Como restaurar o Firewall do Windows depois que algum malware excluiu seu serviço?

7

Ontem, visitei um site e aparentemente fui infectado por meio de uma exploração do Flash. O Microsoft Security Essentials imediatamente entrou em ação e exibiu um aviso sobre quatro itens:

> Trojan:Win64/Sirefef.B 
> DDoS:Win32/Fareit.gen!A 
> Rogue:Win32/FakeRean
> PWS:Win32/Karagany.A

Eu os deletei e achei que o Security Essentials pegou a infecção antes de causar algum dano. No entanto, hoje descobri que o serviço Firewall do Windows desapareceu completamente, não posso visitar o Firewall no Painel de Controle, o serviço "Mecanismo de Filtragem de Base" está marcado como desativado. Olhou no Process Explorer, não vi nada de suspeito. Análises adicionais de antivírus não revelaram nada.

Perguntas:

  • Como posso devolver meu firewall de volta à sua vida?
  • O que mais esses vírus quebram, para que eu possa verificar se estou afetado?

Sei que o melhor curso de ação é reinstalar o Windows ou restaurar a partir do backup. Eu gostaria de saber se existe alguma outra opção ...

    
por haimg 03.02.2012 / 18:34

5 respostas

6

Você provavelmente deve executar Malware Bytes ou SpyBot S & D para garantir que não haja mais nada (malware / spyware / adware) mexendo com o seu sistema. Uma verificação on-line gratuita no eSet só para ter certeza de que tudo acabou, pode ser uma boa ideia.

Quando souber que o sistema está limpo, abra um prompt de comando com privilégios elevados e execute SFC /SCANNOW para executar a Verificação de Arquivo do Sistema. Quando estiver pronto, reinicie e veja se o seu serviço de firewall está de volta.

Se o SFC não funcionar, você pode tentar este diagnóstico da Microsoft.

    
por 03.02.2012 / 20:56
2

Método 1: Chame a função "Setup InstallHinfSection API" para instalar o Firewall do Windows Para instalar o Firewall do Windows, siga estas etapas:

Click Start, click Run, type cmd, and then click OK.
At the command prompt, type the following command line, and then press ENTER:
Rundll32 setupapi,InstallHinfSection Ndi-Steelhead 132 %windir%\inf\netrass.inf
Restart Windows,
Click Start, click Run, type cmd, and then click OK.
At the command prompt, type the following command, and then press ENTER:
Netsh firewall reset
Click Start, click Run, type firewall.cpl, and then press ENTER. In the Windows Firewall dialog box, click On (recommended), and then click OK.

Método 2: Adicione a entrada do Firewall do Windows ao registro Importante Esta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, podem ocorrer sérios problemas se você modificar o registro incorretamente. Portanto, certifique-se de seguir estas etapas cuidadosamente. Para proteção adicional, faça o backup do registro antes de modificá-lo. Em seguida, você pode restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft: 322756 Como fazer backup e restaurar o registro no Windows

Para adicionar a entrada do Firewall do Windows ao registro, siga estas etapas:

Copy the following text into Notepad, and then save the file as Sharedaccess.reg:

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"DependOnGroup"=hex(7):00,00
"DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\
  6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00
"Description"="Provides network address translation, addressing, name resolution and/or intrusion prevention services for a home or small office network."
"DisplayName"="Windows Firewall/Internet Connection Sharing (ICS)"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"ObjectName"="LocalSystem"
"Start"=dword:00000002
"Type"=dword:00000020

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:00002cd0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\
  00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup]
"ServiceUpgrade"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate]
"All"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum]
"0"="Root\LEGACY_SHAREDACCESS\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

Double-click Sharedaccess.reg to merge the contents of this file into the registry and to create the Windows Firewall entry.
Restart Windows.
Click Start, click Run, type cmd, and then click OK.
At the command prompt, type the following command, and then press ENTER:
Netsh firewall reset
Click Start, click Run, type firewall.cpl, and then click OK.
Configure the Windows Firewall settings that you want to use.

Se esses métodos não funcionarem, reinstale o Windows XP SP2.

    
por 24.11.2012 / 08:54
1

Após a remoção bem-sucedida dos vírus mencionados acima, se você achar que o Firewall do Windows não está funcionando com algum erro 800. Então é provável que dependências como BFE, sharedaccess tenham sido deletadas ou corrompidas junto com o serviço de firewall.

O serviço pode ser recriado após o download de uma fonte confiável, para a qual confio Bleeping Computer . Após a reconstrução dos serviços, eles podem não iniciar e lançar erros como o acesso negado. Para isso você deve ir para hkey_local_machine\system\currentcontrolset\services\bfe & sharedaccess e adicionar permissão ao usuário especificado.

Alternativamente, você pode acessar o O Firewall não será iniciado no Windows 7 .

    
por 02.05.2013 / 11:54
0

Eu vejo algumas respostas excluídas que mencionam algumas coisas úteis

Aparentemente, o slhck sugeriu Windows Repair (All In One)

do Bleeping Computer

link

Isso funcionou para o OP.

Alguém sugeriu link

Isso tem uma correção de registro que pode ser para um erro em particular, mas também mencionou outra ferramenta de computador chamada barra distante, da qual parece haver dois ..

link

link

    
por 30.08.2015 / 07:58
-1

Eu não restauraria nem reinstalaria ainda. Você deve ser capaz de executar a ferramenta de software mal-intencionado e ir a partir daí, dependendo dos resultados. Se ele retornar vazio, volte para o MS e procure por um plugin .MSC para o Firewall.

Você quer ter certeza de que removeu tudo, pode ser que você só precise remover o vírus / código malicioso e restaurar o Firewall.

    
por 03.02.2012 / 18:48