Gestern habe ich eine Website besucht und wurde anscheinend über einen Flash-Exploit infiziert. Microsoft Security Essentials hat sofort eingegriffen und eine Warnung zu vier Punkten angezeigt:
> Trojan:Win64/Sirefef.B
> DDoS:Win32/Fareit.gen!A
> Rogue:Win32/FakeRean
> PWS:Win32/Karagany.A
Ich habe sie gelöscht und dachte, Security Essentials hätte die Infektion entdeckt, bevor sie Schaden anrichten konnte. Heute habe ich jedoch festgestellt, dass der Windows-Firewall-Dienst vollständig verschwunden ist. Ich kann die Firewall in der Systemsteuerung nicht aufrufen. Der Dienst „Base Filtering Engine“ ist als deaktiviert markiert. Ich habe im Process Explorer nachgesehen und nichts Verdächtiges gefunden. Weitere Antivirenscans haben nichts ergeben.
Fragen:
- Wie kann ich meine Firewall wieder zum Leben erwecken?
- Was beschädigen diese Viren sonst noch, damit ich überprüfen kann, ob ich betroffen bin?
Ich weiß, dass die beste Vorgehensweise darin besteht, Windows neu zu installieren oder aus einer Sicherungskopie wiederherzustellen. Ich würde gerne wissen, ob es noch eine andere Möglichkeit gibt …
Antwort1
Du solltest wahrscheinlich rennenMalware BytesoderSpyBot S&Dum sicherzustellen, dass nichts anderes (Malware/Spyware/Adware) Ihr System durcheinander bringt. Ein kostenloser Online-Scan untereSetnur um sicherzugehen, dass alles weg ist, könnte es eine gute Idee sein.
Sobald Sie wissen, dass das System sauber ist, öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten und führen Sie SFC /SCANNOWdie Systemdateiprüfung aus. Wenn dies abgeschlossen ist, starten Sie neu und prüfen Sie, ob Ihr Firewall-Dienst wieder verfügbar ist.
Wenn SFC nicht funktioniert, können Sie Folgendes versuchenDiagnosevon Microsoft.
Antwort2
Methode 1: Rufen Sie die Funktion „Setup API InstallHinfSection“ auf, um die Windows-Firewall zu installieren. Um die Windows-Firewall zu installieren, gehen Sie folgendermaßen vor:
Click Start, click Run, type cmd, and then click OK.
At the command prompt, type the following command line, and then press ENTER:
Rundll32 setupapi,InstallHinfSection Ndi-Steelhead 132 %windir%\inf\netrass.inf
Restart Windows,
Click Start, click Run, type cmd, and then click OK.
At the command prompt, type the following command, and then press ENTER:
Netsh firewall reset
Click Start, click Run, type firewall.cpl, and then press ENTER. In the Windows Firewall dialog box, click On (recommended), and then click OK.
Methode 2: Hinzufügen des Windows-Firewall-Eintrags zur Registrierung Wichtig Dieser Abschnitt, diese Methode oder diese Aufgabe enthält Schritte, die Ihnen erklären, wie Sie die Registrierung ändern. Wenn Sie die Registrierung jedoch falsch ändern, können schwerwiegende Probleme auftreten. Stellen Sie daher sicher, dass Sie diese Schritte sorgfältig ausführen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie in der Microsoft Knowledge Base unter der folgenden Artikelnummer: 322756 So sichern und wiederherstellen Sie die Registrierung in Windows
Um den Eintrag „Windows-Firewall“ zur Registrierung hinzuzufügen, führen Sie die folgenden Schritte aus:
Copy the following text into Notepad, and then save the file as Sharedaccess.reg:
Windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"DependOnGroup"=hex(7):00,00
"DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\
6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00
"Description"="Provides network address translation, addressing, name resolution and/or intrusion prevention services for a home or small office network."
"DisplayName"="Windows Firewall/Internet Connection Sharing (ICS)"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"ObjectName"="LocalSystem"
"Start"=dword:00000002
"Type"=dword:00000020
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:00002cd0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\
00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup]
"ServiceUpgrade"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate]
"All"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum]
"0"="Root\\LEGACY_SHAREDACCESS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
Double-click Sharedaccess.reg to merge the contents of this file into the registry and to create the Windows Firewall entry.
Restart Windows.
Click Start, click Run, type cmd, and then click OK.
At the command prompt, type the following command, and then press ENTER:
Netsh firewall reset
Click Start, click Run, type firewall.cpl, and then click OK.
Configure the Windows Firewall settings that you want to use.
Wenn diese Methoden nicht funktionieren, installieren Sie Windows XP SP2 neu.
Antwort3
Wenn Sie nach erfolgreicher Entfernung der oben genannten Viren feststellen, dass die Windows-Firewall mit einem 800-Fehler nicht funktioniert, besteht die Möglichkeit, dass Abhängigkeiten wie BFE und Shared Access zusammen mit dem Firewall-Dienst gelöscht oder beschädigt wurden.
Der Dienst kann nach dem Herunterladen von einer zuverlässigen Quelle, auf die ich vertraue, wiederhergestellt werdenPiepender Computer. Nach dem Neuaufbau der Dienste werden diese möglicherweise nicht gestartet und es treten Fehler wie „Zugriff verweigert“ auf. Gehen Sie dazu zu hkey_local_machine\system\currentcontrolset\services\bfe& sharedaccessund fügen Sie dem angegebenen Benutzer die Berechtigung hinzu.
Alternativ können Sie auch zuFirewall startet unter Windows 7 nicht.
Antwort4
Ich würde noch nicht wiederherstellen oder neu installieren. Sie sollten das Tool für bösartige Software ausführen und je nach Ergebnis von dort aus weitermachen können. Wenn es leer ist, gehen Sie zurück zu MS und suchen Sie nach einem .MSC-Plugin für die Firewall.
Sie möchten sicherstellen, dass Sie alles entfernt haben. Möglicherweise müssen Sie nur den Virus/Schadcode entfernen und die Firewall wiederherstellen.