Wie kann die Windows-Firewall wiederhergestellt werden, nachdem Malware ihren Dienst gelöscht hat?

7

Gestern habe ich eine Website besucht und mich anscheinend über einen Flash-Exploit infiziert. Microsoft Security Essentials wurde sofort aktiviert und zeigte eine Warnung zu vier Elementen an:

> Trojan:Win64/Sirefef.B 
> DDoS:Win32/Fareit.gen!A 
> Rogue:Win32/FakeRean
> PWS:Win32/Karagany.A

Ich habe sie gelöscht und dachte, Security Essentials habe die Infektion erkannt, bevor sie Schaden anrichtete. Heute habe ich jedoch festgestellt, dass der Windows-Firewalldienst vollständig verschwunden ist. Ich kann die Firewall in der Systemsteuerung nicht aufrufen. Der Dienst "Base Filtering Engine" ist als deaktiviert markiert. Sah im Prozess-Explorer nach, sah nichts Verdächtiges. Zusätzliche Antivirenscans haben nichts ergeben.

Fragen:

  • Wie kann ich meine Firewall wieder in ihr Leben zurückversetzen?
  • Was brechen diese Viren sonst noch, damit ich überprüfen kann, ob ich betroffen bin?

Ich weiß, dass die beste Vorgehensweise darin besteht, Windows neu zu installieren oder aus dem Backup wiederherzustellen. Ich würde gerne wissen, ob es eine andere Option gibt ...

haimg
quelle
Ich würde sagen, Ihr erster Schritt sollte darin bestehen, eine Art Firewall von Drittanbietern zu installieren, bevor Sie weiter verbrannt werden. Suchen Sie außerdem nach einer Datei mit dem Namen "wpbt0.dll" und deaktivieren Sie diese, falls vorhanden.
Daniel R Hicks
Ein harter Anruf, es kann lange dauern, bis er wieder richtig funktioniert, mit den Dingen, die sie ausgeschaltet haben. Unter XP würde ich eine sogenannte "Lapped-Installation" durchführen. Hier installieren Sie erneut ohne Format. Dadurch wird das "System" zurückgesetzt, ohne die Einstellungen und Änderungen des Benutzers zu beschädigen. Dies ist eine Art Super-Duper-SFC-Scan. In Windows 7 habe ich nur einmal von diesem Vorgang gehört und es nie versucht.
Psycogeek
Ich würde wahrscheinlich mit dem Versuch beginnen :-), alles zurückzusetzen. SFC-Scan und anschließende Aktivierung der Dienste mithilfe eines Registrierungsimports können verschiedene Viren-Tools wie combofix einen Teil davon ausführen. Im Fall von combofix werden jedoch auch andere Änderungen vorgenommen, die ich nicht wollte, obwohl sie möglicherweise sicherer sind. Es gibt viele Registrierungsimporte im Web, die Certian-Elemente "reparieren". Ich weiß am Ende, dass ich mein "Image-Backup" zurückgeben oder wegen "Unbekannter" neu installieren werde, selbst wenn ich unterwegs etwas lerne.
Psycogeek

Antworten:

6

Sie sollten wahrscheinlich Malware Bytes oder SpyBot S & D ausführen , um sicherzustellen, dass nichts anderes (Malware / Spyware / Adware) mit Ihrem System in Konflikt gerät . Ein kostenloser Online-Scan bei eSet , um sicherzustellen, dass alles weg ist, ist möglicherweise eine gute Idee.

Wenn Sie wissen, dass das System sauber ist, öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten und führen Sie sie aus, um die Systemdateiprüfung SFC /SCANNOWauszuführen. Wenn dies erledigt ist, starten Sie neu und prüfen Sie, ob Ihr Firewall-Dienst wieder verfügbar ist.

Wenn SFC nicht funktioniert, können Sie diese Diagnose von Microsoft versuchen .

CharlieRB
quelle
2
+1 Ich wusste, dass Windows Systemdateien wiederherstellen kann, war mir aber nicht sicher, wie. Habe heute etwas Neues gelernt.
Evan Plaice
Das Diagnosetool ist noch nicht für Windows 8 bereit. Gibt es eine andere Problemumgehung?
Larry
@Laurent Diese Frage und Antwort ist spezifisch für Windows 7. Hier ist nicht der beste Ort, um eine Frage zu stellen. Möglicherweise möchten Sie nach Windows 8-Firewall-Problemen suchen oder Ihre eigene Frage stellen, um spezifische Hilfe zu erhalten.
CharlieRB
1
@CharlieRB, ja du hast recht. In der Zwischenzeit habe ich ein Tool gefunden, das dies für beide Systeme behebt: Es ist auf tweaking.com "Windows-Reparatur alles in einem". Ich habe gut für meine Firewall gearbeitet.
Larry
2

Methode 1: Rufen Sie die Funktion "Setup API InstallHinfSection" auf, um die Windows-Firewall zu installieren. Führen Sie die folgenden Schritte aus, um die Windows-Firewall zu installieren:

Click Start, click Run, type cmd, and then click OK.
At the command prompt, type the following command line, and then press ENTER:
Rundll32 setupapi,InstallHinfSection Ndi-Steelhead 132 %windir%\inf\netrass.inf
Restart Windows,
Click Start, click Run, type cmd, and then click OK.
At the command prompt, type the following command, and then press ENTER:
Netsh firewall reset
Click Start, click Run, type firewall.cpl, and then press ENTER. In the Windows Firewall dialog box, click On (recommended), and then click OK.

Methode 2: Hinzufügen des Windows-Firewall-Eintrags zur Registrierung Wichtig Dieser Abschnitt, diese Methode oder Aufgabe enthält Schritte, in denen Sie erfahren, wie Sie die Registrierung ändern. Es können jedoch schwerwiegende Probleme auftreten, wenn Sie die Registrierung falsch ändern. Stellen Sie daher sicher, dass Sie diese Schritte sorgfältig ausführen. Sichern Sie für zusätzlichen Schutz die Registrierung, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Klicken Sie auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen, um weitere Informationen zum Sichern und Wiederherstellen der Registrierung zu erhalten: 322756 So sichern und wiederherstellen Sie die Registrierung in Windows

Gehen Sie folgendermaßen vor, um den Windows-Firewall-Eintrag zur Registrierung hinzuzufügen:

Copy the following text into Notepad, and then save the file as Sharedaccess.reg:

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"DependOnGroup"=hex(7):00,00
"DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\
  6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00
"Description"="Provides network address translation, addressing, name resolution and/or intrusion prevention services for a home or small office network."
"DisplayName"="Windows Firewall/Internet Connection Sharing (ICS)"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"ObjectName"="LocalSystem"
"Start"=dword:00000002
"Type"=dword:00000020

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:00002cd0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\
  00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup]
"ServiceUpgrade"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate]
"All"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum]
"0"="Root\\LEGACY_SHAREDACCESS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

Double-click Sharedaccess.reg to merge the contents of this file into the registry and to create the Windows Firewall entry.
Restart Windows.
Click Start, click Run, type cmd, and then click OK.
At the command prompt, type the following command, and then press ENTER:
Netsh firewall reset
Click Start, click Run, type firewall.cpl, and then click OK.
Configure the Windows Firewall settings that you want to use.

Wenn diese Methoden nicht funktionieren, installieren Sie Windows XP SP2 neu.

Ganesh
quelle
Sie sollten eine Referenz für diese Registrierungsbearbeitung
hinzufügen
1

Nach erfolgreicher Entfernung der oben genannten Viren, wenn Sie feststellen, dass die Windows-Firewall mit 800 Fehlern nicht funktioniert. Dann besteht die Möglichkeit, dass Abhängigkeiten wie BFE, Sharedaccess und der Firewall-Dienst gelöscht oder beschädigt wurden.

Der Dienst kann nach dem Herunterladen von einer zuverlässigen Quelle wiederhergestellt werden, für die ich Bleeping Computer vertraue . Nach dem Wiederherstellen der Dienste werden sie möglicherweise nicht gestartet und werfen Fehler wie den verweigerten Zugriff aus. Gehen Sie dazu zu hkey_local_machine\system\currentcontrolset\services\bfe& sharedaccessund fügen Sie dem angegebenen Benutzer die Berechtigung hinzu.

Alternativ können Sie zur Firewall gehen, die unter Windows 7 nicht startet .

atechmate
quelle
0

Ich sehe einige gelöschte Antworten, die einige nützliche Dinge erwähnen

Anscheinend schlug slhck Bleeping Computer vor Windows Repair (All In One)

http://www.bleepingcomputer.com/download/windows-repair-all-in-one/

Das hat beim OP funktioniert.

Jemand anderes schlug vor, http://heresjaken.com/windows-firewall-service-is-missing-in-windows-7/

Das hat eine Reg-Korrektur, die für einen bestimmten Fehler sein kann, aber es wurde auch ein anderes piependes Computer-Tool namens Far Bar erwähnt, von denen es zwei zu geben scheint.

http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/

http://www.bleepingcomputer.com/download/farbar-service-scanner/

Barlop
quelle
-1

Ich würde noch nicht wiederherstellen oder neu installieren. Sie sollten in der Lage sein, das Tool für schädliche Software auszuführen und von dort abhängig von den Ergebnissen fortzufahren. Wenn es leer ist, kehren Sie zu MS zurück und suchen Sie nach einem MSC-Plugin für die Firewall.

Sie möchten sicherstellen, dass Sie alles entfernt haben. Möglicherweise müssen Sie nur den Virus / Schadcode entfernen und die Firewall wiederherstellen.

Apesa
quelle
1
Die Frage ist, wie man die Firewall wiederherstellt. Dienst fehlt, msc Snap-In würde nicht geöffnet (Fehler 0x6D9) ...
haimg
Wenn Sie sicher sind, dass das System sauber ist, führen Sie den System File Checker an der Eingabeaufforderung aus: sfc / scannow (Leerzeichen zwischen c und /) und drücken Sie die Eingabetaste. Wenn das Scannen abgeschlossen ist und ein Bericht erstellt wird, starten Sie den Computer neu, um festzustellen, ob der Firewalldienst wieder verfügbar ist.
Moab
A) Sie haben nicht angegeben, wie Sie es wiederherstellen sollen. B) Es gibt kein MSC bla bla, Sie meinen MMC, und ich denke, Sie versuchen vielleicht, dies zu sagen. Sevenforums.com/tutorials/… Ich weiß nicht, ob das so ist wird helfen
Barlop