マルウェアによってサービスが削除された後、Windows ファイアウォールを復元するにはどうすればよいですか?

tag-icon tag-icon windows-7 malware windows-firewall
マルウェアによってサービスが削除された後、Windows ファイアウォールを復元するにはどうすればよいですか?

昨日、ある Web サイトを訪問したところ、どうやら Flash の脆弱性によって感染してしまったようです。Microsoft Security Essentials がすぐに起動し、次の 4 つの項目に関する警告が表示されました。

> Trojan:Win64/Sirefef.B 
> DDoS:Win32/Fareit.gen!A 
> Rogue:Win32/FakeRean
> PWS:Win32/Karagany.A

これらを削除し、Security Essentials が感染が害を及ぼす前に検出したと考えました。しかし、今日、Windows ファイアウォール サービスが完全に消え、コントロール パネルのファイアウォールにアクセスできず、「Base Filtering Engine」サービスが無効になっていることがわかりました。プロセス エクスプローラーで確認しましたが、疑わしいものは見つかりませんでした。追加のウイルス対策スキャンでも何も見つかりませんでした。

質問:

  • ファイアウォールを元の状態に戻すにはどうすればよいですか?
  • これらのウイルスは他に何を破壊するのでしょうか? 影響を受けるかどうか確認できますか?

最善の策は Windows を再インストールするか、バックアップから復元することだとわかっています。他に選択肢があるかどうか知りたいのですが...

答え1

おそらく走るべきだろうマルウェアバイトまたはスパイボットS&Dシステムに侵入するマルウェア/スパイウェア/アドウェアが他にないか確認します。無料のオンラインスキャンはeセットすべて消えたことを確認するのは良い考えかもしれません。

システムがクリーンであることを確認したら、管理者特権のコマンド プロンプトを開き、SFC /SCANNOWシステム ファイル チェックを実行します。完了したら、再起動してファイアウォール サービスが復旧したかどうかを確認します。

SFCが機能しない場合は、これを試してください診断マイクロソフトから。

答え2

方法 1: 「Setup API InstallHinfSection」関数を呼び出して Windows ファイアウォールをインストールする Windows ファイアウォールをインストールするには、次の手順に従います。

Click Start, click Run, type cmd, and then click OK.
At the command prompt, type the following command line, and then press ENTER:
Rundll32 setupapi,InstallHinfSection Ndi-Steelhead 132 %windir%\inf\netrass.inf
Restart Windows,
Click Start, click Run, type cmd, and then click OK.
At the command prompt, type the following command, and then press ENTER:
Netsh firewall reset
Click Start, click Run, type firewall.cpl, and then press ENTER. In the Windows Firewall dialog box, click On (recommended), and then click OK.

方法 2: レジストリに Windows ファイアウォール エントリを追加する 重要 このセクション、方法、またはタスクには、レジストリを変更する方法が記載されています。ただし、レジストリを誤って変更すると、深刻な問題が発生する可能性があります。したがって、これらの手順は慎重に実行してください。保護を強化するために、レジストリを変更する前にバックアップしてください。そうすれば、問題が発生した場合にレジストリを復元できます。レジストリのバックアップと復元の詳細については、次の記事番号をクリックして、Microsoft サポート技術情報の記事を参照してください。 322756 Windows でレジストリをバックアップおよび復元する方法

Windows ファイアウォールのエントリをレジストリに追加するには、次の手順に従います。

Copy the following text into Notepad, and then save the file as Sharedaccess.reg:

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"DependOnGroup"=hex(7):00,00
"DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\
  6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00
"Description"="Provides network address translation, addressing, name resolution and/or intrusion prevention services for a home or small office network."
"DisplayName"="Windows Firewall/Internet Connection Sharing (ICS)"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"ObjectName"="LocalSystem"
"Start"=dword:00000002
"Type"=dword:00000020

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:00002cd0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\
  00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup]
"ServiceUpgrade"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate]
"All"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum]
"0"="Root\\LEGACY_SHAREDACCESS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

Double-click Sharedaccess.reg to merge the contents of this file into the registry and to create the Windows Firewall entry.
Restart Windows.
Click Start, click Run, type cmd, and then click OK.
At the command prompt, type the following command, and then press ENTER:
Netsh firewall reset
Click Start, click Run, type firewall.cpl, and then click OK.
Configure the Windows Firewall settings that you want to use.

これらの方法が機能しない場合は、Windows XP SP2 を再インストールしてください。

答え3

上記のウイルスを正常に除去した後、Windows ファイアウォールが 800 エラーで動作していないことに気付いた場合、BFE、sharedaccess などの依存関係がファイアウォール サービスとともに削除または破損している可能性があります。

信頼できるソースからダウンロードした後、サービスを再構築できます。ブリーピングコンピューターサービスを再構築した後、サービスが起動せず、アクセス拒否などのエラーが発生する場合があります。その場合は、hkey_local_machine\system\currentcontrolset\services\bfe&に移動してsharedaccess、指定されたユーザーに権限を追加する必要があります。

あるいは、Windows 7 でファイアウォールが起動しない

答え4

まだ復元や再インストールはしないほうがいいでしょう。悪意のあるソフトウェア ツールを実行し、結果に応じてそこから先に進むことができます。何も返されない場合は、MS に戻ってファイアウォール用の .MSC プラグインを探してください。

すべてを削除したことを確認する必要があります。ウイルス/悪意のあるコードを削除してファイアウォールを復元するだけでよい場合があります。

関連情報