度后发现netstat是系统文件，这是不是误报？
C:\WINDOWS\system32\dllcache\netstat.exe Email-Worm.Win32.Brontok.dr
C:\windows\system32\dllcache\netstat.exe.tmp Email-Worm.Win32.Brontok.dr
加入到卡巴6。0信任区域后重启~结果还查的~是不是６。0的卡巴有什么问题？
升级到7。0效果如何？

引用:

windows文件保护：

打开我的电脑，进入windows\system32\看看，里面有很多诸如动态链接库（.dll ）和可执行文件（.exe ）等系统文件（也有许多是属于你装的软件的），这些文件关乎系统的稳定运作，却在暴露在光天化日之下，如果被删除和被替换，就可能会造成系统运行不稳定。事实上，装软件的时候，特别是一些版本老的软件的时候，覆盖一些共享系统文件的事是常有的。

针对这一点，windows就有一个“文件保护”的后台服务。默认情况下，该服务一直处于启用状态，监视着所有受保护的系统文件，如果发现替换或移动受保护的系统文件企图，它能直接阻止。当然windows并不阻止所有这样的企图，它允许有Windows 数字签名文件替换现有文件，这样你的系统才可以更新和升级。

“系统文件检测”程序

“系统文件检测”程序是一个在命令提示符下使用的实用程序，命令是“sfc”，只有是管理员才能使用该程序，那些“大虾”们教的删除dllcache的命令“sfc/purgecache”就是用了这个程序，这个程序的作用就是检测系统文件，如果检测到受保护的文件已经被不正确的文件覆盖，它就从系统文件备份（就是dllcache）中提取正确的系统文件，替换不正确的文件。

这个程序也检测dllcache本身，如果发现dllcache已经损坏或者不能使用，可以用修复它，所谓修复，就是要你插入安装盘，它自动从中提取所需的文件。命令是“sfc /scannow”，具体各位可以查看帮助。

dllcache：

dllcache的位置在“\windows\system32\dllcache”，有350M以上，是个系统隐藏文件，这么大的体积是想减肥的xp用户盯上它的原因。

大家搜索一下windows文件夹下的某类系统文件（先取消系统文件的隐藏属性喔！），会发现有很多文件是重复的，许多文件会在system32（除dllcache)和dllcache里各有一个。所以dllcache可以看作是个备份。它的体积不是固定的，当你装一些微软系的软件，或做升级，打补丁时，安装程序会在dllcache中放一些重要文件的副本——这样他的体积就增加了。

dllcache作为备份是在使用“系统文件检测”时发挥作用的，介绍“系统文件检测”时已经做了说明。

其实dllcache里面“备份”的系统文件要比你使用的多，也就是说它准备的东西有些你还没用到，在你用到的时候，它结合“windows文件保护”就能发挥作用。比如你装了一些软件（主要是微软系），这个软件会在windows里的有关文件夹里放入已经被设定为被“windows文件保护”监视的重要文件，但要比dllcache里的旧，这时“windows文件保护”就会从dllcache里读取最新的版本替换旧的文件。

所以dllcache不只是一个简单的“备份”，它实际上“准备”了你可能会用到的所有重要系统文件，是一个备用的系统文件库。

从“删不删？”到“万全之策”

很多人问我这个问题的时候，我都说“不”，dllcache是不应该删的。

dllcache是系统隐藏文件，微软这么小心奕奕地把它藏起来总是有它的道理的。引起“删不删”的疑问是因为它体积大而用的少，不象shell，无处不用。

但删除它是危险的：

1，容易让旧版本的文件贮存系统文件夹，造成系统不稳定。

2，使“系统文件检测”程序失效，一旦使用就会提示你从安装盘把dllcache“取”回来，如果取回来，那你不就白删了?

3，升级，打补丁的时候，原来设定要放到dllcache里的备份没处放，可能会造成升级中止，或重建一个名为dllcache的文件夹来放备份。（我没删，所以我不敢确定是什么后果）。

4，当你装一些软件，或加一些硬件时，他们可能设定要从dllcache重提取一些文件出来使用，没有dllcache会造成硬件无法使用或软件无法安装。

可见，删dllcache短期内也许没关系，但长期看，你会碰到问题却不知道问题出在哪里——而这很可能是因为没有dllcache造成的。所以我强烈建议不要删。

那么那些系统盘实在太小的朋友该怎么办呢？经过研究，我找到了方法，就是把dllcache“转移”到别的盘，就象转移虚拟内存。下面容我讲来这个“完全之策”地步骤：

1,开始－>运行,键入“gpedit”－>启动“group policy”。

2，在“group policy”找到：本地计算机策略－>计算机管理－>管理模块－>system －>windows File protection

3,单击“windows File protection”，你在右面看到一个叫“Specify Windows
File Protection cache locatin”的项。这个项是设置dllcache的位置的，下面 你就知道怎么做了，我就不多说了，自己动手搞定它吧。

Google了一些信息，希望对你有帮助，删与不删，看你了

对于netstat.exe等系统工具 一般是system32目录下，系统用它们多数也是在system32下的。

或许你应该看下文件的属性，看看版本 公司等信息，或者上传到http://www.virustotal.com/zh-cn/ 扫描下啊。

最好将此文件上传。

文件 netstat.exe 接收于 2008.08.24 02:51:20 (CET)
当前状态: 完成
结果: 2/36 (5.56%)

格式化文本
打印结果

反病毒引擎	版本	最后更新	扫描结果
AhnLab-V3	2008.8.21.0	2008.08.22	-
AntiVir	7.8.1.23	2008.08.23	-
Authentium	5.1.0.4	2008.08.24	-
Avast	4.8.1195.0	2008.08.23	-
AVG	8.0.0.161	2008.08.23	-
BitDefender	7.2	2008.08.24	-
CAT-QuickHeal	9.50	2008.08.22	-
ClamAV	0.93.1	2008.08.24	-
DrWeb	4.44.0.09170	2008.08.23	-
eSafe	7.0.17.0	2008.08.21	-
eTrust-Vet	31.6.6044	2008.08.23	-
Ewido	4.0	2008.08.23	-
F-Prot	4.4.4.56	2008.08.24	-
F-Secure	7.60.13501.0	2008.08.24	-
Fortinet	3.14.0.0	2008.08.23	-
GData	2.0.7306.1023	2008.08.20	-
Ikarus	T3.1.1.34.0	2008.08.24	Email-Worm.Win32.Brontok.dr
K7AntiVirus	7.10.427	2008.08.23	-
Kaspersky	7.0.0.125	2008.08.24	Email-Worm.Win32.Brontok.dr
McAfee	5368	2008.08.22	-
Microsoft	1.3807	2008.08.24	-
NOD32v2	3382	2008.08.23	-
Norman	5.80.02	2008.08.22	-
Panda	9.0.0.4	2008.08.23	-
PCTools	4.4.2.0	2008.08.23	-
Prevx1	V2	2008.08.24	-
Rising	20.58.52.00	2008.08.23	-
Sophos	4.32.0	2008.08.23	-
Sunbelt	3.1.1575.1	2008.08.23	-
Symantec	10	2008.08.24	-
TheHacker	6.3.0.6.060	2008.08.23	-
TrendMicro	8.700.0.1004	2008.08.23	-
VBA32	3.12.8.4	2008.08.23	-
ViRobot	2008.8.22.1346	2008.08.22	-
VirusBuster	4.5.11.0	2008.08.23	-
Webwasher-Gateway	6.6.2	2008.08.23	-

附加信息

File size: 36864 bytes

MD5...: 6de07ba5032225cfa285b8ce277cc1e6

SHA1..: 08ea071074e5cc14194cc77fdde573476957848b

SHA256: a98358ded3da515b8c08a6212a9865f08babe9e968b8b03a63753cd993bb7d89

SHA512: 631e1ba5e6844994f525e8fdd334d7cc5b80db2c09a8f381689c6b61b5ad1164 db44814341c01f0f3049921d183e71a21b2413e8e6076dbd920c4a16f54b07da

PEiD..: -

PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x10039fc timedatestamp.....: 0x41107d19 (Wed Aug 04 06:07:21 2004) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x4848 0x4a00 6.34 b5cdc3159f21caf39a735845abb14c9c .data 0x6000 0xb30 0xa00 0.50 7a940d1e8c7a0e5c593f729685ad4bc1 .rsrc 0x7000 0x3740 0x3800 3.24 5ef043c4119aa92824a095dc27df8705 ( 10 imports ) > msvcrt.dll: _iob, exit, toupper, sscanf, _strupr, _c_exit, _exit, _XcptFilter, _cexit, __initenv, __getmainargs, _initterm, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, sprintf, _except_handler3, _controlfp, time, fprintf, strchr, _setmode, system > ADVAPI32.dll: LookupPrivilegeValueA, AdjustTokenPrivileges, OpenProcessToken > KERNEL32.dll: GetModuleHandleA, SetUnhandledExceptionFilter, UnhandledExceptionFilter, CloseHandle, LoadLibraryA, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, LoadLibraryExA, Sleep, FreeLibrary, HeapFree, GetProcessHeap, OpenProcess, lstrcmpiA, GetProcAddress, GetCurrentProcess, GetSystemTimeAsFileTime, TerminateProcess, GetLastError, GetSystemDirectoryA, LocalFree, FormatMessageA > DBGHELP.dll: SymInitialize, SymSetSearchPath, SymLoadModuleEx, SymGetModuleInfo64, SymCleanup > PSAPI.DLL: EnumProcessModules, GetModuleInformation, GetModuleBaseNameA, GetModuleFileNameExA > iphlpapi.dll: AllocateAndGetTcpExTableFromStack, AllocateAndGetUdpExTableFromStack, GetIcmpStatsFromStackEx, GetUdpStatsFromStackEx, AllocateAndGetUdpExTable2FromStack, GetIpStatsFromStackEx, AllocateAndGetTcpExTable2FromStack, GetTcpStatsFromStackEx > USER32.dll: CharToOemBuffA > WS2_32.dll: -, getnameinfo, -, -, -, - > ntdll.dll: RtlAllocateHeap, RtlFreeHeap, NtQuerySystemInformation > snmpapi.dll: SnmpUtilVarBindFree, SnmpUtilMemFree, SnmpUtilMemAlloc, SnmpUtilOidCpy ( 0 exports ) 这是扫描结果

应该属于误报

建议尝试上传卡巴处理

误报应该不多