sfc_os.dll

Valhalla

Guru

17. dec 2007

4.710

1.362

113

• 28. jun 2011

• #1

Danes mi je od cca. 100 delujočih računalnikov v firmi, na 40-ih javilo, da je datoteka okužena (glej sliko).

Google ne najde nič, ta trojanski konj pa je zmožen ustaviti npr. Print Spooler ali pa kakšen tretji service.

V firmi imamo licenčni Nod32, ki ga ni zaustavil. Rešitev sem našel samo v preimenovanju sfc_os.dll v sfc_os.OLD in nato antivirus zbriše to datoteko po ponovnem zagonu. Še prej pa je treba kopirati v windows/system32 čisto verzijo iz neokuženega računalnika.

Bojim se, da rešitev ni trajna. Ali je komu to kaj znano?

 

Priponke

• 
  1246436-sfc_os-dll.jpg

  27,3 KB · Ogledi: 117

Nazadnje urejeno: 28. jun 2011

S

SouthPark

Jas da nea vem?! Ka te je...

5. sep 2007

24.570

5

38

Klobukarjev dol

• 28. jun 2011

• #2

Mgooče ti bo to kaj pomagalo:

http://vil.nai.com/vil/content/v_249816.htm

The "PatchedSFC" is intended to disable Windows File Protection (WFP).

Windows File Protection is a mechanism, used to protect the windows system files and to prevent users/attackers to modify/delete system files.

Also, WFP uses System File check DLL (sfc_os.dll) to replace the system files when it is missed/damaged.

This binary is created by patching two bytes of the legitimate file (sfc_os.dll). Thus it provides access to attackers/users to replace/delete system files.

The following registry value has been modified

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
“SFCDisable” = "ffffff9d"

-------

Zagon kakega MBAM predvidevam da odpade?

 

S

stein

Fizikalc

16. sep 2007

19.575

1

36

• 28. jun 2011

• #3

Lahko pogledaš na spletnih straneh večjih AV ponudnikov, če imajo namenski program za odstranjevanje točno te nadloge.

 

T

tinko1a

Zelenc'

28. jun 2011

1

0

1

• 28. jun 2011

• #4

mislim da je to NOD32 problem... tudi meni se je to pojavilo...

sem mal brskal internet je baje "false positiv detection" s strani NOD32...

http://www.elitesecurity.org/t432305-Da-li-mi-je-racunar-zarazen-sfc-os-dll

LP
M

 

Valhalla

Guru

17. dec 2007

4.710

1.362

113

• 29. jun 2011

• #5

Hvala vsem! Mislim, da je bil k sreči lažen alarm včeraj in da je z novo včerajšno poznopopoldansko zbirko mir. Je bilo pa kar veliko nepotrebnega dela...

 

I

Izbrisan uporabnik #488

• 29. jun 2011

• #6

Enako se je včeraj pojavilo pri znanki.

Kliknila je briši itd. V končni fazi ji je pobrisalo tiskalnike in se niso dali več namestiti, ker je takoj javilo napako.

Nisem si več belil glave in naredil popoldne format in clean install, sem bil prej fertig kot pa če bi iskal napako.

Nod32 pa ima seveda licenčen. Prokleti antivirusi.

 

S

stein

Fizikalc

16. sep 2007

19.575

1

36

• 29. jun 2011

• #7

V takih primerih prav pride "second opinion", torej kontrola na omenjenem http://virusscan.jotti.org/