none
请问netservice526.dll是什么东西? RRS feed

  • 问题

  • 最近好多台机子出现类似的情况,机子会自动往注册表的\MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify下面添加一个叫netservice526的键,其中有一个DllName的键值是c:\program files\netmeeting\netservice526.dll,请问这个netservice526.dll是什么东西呢??另外,不同的机子添加的这个键值不一样,主要在后面的数字不一样,比如有的是netservice214,有的是netservice642等等,这是病毒吗??还是说netmeeting本来就有这东西?谢谢
    2009年7月20日 5:03

答案

  • Mcafee病毒实验室已经发来邮件说确认这是病毒了,以下是mcafee的回复:

    Avert™ Sample Analysis

    McAfee Avert™ Labs, Automation

    Previously you received an Extra.Dat(s) for the following Analysis ID(s):-  5420700    
    Following further analysis, we have determined that the files below will now be correctly handled
    with DAT version 5684


            Analysis Id: 5420700
            --------------------
            
            File Name                    Findings            Detection               Type              
            =========                    ========            =========               ====              
            netservice214.dll            detected            generic.dx!bes          trojan            
            

    Solution -

    If you are using an Engine older than what is current, we strongly recommend that you upgrade as, in a lot of cases, an old engine will not identify and remove certain malware (even with a current set of DAT files). So, as well as DAT files, engines need to be updated to include regular changes and improvements made to the scanner.

    Engine and DAT updates are available at:
    <http://www.mcafee.com/apps/downloads/security_updates/dat.asp>
    • 已标记为答案 tutuit 2009年7月23日 2:48
    2009年7月23日 2:48

全部回复

  • 从路径上看,它应该是系统自带的Netmeeting的一个动态链接库文件,如果你不放心,可以把文件上传此地址进行分析:http://www.virustotal.com/zh-cn/

    2009年7月20日 5:27
  • 系统文件没有这种命名方法,估计是恶意程序伪装。
    Alexis Zhang (Microsoft MVP 2004' 2007' 2008')
    2009年7月20日 7:52
    版主
  • 或者你可以试试360安全卫士或其它恶意程序扫描工具进行扫描,以作参考。
    2009年7月20日 8:01
  • 用360扫描过,没有发现病毒,但是mcafee每隔6秒钟就警报一次,说explorer.exe要在注册表\MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify中添加这个键值。不过我把netservice526.dll这个文件改名以后就不报警了,见鬼了。
    2009年7月20日 8:53
  • 您可以尝试用一台计算机 拆卸掉麦咖啡 换其他杀毒软件,比如nod32试试会不会报毒
    如果问题没有解决,还请继续跟帖讨论。
    2009年7月20日 14:49
  • 我上http://www.virustotal.com/zh-cn查过netservice526.dll这个文件了,有16种杀毒软件报告这是病毒。搜索网上基本上都是说netservice.exe这个病毒的,但是没有发现一个netservice526.dll的。而且这个文件是在c:\program files\netmeeting下面,很诡异。
    2009年7月21日 8:45
  • 你能不能把扫描的结果发上来,让我看看那几款杀软报的,以作初步断定。

    2009年7月21日 9:50
  • 好的,下面是扫描结果。不过没法贴图片哎,搞得排版很乱,没办法,将就着看吧。病毒文件名是netservice526.dll。


    反病毒引擎	版本	最后更新	扫描结果
    a-squared 4.5.0.24 2009.07.20 Worm.Win32.AutoDoor!IK
    AhnLab-V3 5.0.0.2 2009.07.20 -
    AntiVir 7.9.0.222 2009.07.20 TR/BHO.Gen
    Antiy-AVL 2.0.3.7 2009.07.17 -
    Authentium 5.1.2.4 2009.07.20 W32/Heuristic-KPP!Eldorado
    Avast 4.8.1335.0 2009.07.19 -
    AVG 8.5.0.387 2009.07.19 -
    BitDefender 7.2 2009.07.20 DeepScan:Generic.Malware.FMYdg.AE6E72C6
    CAT-QuickHeal 10.00 2009.07.20 -
    ClamAV 0.94.1 2009.07.19 -
    Comodo 1670 2009.07.20 Worm.Win32.AutoDoor.w
    DrWeb 5.0.0.12182 2009.07.20 DLOADER.Trojan
    eSafe 7.0.17.0 2009.07.19 -
    eTrust-Vet 31.6.6623 2009.07.18 -
    F-Prot 4.4.4.56 2009.07.20 W32/Heuristic-KPP!Eldorado
    F-Secure 8.0.14470.0 2009.07.19 -
    Fortinet 3.120.0.0 2009.07.20 PossibleThreat
    GData 19 2009.07.20 DeepScan:Generic.Malware.FMYdg.AE6E72C6
    Ikarus T3.1.1.64.0 2009.07.20 Worm.Win32.AutoDoor
    Jiangmin 11.0.800 2009.07.20 -
    K7AntiVirus 7.10.796 2009.07.18 -
    McAfee 5681 2009.07.19 -
    McAfee+Artemis 5681 2009.07.19 -
    McAfee-GW-Edition 6.8.5 2009.07.20 Heuristic.BehavesLike.Win32.Downloader.H
    Microsoft 1.4803 2009.07.20 -
    NOD32 4260 2009.07.20 -
    Norman 2009.07.17 -
    nProtect 2009.1.8.0 2009.07.20 -
    Panda 10.0.0.14 2009.07.19 Trj/CI.A
    PCTools 4.4.2.0 2009.07.19 -
    Prevx 3.0 2009.07.20 -
    Rising 21.39.01.00 2009.07.20 Trojan.PSW.Win32.GameOnline.duj
    Sophos 4.43.0 2009.07.20 Mal/MassMail-A
    Sunbelt 3.2.1858.2 2009.07.19 -
    Symantec 1.4.4.12 2009.07.20 Trojan Horse
    TheHacker 6.3.4.3.370 2009.07.17 -
    TrendMicro 8.950.0.1094 2009.07.20 -
    VBA32 3.12.10.8 2009.07.19 -
    ViRobot 2009.7.20.1842 2009.07.20 -
    VirusBuster 4.6.5.0 2009.07.16 -
    2009年7月22日 2:57
  • 另外还有个奇怪的现象,很多机子的mcafee都报警是有程序往注册表写如一些东西。写入的键和上面的很类似,都是下面这些。不过哪个文件就不一定。

    C:\WINDOWS\system32\services.exe    \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ GbPluginBb\MaxWait   
    C:\WINDOWS\system32\services.exe    \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ GbPluginBb\DllName   
    C:\WINDOWS\system32\services.exe    \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ GbPluginBb\Impersonate   
    C:\WINDOWS\system32\services.exe    \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ GbPluginBb\Startup   
    C:\windows\system32\services.exe    \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ GbPluginBb\MaxWait   
    C:\windows\system32\services.exe    \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ GbPluginBb\DllName   
    C:\windows\system32\services.exe    \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ GbPluginBb\Asynchronous
    2009年7月22日 2:59
  • Mcafee病毒实验室已经发来邮件说确认这是病毒了,以下是mcafee的回复:

    Avert™ Sample Analysis

    McAfee Avert™ Labs, Automation

    Previously you received an Extra.Dat(s) for the following Analysis ID(s):-  5420700    
    Following further analysis, we have determined that the files below will now be correctly handled
    with DAT version 5684


            Analysis Id: 5420700
            --------------------
            
            File Name                    Findings            Detection               Type              
            =========                    ========            =========               ====              
            netservice214.dll            detected            generic.dx!bes          trojan            
            

    Solution -

    If you are using an Engine older than what is current, we strongly recommend that you upgrade as, in a lot of cases, an old engine will not identify and remove certain malware (even with a current set of DAT files). So, as well as DAT files, engines need to be updated to include regular changes and improvements made to the scanner.

    Engine and DAT updates are available at:
    <http://www.mcafee.com/apps/downloads/security_updates/dat.asp>
    • 已标记为答案 tutuit 2009年7月23日 2:48
    2009年7月23日 2:48