Da li mi je računar zaražen (sfc

[ owim @ 28.06.2011. 05:12 ] @

O zdravlju mog laptop računara brine ESET NOD32 ver. 3. Bio sam na očigledno "osetljivoj" web-stranici (hteo da skinem "osakaćeni" Nero, iliti Nero Micro). NOD32 se tada aktivirao i sam pobrisao .exe fajlove koju su uleteli u FireFox folder. Međutim, baš kao što Sigurni Viver misli da je pobila Elijena a nosi ga i dalje sa sobom, pribojavam se sličnog ishoda.

Od tada, a nikada ranije, stalno mi se prikazuje ova greška, uvek na istom fajlu: sfc_os.dll (menja se samo aplikacija koja poziva, u poslednjem redu):

Posle skena svih drajvova, NOD32 u Full Scan modu prijavljuje samo ovaj fajl kao problematičan, ništa sem toga. Fajl je deo OS-a, ne sme/ne može da se obriše. Poludeću od njega, stalno se pojavljuje NOD32 prozor. Mogu da isključim NOD32 alerts, ali to baš loše rešenje.

Međutim, fajl nije modifikovan (ni binarno, ni datum i vreme). Iz Win instalacije, iz CAB arhive otpakovao sam isti fajl i binarno uporedio da li su isti:

NOD32 i svežeotpakovani fajl vidi kao trojanca, iako ovu instalaciju imam dve godine i isti NOD i do maločas nikad se nije javio. Fake Trojan?

Evo šta kaže McAfee za ovaj moj Patched SFC_os.dll:

Citat:

This software is not a virus or a Trojan. The "PatchedSFC" is intended to disable Windows File Protection (WFP).

Moja instalacija ima disejblovan WFP, pogledao sam u Registry. Ovaj fajl deluje ok, možda me virus samo navodi da se bavim ovim fajlom, dok on "rovari" negde drugde?

Čitam dalje, kapiram da je samo loš savet:

Citat:

When your antivirus program detects your sfc_os.dll system file as being a Trojan you should be concerned. Unlike most infected files, if you delete or move this file, your system may become unbootable or at the very least revert to the blue error screen with every boot. It is very nice that most antivirus programs make it especially easy to delete needed system files. This is a serious problem, and chances are that if you are reading this, then you've already deleted the sfc_os.dll from your system or are thinking about doing it in the interest of ridding your computer of yet another rogue trojan.

_{The Solutions:

- Download a clean copy of sfc_os.dll and copy it over the existing file or empty space (if you deleted it already) in Windows/System32 With the new file in place you should be fine.

- If your computer is already unbootable or has the error screen. Download the sfc_os.dll file to a jump drive via another computer, then use Knoppix Linux to boot and access your computer. When you are inside, copy the clean sfc_os.dll to the directory of Windows/System32 on the system and reboot. Windows should be able to start and run now.

After you are done, or perhaps before, you may want to disable Windows File Protection, which sfc_os.dll happens to be a part of, to give yourself a slight increase in performance and stop those annoying messages from appearing.}

Meni je WFP već disejblovan! Nisam obrisao fajl jer je isti kao iz CAB Win install arhive. Da bih ga obrisao i zamenio moram da butujem drugi OS koji nemam na laptopu.

Drugi programi -- sad testirao
Anti-spyware:
Lava Ad-Aware samo Tracking Coockies
AVG Antispyware 7.5 takođe samo Tracking Coockies

Antivirus:
F-Secure online scan -- isto Tracking Coockies
AVG Free Edition -- sve čisto.

A meni ovakvi prozori samo iskaču:

U \Temp\ folderu je svežeotpakovani DLL iz CAB arhive. Isti NOD32 nikad ranije tokom full scan-a nije nalazio ovog "uljeza" iz \System32\ foldera. Odjednom mi ne da mira. Any hints?

_{[Ovu poruku je menjao owim dana 28.06.2011. u 07:31 GMT+1]}

[ valjan @ 28.06.2011. 08:30 ] @

Samo sto se Ellen Ripley ne bori protiv Ailena prackom nego bacacem plamena i M41A Pulse Rifle. Tvoj NOD je praistorija, uzmi nesto sveze. Cak iako prijavis Eset-u false positive, mislim da ce ti oni sami predloziti da instaliras noviji i nece se puno stresirati oko toga. Uploaduj taj dll na www.virustotal.com, ako dobijes upozorenje da je fajl vec skeniran ti ga ignorisi pa klikni na link ispod i trazi da bude ponovo skeniran, i proveri rezultate. Ako niko ne pronadje nista sumnjivo, menjaj AV, ako samo NOD pronadje nesto sumnjivo, takodje, ako vise od trecine prijavi virus, zabrini se...

[ owim @ 28.06.2011. 09:24 ] @

Citat:

File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:
MD5: dd7758db700bd511255b064c2d9106b3
Date first seen: 2009-02-19 22:39:41 (UTC)
Date last seen: 2011-06-28 07:46:13 (UTC)
Detection ratio: 5/42

Osećam se kao Elen Riplii sa početka filma

, dok nije imala M41A Pulse Rifle.

Ovorio si mi oči ovim sajtom! Umesto bar 5 sati koliko sam do sada potrošio, mogao sam 5 minuta! Gomila ljudi ga je već upload-ovala, "fake positive" je. Zapravo, sinoćna NOD-ova blokada webstrane i uklanjanje EXE fajlvova nema nikakve veze sa ovim fajom -- slučajno hronološko poklapanje! U skoro isto vreme stigao je NOD update u kojem se nalazi ovaj fake positive!

NOD32 ga je danas dodao:

Citat:

NOD32 ..... ver. 6245 ....... 2011.06.28 ....... Win32/Patched.NAW

Ostaviću ceo svoj post da drugi ne prave iste greške. Hvala za ovaj sajt, virustotal.com!

Ima preko 15 komentara za ovaj fajl i to za NOD32 s današnjim datumom i svima se desilo "kad su uključili računar, odjednom je NOD pocrveneo". Prvi postovi su dramatični, dok kako vreme ide svi kapiraju da je fake:

Citat:

Detected by my ESET Smart Security when I booted up my computer. Hoping it hasn't done anything dangerous yet.

It basically removes the protection from your system files so the hacker can delete your system files at will :\

BTW, oko antivirusa, svako svog konja hvala a tuđeg kudi; o istima ne znam ništa, čuo sam "razne priče". Iako ne idem u "inficirane oblasti", NOD32 me dugo godina dobro služi. Kog ata ujahati sad?

[ Goran Mijailovic @ 28.06.2011. 22:12 ] @

Ok, fake alert.

Necemo po stoti put da pocinjemo pricu o tome koji je AV najbolji

Da li mi je računar zaražen (sfc_os.dll)?

Da li mi je računar zaražen (sfc_os.dll)?