none
请问netservice526.dll是什么东西? RRS feed

 > 

  • 问题

  • Question
    登录进行投票
    0
    登录进行投票
    最近好多台机子出现类似的情况,机子会自动往注册表的\MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify下面添加一个叫netservice526的键,其中有一个DllName的键值是c:\program files\netmeeting\netservice526.dll,请问这个netservice526.dll是什么东西呢??另外,不同的机子添加的这个键值不一样,主要在后面的数字不一样,比如有的是netservice214,有的是netservice642等等,这是病毒吗??还是说netmeeting本来就有这东西?谢谢
    2009年7月20日 5:03
    |

答案

  • Question
    登录进行投票
    0
    登录进行投票
    Mcafee病毒实验室已经发来邮件说确认这是病毒了,以下是mcafee的回复:

    Avert™ Sample Analysis

    McAfee Avert™ Labs, Automation

    Previously you received an Extra.Dat(s) for the following Analysis ID(s):-  5420700    
    Following further analysis, we have determined that the files below will now be correctly handled
    with DAT version 5684


            Analysis Id: 5420700
            --------------------
            
            File Name                    Findings            Detection               Type              
            =========                    ========            =========               ====              
            netservice214.dll            detected            generic.dx!bes          trojan            
            

    Solution -

    If you are using an Engine older than what is current, we strongly recommend that you upgrade as, in a lot of cases, an old engine will not identify and remove certain malware (even with a current set of DAT files). So, as well as DAT files, engines need to be updated to include regular changes and improvements made to the scanner.

    Engine and DAT updates are available at:
    <http://www.mcafee.com/apps/downloads/security_updates/dat.asp>
    • 已标记为答案 tutuit 2009年7月23日 2:48
    2009年7月23日 2:48
    |

全部回复

  • Question
    登录进行投票
    0
    登录进行投票

    从路径上看,它应该是系统自带的Netmeeting的一个动态链接库文件,如果你不放心,可以把文件上传此地址进行分析:http://www.virustotal.com/zh-cn/

    2009年7月20日 5:27
    |
  • Question
    登录进行投票
    0
    登录进行投票
    系统文件没有这种命名方法,估计是恶意程序伪装。
    Alexis Zhang (Microsoft MVP 2004' 2007' 2008')
    2009年7月20日 7:52
    |
    版主
  • Question
    登录进行投票
    0
    登录进行投票
    或者你可以试试360安全卫士或其它恶意程序扫描工具进行扫描,以作参考。
    2009年7月20日 8:01
    |
  • Question
    登录进行投票
    0
    登录进行投票
    用360扫描过,没有发现病毒,但是mcafee每隔6秒钟就警报一次,说explorer.exe要在注册表\MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify中添加这个键值。不过我把netservice526.dll这个文件改名以后就不报警了,见鬼了。
    2009年7月20日 8:53
    |
  • Question
    登录进行投票
    0
    登录进行投票
    您可以尝试用一台计算机 拆卸掉麦咖啡 换其他杀毒软件,比如nod32试试会不会报毒
    如果问题没有解决,还请继续跟帖讨论。
    2009年7月20日 14:49
    |
  • Question
    登录进行投票
    0
    登录进行投票
    我上http://www.virustotal.com/zh-cn查过netservice526.dll这个文件了,有16种杀毒软件报告这是病毒。搜索网上基本上都是说netservice.exe这个病毒的,但是没有发现一个netservice526.dll的。而且这个文件是在c:\program files\netmeeting下面,很诡异。
    2009年7月21日 8:45
    |
  • Question
    登录进行投票
    0
    登录进行投票

    你能不能把扫描的结果发上来,让我看看那几款杀软报的,以作初步断定。

    2009年7月21日 9:50
    |
  • Question
    登录进行投票
    0
    登录进行投票
    好的,下面是扫描结果。不过没法贴图片哎,搞得排版很乱,没办法,将就着看吧。病毒文件名是netservice526.dll。


    反病毒引擎	版本	最后更新	扫描结果
    
a-squared	4.5.0.24	2009.07.20	Worm.Win32.AutoDoor!IK
    
AhnLab-V3	5.0.0.2	2009.07.20	-
    
AntiVir	7.9.0.222	2009.07.20	TR/BHO.Gen
    
Antiy-AVL	2.0.3.7	2009.07.17	-
    
Authentium	5.1.2.4	2009.07.20	W32/Heuristic-KPP!Eldorado
    
Avast	4.8.1335.0	2009.07.19	-
    
AVG	8.5.0.387	2009.07.19	-
    
BitDefender	7.2	2009.07.20	DeepScan:Generic.Malware.FMYdg.AE6E72C6
    
CAT-QuickHeal	10.00	2009.07.20	-
    
ClamAV	0.94.1	2009.07.19	-
    
Comodo	1670	2009.07.20	Worm.Win32.AutoDoor.w
    
DrWeb	5.0.0.12182	2009.07.20	DLOADER.Trojan
    
eSafe	7.0.17.0	2009.07.19	-
    
eTrust-Vet	31.6.6623	2009.07.18	-
    
F-Prot	4.4.4.56	2009.07.20	W32/Heuristic-KPP!Eldorado
    
F-Secure	8.0.14470.0	2009.07.19	-
    
Fortinet	3.120.0.0	2009.07.20	PossibleThreat
    
GData	19	2009.07.20	DeepScan:Generic.Malware.FMYdg.AE6E72C6
    
Ikarus	T3.1.1.64.0	2009.07.20	Worm.Win32.AutoDoor
    
Jiangmin	11.0.800	2009.07.20	-
    
K7AntiVirus	7.10.796	2009.07.18	-
    
McAfee	5681	2009.07.19	-
    
McAfee+Artemis	5681	2009.07.19	-
    
McAfee-GW-Edition	6.8.5	2009.07.20	Heuristic.BehavesLike.Win32.Downloader.H
    
Microsoft	1.4803	2009.07.20	-
    
NOD32	4260	2009.07.20	-
    
Norman		2009.07.17	-
    
nProtect	2009.1.8.0	2009.07.20	-
    
Panda	10.0.0.14	2009.07.19	Trj/CI.A
    
PCTools	4.4.2.0	2009.07.19	-
    
Prevx	3.0	2009.07.20	-
    
Rising	21.39.01.00	2009.07.20	Trojan.PSW.Win32.GameOnline.duj
    
Sophos	4.43.0	2009.07.20	Mal/MassMail-A
    
Sunbelt	3.2.1858.2	2009.07.19	-
    
Symantec	1.4.4.12	2009.07.20	Trojan Horse
    
TheHacker	6.3.4.3.370	2009.07.17	-
    
TrendMicro	8.950.0.1094	2009.07.20	-
    
VBA32	3.12.10.8	2009.07.19	-
    
ViRobot	2009.7.20.1842	2009.07.20	-
    
VirusBuster	4.6.5.0	2009.07.16	-
    2009年7月22日 2:57
    |
  • Question
    登录进行投票
    0
    登录进行投票
    另外还有个奇怪的现象,很多机子的mcafee都报警是有程序往注册表写如一些东西。写入的键和上面的很类似,都是下面这些。不过哪个文件就不一定。

    C:\WINDOWS\system32\services.exe    \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ GbPluginBb\MaxWait   
    C:\WINDOWS\system32\services.exe    \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ GbPluginBb\DllName   
    C:\WINDOWS\system32\services.exe    \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ GbPluginBb\Impersonate   
    C:\WINDOWS\system32\services.exe    \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ GbPluginBb\Startup   
    C:\windows\system32\services.exe    \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ GbPluginBb\MaxWait   
    C:\windows\system32\services.exe    \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ GbPluginBb\DllName   
    C:\windows\system32\services.exe    \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ GbPluginBb\Asynchronous
    2009年7月22日 2:59
    |
  • Question
    登录进行投票
    0
    登录进行投票
    Mcafee病毒实验室已经发来邮件说确认这是病毒了,以下是mcafee的回复:

    Avert™ Sample Analysis

    McAfee Avert™ Labs, Automation

    Previously you received an Extra.Dat(s) for the following Analysis ID(s):-  5420700    
    Following further analysis, we have determined that the files below will now be correctly handled
    with DAT version 5684


            Analysis Id: 5420700
            --------------------
            
            File Name                    Findings            Detection               Type              
            =========                    ========            =========               ====              
            netservice214.dll            detected            generic.dx!bes          trojan            
            

    Solution -

    If you are using an Engine older than what is current, we strongly recommend that you upgrade as, in a lot of cases, an old engine will not identify and remove certain malware (even with a current set of DAT files). So, as well as DAT files, engines need to be updated to include regular changes and improvements made to the scanner.

    Engine and DAT updates are available at:
    <http://www.mcafee.com/apps/downloads/security_updates/dat.asp>
    • 已标记为答案 tutuit 2009年7月23日 2:48
    2009年7月23日 2:48
    |