[sfc_os.dll] Avira lo rileva come virus. Lo è veramente?

[flok2000]

Ciao, oggi facendo una scansione di controllo con Malwarebytes' Anti-Malware mi apriva in contemporanea la schermata di Avira che rilevava un virus in C/Windows/system32/file sfc_os.dll. Nonostante il flag su "elimina" la schermata compariva più volte, non permettendomi neanche l'eliminazione manuale. Finita la scanione di MAM (che peraltro non ha trovato nessun file nocivo) sono riuscito ad eliminare manualmente il file sfc_os.dll in questione. Immediatamente dopo il sistema mi ha richiesto di inserire il CD di windows XP sp3 per ripristinare il file ma ho annullato l'operazione ignorando il relativo avviso che il sistema poteva essere instabile. Ora mi domando, questo sfc_os.dll è veramente un virus ed ho fatto bene a toglierlo anche in maniera "rozza" oppure è un falso positivo ovvero un file effettivamente utile (magari necessario) per il corretto funzionamento e stabilità del sistema?

[xcdegasp]

è un file che serve a windows per comparare gli archivi di sistema per decretarne la validità.

mai e dico mai cancellare oggetti manualmente senza essersi fatto una copia di tale oggetto! ora tu stesso puoi comprendere che non sarà così immediato ripristinare tale oggetto.

avresti dovuto farlo scansionare da http://virscan.org e http://www.virustotal.com i quali ti darebbero un report di analisi per moltissimi antivirus, questo ti permette di capire meglio se un oggetto è maligno o un falso allarme.
inoltre puoi farlo scansionare su http://www.threatexpert.com/ nel quale basta registrarsi e uppare il file per poi ricevere in un secondo momento in email il report dell'analisi automatica.

ora ripristina l'oggetto dal cd di windows o da un pc con windows patchato alla stessa maniera

[flok2000]

Quote:

Originariamente inviato da xcdegasp

è un file che serve a windows per comparare gli archivi di sistema per decretarne la validità.

mai e dico mai cancellare oggetti manualmente senza essersi fatto una copia di tale oggetto! ora tu stesso puoi comprendere che non sarà così immediato ripristinare tale oggetto.

avresti dovuto farlo scansionare da http://virscan.org e http://www.virustotal.com i quali ti darebbero un report di analisi per moltissimi antivirus, questo ti permette di capire meglio se un oggetto è maligno o un falso allarme.
inoltre puoi farlo scansionare su http://www.threatexpert.com/ nel quale basta registrarsi e uppare il file per poi ricevere in un secondo momento in email il report dell'analisi automatica.

ora ripristina l'oggetto dal cd di windows o da un pc con windows patchato alla stessa maniera

Grazie per il preciso ed esaustivo intervento. Effettivamente è come tu dici, è un file "importante" in quanto, quando ho riavviato il PC è comparsa una scritta che diceva "impossibile trovare il file sfc_os.dll". Poi, premendo OK il sistema si è avviato cosicchè ho scaricato la dll in questione e tutto è tornato nella normalità. Come si dice....sbagliando si impara

[xcdegasp]

ottimo

[raxas]

l'sfc_os.dll è quello che si modifica per permettere poi di fare più di 10 connessioni fino a 100 o illimitate sul file tcpip_sys....
oggi è capitato pure a me, Antivir lo rileva come:

sfc_os.dll contiene il modello di rilevamento dell'applicazione APPL/Agent. 171520.A-

i fatti possono essere due:
o in occasione dell'aggiornamento di Antivir questo è stato deciso come file infetto (pur non essendolo) o è realmente infetto.

però se con l'utility EvID4226Patch223d-en si modda, pur facendone un backup, Antivir lo segnala sempre, quindi credo che è proprio una cosa decisa da Antivir...
nell'attesa non ci si può mettere ad avere ad ogni avvio le segnalazioni Antivir...

[xcdegasp]

esiste una casella email dove segnalare i falsi positivi affinchè siano corretti e solitamente quelli di avira sono veloci nel correggere.. quindi animo

in windows Seven 64bit e senza usare quella patch inutile problemi di allert non se ne riscontrano e nemmeno in xp sp3 senza patch

[raxas]

cmq ricordavo male, ho un xp sp3 modificato ma non il file tcp.ip_sys
tra l'altro applicando EvID4226Patch223d-en che si scarica da lvllord.de etc dovrebbe cambiarsi tcpip_.sys e segnalato come eventualmente infettato ...
ma invece è sfc_os.dll a rivelare problemi...

cmq su questa cosa della patch (superflua) alle connessioni non ero aggiornato... all'epoca si fece un gran casino per avere il file moddato

[Sullo82]

Quote:

Originariamente inviato da flok2000

Grazie per il preciso ed esaustivo intervento. Effettivamente è come tu dici, è un file "importante" in quanto, quando ho riavviato il PC è comparsa una scritta che diceva "impossibile trovare il file sfc_os.dll". Poi, premendo OK il sistema si è avviato cosicchè ho scaricato la dll in questione e tutto è tornato nella normalità. Come si dice....sbagliando si impara

da dove l'hai scaricato?

[flok2000]

Quote:

Originariamente inviato da Sullo82

da dove l'hai scaricato?

hai mp

[xcdegasp]

Quote:

Originariamente inviato da raxas

cmq ricordavo male, ho un xp sp3 modificato ma non il file tcp.ip_sys
tra l'altro applicando EvID4226Patch223d-en che si scarica da lvllord.de etc dovrebbe cambiarsi tcpip_.sys e segnalato come eventualmente infettato ...
ma invece è sfc_os.dll a rivelare problemi...

cmq su questa cosa della patch (superflua) alle connessioni non ero aggiornato... all'epoca si fece un gran casino per avere il file moddato

ai tempi fu detto subito che diminuiva solo il tempo di un paio di minuti e che il vantaggio era assolutamente inferiore agli svantaggi a cui portava.. ma come spesso succede si è diffusa più velocemente la voce del "partito preso" rispetto a chi diffondeva la cultura.

tutt'oggi ci sono convinte ancora che la patch apra mondi agli altri sconosciuti ma non per questo hanno ragione

[Jaisai]

Ciao, anche a me alcuni giorni fa, aprendo il computer, Avira mi martellava segnalando un virus in C/Windows/system32/file sfc_os.dll contemporaneamente in ben due computer separati e, tra l’altro, da poco formattati. Il sistema operativo è ‘Windows 2000/XP/VISTA Workstation’.
In uno, ho messo il file in quarantena e, quando ho riavviato il PC sono di seguito comparse due scritte che dicevano così: " Winlogon.exe: Impossibile individuare un componente " e " Sidebar.exe: sfc_os.dll non è stato trovato Una nuova installazione potrebbe risolvere il problema". Comunque, premendo l’OK, il sistema si avviava.
Nel secondo PC, ho selezionato “Ignora” e, per quella sessione, non riappariva più la schermata che senza interruzione rilevava il virus. Alla fine, dopo aver messo il file in quarantena anche in quest’ultimo caso, ho deciso di scaricare da DllDump.com (Dll file archive) il file sfc_os.dll e tutto è tornato alla normalità.
Mi sono resa conto che il file, importante per comparare gli archivi di sistema, era realmente infetto e non solamente deciso come tale (pur non essendolo) in occasione dell'aggiornamento di Antivir.
Grazie anche a voi e alla vostra corrispondenza che mi ha aiutato a capirne qualcosa e a venirne fuori!

[bottoni]

il problema è capitato pure al sottoscritto ...addirittura avira mi rilevava un virus in winlogon.exe ...tanto è vero che ho dovuto ripristinarlo xchè xp non partiva ..credo sia un altro falso positivo ...