Como restaurar o Firewall do Windows depois que algum malware excluiu seu serviço?

Como restaurar o Firewall do Windows depois que algum malware excluiu seu serviço?

Ontem visitei um site e aparentemente fui infectado por alguma exploração do Flash. Os princípios básicos de segurança da Microsoft entraram em ação imediatamente e exibiram um aviso sobre quatro itens:

> Trojan:Win64/Sirefef.B 
> DDoS:Win32/Fareit.gen!A 
> Rogue:Win32/FakeRean
> PWS:Win32/Karagany.A

Eu os excluí e pensei que o Security Essentials detectou a infecção antes que ela causasse algum dano. Porém, hoje descobri que o serviço Firewall do Windows desapareceu completamente, não consigo visitar o Firewall no Painel de Controle, o serviço "Base Filtering Engine" está marcado como desabilitado. Olhei no Process Explorer, não vi nada suspeito. Verificações antivírus adicionais não revelaram nada.

Questões:

  • Como posso devolver meu firewall à vida útil?
  • O que mais esses vírus quebram para que eu possa verificar se fui afetado?

Eu sei que o melhor a fazer é reinstalar o Windows ou restaurar a partir do backup. Gostaria de saber se existe alguma outra opção...

Responder1

Você provavelmente deveria correrBytes de malwareouSpyBot S&Dpara garantir que não haja mais nada (malware/spyware/adware) atrapalhando seu sistema. Uma verificação on-line gratuita emeSetapenas para ter certeza de que tudo acabou pode ser uma boa ideia.

Depois de saber que o sistema está limpo, abra um prompt de comando elevado e execute SFC /SCANNOWpara executar a verificação de arquivos do sistema. Quando terminar, reinicie e veja se o serviço de firewall está de volta.

Se o SFC não funcionar, você pode tentar issodiagnósticoda Microsoft.

Responder2

Método 1: Chame a função "Setup API InstallHinfSection" para instalar o Firewall do Windows Para instalar o Firewall do Windows, siga estas etapas:

Click Start, click Run, type cmd, and then click OK.
At the command prompt, type the following command line, and then press ENTER:
Rundll32 setupapi,InstallHinfSection Ndi-Steelhead 132 %windir%\inf\netrass.inf
Restart Windows,
Click Start, click Run, type cmd, and then click OK.
At the command prompt, type the following command, and then press ENTER:
Netsh firewall reset
Click Start, click Run, type firewall.cpl, and then press ENTER. In the Windows Firewall dialog box, click On (recommended), and then click OK.

Método 2: Adicionar a entrada do Firewall do Windows ao registro Importante Esta seção, método ou tarefa contém etapas que informam como modificar o registro. No entanto, poderão ocorrer problemas sérios se você modificar o registro incorretamente. Portanto, certifique-se de seguir estas etapas cuidadosamente. Para proteção adicional, faça backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer algum problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de Conhecimento da Microsoft: 322756 Como fazer backup e restaurar o registro no Windows

Para adicionar a entrada do Firewall do Windows ao registro, siga estas etapas:

Copy the following text into Notepad, and then save the file as Sharedaccess.reg:

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"DependOnGroup"=hex(7):00,00
"DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\
  6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00
"Description"="Provides network address translation, addressing, name resolution and/or intrusion prevention services for a home or small office network."
"DisplayName"="Windows Firewall/Internet Connection Sharing (ICS)"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"ObjectName"="LocalSystem"
"Start"=dword:00000002
"Type"=dword:00000020

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:00002cd0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\
  00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup]
"ServiceUpgrade"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate]
"All"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum]
"0"="Root\\LEGACY_SHAREDACCESS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

Double-click Sharedaccess.reg to merge the contents of this file into the registry and to create the Windows Firewall entry.
Restart Windows.
Click Start, click Run, type cmd, and then click OK.
At the command prompt, type the following command, and then press ENTER:
Netsh firewall reset
Click Start, click Run, type firewall.cpl, and then click OK.
Configure the Windows Firewall settings that you want to use.

Se esses métodos não funcionarem, reinstale o Windows XP SP2.

Responder3

Após a remoção bem-sucedida dos vírus mencionados acima, se você descobrir que o Firewall do Windows não funciona com algum erro 800. Então, é provável que dependências como BFE e acesso compartilhado tenham sido excluídas ou corrompidas junto com o serviço de firewall.

O serviço pode ser reconstruído após download de uma fonte confiável, na qual confioComputador bipando. Após a reconstrução dos serviços, eles podem não iniciar e gerar erros como acesso negado. Para isso você deve ir até hkey_local_machine\system\currentcontrolset\services\bfe& sharedaccesse adicionar permissão ao usuário especificado.

Alternativamente, você poderia ir paraO Firewall não inicia no Windows 7.

Responder4

Eu não restauraria ou reinstalaria ainda. Você deve ser capaz de executar a ferramenta Software Malicioso e continuar a partir daí, dependendo dos resultados. Se retornar vazio, volte para o MS e procure um plugin .MSC para Firewall.

Você quer ter certeza de que removeu tudo, pode ser que você só precise remover o vírus/código malicioso e restaurar o Firewall.

informação relacionada