Как восстановить брандмауэр Windows после того, как вредоносная программа удалила его службу?

Как восстановить брандмауэр Windows после того, как вредоносная программа удалила его службу?

Вчера я посетил какой-то веб-сайт и, по-видимому, заразился через какой-то Flash-эксплойт. Microsoft Security Essentials немедленно включился и вывел предупреждение о четырех пунктах:

> Trojan:Win64/Sirefef.B 
> DDoS:Win32/Fareit.gen!A 
> Rogue:Win32/FakeRean
> PWS:Win32/Karagany.A

Я удалил их и думал, что Security Essentials поймал инфекцию до того, как она нанесла какой-либо вред. Однако сегодня я обнаружил, что служба брандмауэра Windows полностью исчезла, я не могу зайти в брандмауэр в панели управления, служба "Base Filtering Engine" отмечена как отключенная. Посмотрел в Process Explorer, ничего подозрительного не увидел. Дополнительные сканирования антивирусом ничего не дали.

Вопросы:

  • Как мне вернуть мой брандмауэр к жизни?
  • Что еще нарушают эти вирусы, чтобы я мог проверить, затронут ли я ими?

Я знаю, что лучший способ действий — переустановить Windows или восстановить из резервной копии. Я хотел бы узнать, есть ли другие варианты...

решение1

Тебе, наверное, стоит бежатьБайты вредоносного ПОилиSpyBot S&Dчтобы убедиться, что в вашей системе нет ничего другого (вредоносного/шпионского/рекламного ПО). Бесплатное онлайн-сканирование наeSetПросто убедиться, что все исчезло, может быть хорошей идеей.

Как только вы убедитесь, что система чиста, откройте командную строку с повышенными правами и запустите SFC /SCANNOWпроверку системных файлов. Когда она будет завершена, перезагрузите компьютер и проверьте, вернулась ли служба брандмауэра.

Если SFC не работает, попробуйте этодиагностическийот Майкрософт.

решение2

Способ 1: вызов функции «Setup API InstallHinfSection» для установки брандмауэра Windows. Чтобы установить брандмауэр Windows, выполните следующие действия:

Click Start, click Run, type cmd, and then click OK.
At the command prompt, type the following command line, and then press ENTER:
Rundll32 setupapi,InstallHinfSection Ndi-Steelhead 132 %windir%\inf\netrass.inf
Restart Windows,
Click Start, click Run, type cmd, and then click OK.
At the command prompt, type the following command, and then press ENTER:
Netsh firewall reset
Click Start, click Run, type firewall.cpl, and then press ENTER. In the Windows Firewall dialog box, click On (recommended), and then click OK.

Метод 2: Добавьте запись брандмауэра Windows в реестр Важно Этот раздел, метод или задача содержит шаги, которые расскажут вам, как изменить реестр. Однако, если вы измените реестр неправильно, могут возникнуть серьезные проблемы. Поэтому убедитесь, что вы тщательно выполняете эти шаги. Для дополнительной защиты сделайте резервную копию реестра, прежде чем изменять его. Затем вы сможете восстановить реестр, если возникнет проблема. Для получения дополнительных сведений о том, как сделать резервную копию и восстановить реестр, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Microsoft: 322756 Как сделать резервную копию и восстановить реестр в Windows

Чтобы добавить запись брандмауэра Windows в реестр, выполните следующие действия:

Copy the following text into Notepad, and then save the file as Sharedaccess.reg:

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"DependOnGroup"=hex(7):00,00
"DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\
  6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00
"Description"="Provides network address translation, addressing, name resolution and/or intrusion prevention services for a home or small office network."
"DisplayName"="Windows Firewall/Internet Connection Sharing (ICS)"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"ObjectName"="LocalSystem"
"Start"=dword:00000002
"Type"=dword:00000020

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:00002cd0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\
  00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup]
"ServiceUpgrade"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate]
"All"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum]
"0"="Root\\LEGACY_SHAREDACCESS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

Double-click Sharedaccess.reg to merge the contents of this file into the registry and to create the Windows Firewall entry.
Restart Windows.
Click Start, click Run, type cmd, and then click OK.
At the command prompt, type the following command, and then press ENTER:
Netsh firewall reset
Click Start, click Run, type firewall.cpl, and then click OK.
Configure the Windows Firewall settings that you want to use.

Если эти методы не сработали, переустановите Windows XP SP2.

решение3

Если после успешного удаления вышеупомянутых вирусов вы обнаружите, что брандмауэр Windows не работает с какой-то ошибкой 800. Тогда есть вероятность, что такие зависимости, как BFE, sharedaccess, были удалены или повреждены вместе со службой брандмауэра.

Сервис может быть восстановлен после загрузки из надежного источника, которому я доверяю.Писк Компьютера. После перестройки служб они могут не запуститься и выдавать ошибки типа "доступ запрещен". Для этого вам следует перейти в hkey_local_machine\system\currentcontrolset\services\bfe& sharedaccessи добавить разрешение указанному пользователю.

В качестве альтернативы вы можете пойти вБрандмауэр не запускается в Windows 7.

решение4

Я бы пока не восстанавливал и не переустанавливал. Вы должны иметь возможность запустить инструмент Malicious Software и действовать дальше в зависимости от результатов. Если он вернет пустое, то вернитесь в MS и найдите плагин .MSC для Firewall.

Убедитесь, что вы удалили все. Возможно, вам просто нужно удалить вирус/вредоносный код и восстановить брандмауэр.

Связанный контент