PatchedSFC


SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es		Anterior

Detecciones de PatchedSFC en ficheros de sistema de Windows

Nombre de virus: PatchedSFC
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Detección: desde DATS 5055
Motor necesario: 5.1.00
Infección actual: Inicial (Inicial, Media, Elevada)

Los últimos dos días hemos recibido incidencias de usuarios relativas a la detección de PatchedSFC en ficheros SFC.DLL y/o SFC_OS.DLL del sistema operativo.

La detección PatchedSFC se refiere a un componente de Protección de Ficheros de Windows, que ha sido modificado (o parcheado). Existe malware que modifica este componente con la finalidad de infectar ficheros protegidos de Windows, sin provocar una alerta de Protección de Ficheros de Windows.

La modificación del SFC.DLL, o SFC_OS.DLL indica que algún componente malicioso se ha ejecutado en el sistema infectado.

Síntomas

La Protección de Ficheros de Windows deja de tener efecto. En algunos casos nos han indicado la imposibilidad de poder imprimir y/o iniciar el sistema.

Detección y eliminación

Se ha actualizado la detección de PatchedSFC con los DATS 5055 y motor de exploración 5.1.00. Al tratarse de ficheros de sistema que han sido modificados, existen tres vías para proceder a su recuperación:

1.- Iniciar el sistema operativo en modo Consola de Recuperación, y sobreescribir %system32%\SFC.DLL y/o %system32%\SFC_OS.DLL, por los ficheros originales (obtener previamente los ficheros originales de otro equipo que tenga mismo sistema operativo y versiones de parches).

Realizar la misma operación de sobreescritura para %system32%\dllcache\SFC.DLL y

%system32%\dllcache\SFC_OS.DLL.

2.- Otra alternativa a iniciar en modo Consola Recuperación, sería sobreescribir los ficheros mencionados, conectando el disco duro afectado como esclavo de otro sistema.

3.- Realizar una Reparación de Sistema (tener presente que tras una reparación de sistema será preciso volver a aplicar todos los parches de actualización de Windows via WindowsUpdate).

Notas:

El modo Consola de Recuperación puede no estar instalado en el sistema. Si fuera este el caso, es posible instalarlo a través del siguiente comando de instalación del CD de Windows: \i386\winnt32.exe /cmdcons

Una vez instalada la consola de recuperación pulsar la tecla F8 durante el inicio del equipo y seleccionar el modo consola de recuperación en el menú de inicio de Windows.

SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA 22 de Junio de 2007

Detección y eliminación Se ha actualizado la detección de PatchedSFC con los DATS 5055 y motor de exploración 5.1.00. Al tratarse de ficheros de sistema que han sido modificados, existen tres vías para proceder a su recuperación:

Detección y eliminación

Se ha actualizado la detección de PatchedSFC con los DATS 5055 y motor de exploración 5.1.00. Al tratarse de ficheros de sistema que han sido modificados, existen tres vías para proceder a su recuperación: