2012-02-03 17:34:23 +0000 2012-02-03 17:34:23 +0000
7
7

Hoe kan ik Windows Firewall herstellen nadat een malware de service heeft verwijderd?

Gisteren bezocht ik een website, en blijkbaar werd ik geïnfecteerd via een Flash exploit. Microsoft Security Essentials kwam onmiddellijk in actie, en gaf een waarschuwing over vier items:

> Trojan:Win64/Sirefef.B 
> DDoS:Win32/Fareit.gen!A 
> Rogue:Win32/FakeRean
> PWS:Win32/Karagany.A

Ik verwijderde ze, en dacht dat Security Essentials de infectie had gevangen voordat het kwaad kon. Vandaag ontdekte ik echter dat de Windows Firewall service volledig verdwenen was, ik kan Firewall niet bezoeken in het Configuratiescherm, “Base Filtering Engine” service is gemarkeerd als uitgeschakeld. Gekeken in de Process Explorer, niets verdachts gezien. Extra antivirus scans hebben niets opgeleverd.

Vragen:

  • Hoe kan ik mijn firewall weer laten werken?
  • Wat maken deze virussen nog meer kapot, zodat ik kan controleren of ik er ook last van heb?

Ik weet dat de beste manier van handelen is om Windows opnieuw te installeren of te herstellen vanaf een backup. Ik zou graag willen weten of er nog een andere optie is…

Antwoorden (5)

6
6
6
2012-02-03 19:56:44 +0000

U zou waarschijnlijk Malware Bytes of SpyBot S&D moeten draaien om er zeker van te zijn dat er niets anders (malware/spyware/adware) met uw systeem rotzooit. Een gratis online scan bij eSet om er zeker van te zijn dat alles weg is, kan een goed idee zijn.

Zodra u weet dat het systeem schoon is, opent u een verhoogde opdrachtprompt en voert u SFC /SCANNOW uit om de systeembestandscontrole uit te voeren. Als die klaar is, start je opnieuw op en kijk je of je firewallservice terug is.

Als SFC niet werkt kun je deze diagnostic van Microsoft proberen.

2
2
2
2012-11-24 07:54:49 +0000

Methode 1: Roep de functie “Setup API InstallHinfSection” op om Windows Firewall te installeren Om Windows Firewall te installeren, volgt u deze stappen:

Click Start, click Run, type cmd, and then click OK.
At the command prompt, type the following command line, and then press ENTER:
Rundll32 setupapi,InstallHinfSection Ndi-Steelhead 132 %windir%\inf\netrass.inf
Restart Windows,
Click Start, click Run, type cmd, and then click OK.
At the command prompt, type the following command, and then press ENTER:
Netsh firewall reset
Click Start, click Run, type firewall.cpl, and then press ENTER. In the Windows Firewall dialog box, click On (recommended), and then click OK.

Methode 2: Voeg de Windows Firewall-vermelding toe aan het register Belangrijk Deze sectie, methode of taak bevat stappen die u vertellen hoe u het register moet wijzigen. Er kunnen echter ernstige problemen optreden als u het register onjuist wijzigt. Zorg er daarom voor dat u deze stappen zorgvuldig uitvoert. Maak voor extra bescherming een back-up van het register voordat u het wijzigt. Dan kunt u het register herstellen als zich een probleem voordoet. Voor meer informatie over het maken van back-ups van het register en het terugzetten ervan, klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven: 322756 Een back-up maken van het register en dit herstellen in Windows

Om de vermelding Windows Firewall aan het register toe te voegen, volgt u deze stappen:

Copy the following text into Notepad, and then save the file as Sharedaccess.reg:

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"DependOnGroup"=hex(7):00,00
"DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\
  6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00
"Description"="Provides network address translation, addressing, name resolution and/or intrusion prevention services for a home or small office network."
"DisplayName"="Windows Firewall/Internet Connection Sharing (ICS)"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"ObjectName"="LocalSystem"
"Start"=dword:00000002
"Type"=dword:00000020

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:00002cd0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\
  00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup]
"ServiceUpgrade"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate]
"All"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum]
"0"="Root\LEGACY_SHAREDACCESS\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

Double-click Sharedaccess.reg to merge the contents of this file into the registry and to create the Windows Firewall entry.
Restart Windows.
Click Start, click Run, type cmd, and then click OK.
At the command prompt, type the following command, and then press ENTER:
Netsh firewall reset
Click Start, click Run, type firewall.cpl, and then click OK.
Configure the Windows Firewall settings that you want to use.

Als deze methoden niet werken, installeert u Windows XP SP2 opnieuw.

1
1
1
2013-05-02 09:54:57 +0000

Na succesvolle verwijdering van de hierboven genoemde virussen als u vindt Windows Firewall niet werkt met een 800 fout. Dan is de kans groot dat afhankelijkheden zoals BFE, sharedaccess verwijderd of beschadigd zijn samen met de firewall service.

Service kan worden herbouwd na het downloaden van een betrouwbare bron, waarvoor ik vertrouw Bleeping Computer . Na het herbouwen van de services kan het zijn dat ze niet starten en fouten geven zoals access denied. Daarvoor moet je naar hkey_local_machine\system\currentcontrolset\services\bfe & sharedaccess gaan en toestemming geven aan de gespecificeerde gebruiker.

Als alternatief zou u naar Firewall start niet op Windows 7 kunnen gaan.

0
0
0
2015-08-30 05:58:27 +0000

Ik zie een aantal verwijderde antwoorden die een aantal nuttige dingen vermelden

Blijkbaar suggereerde slhck Bleeping Computer’s Windows Repair (All In One) http://www.bleepingcomputer.com/download/windows-repair-all-in-one/

Dat werkte voor de OP.

Iemand anders suggereerde http://heresjaken.com/windows-firewall-service-is-missing-in-windows-7/

Dat heeft een reg fix die voor een bepaalde fout kan zijn, maar het vermeldde ook een ander Bleeping Computer tool genaamd far bar, waarvan er twee schijnen te zijn. http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ http://www.bleepingcomputer.com/download/farbar-service-scanner/

-1
-1
-1
2012-02-03 17:48:20 +0000

Ik zou nog niet herstellen of opnieuw installeren. U zou in staat moeten zijn om de Malicious Software tool te draaien en van daaruit verder te gaan, afhankelijk van de resultaten. Als het niets oplevert, ga dan terug naar MS en zoek naar een .MSC plugin voor Firewall.

Je moet er zeker van zijn dat je alles hebt verwijderd, het kan zijn dat je alleen het virus/de kwaadaardige code moet verwijderen en Firewall moet herstellen.