某些惡意軟體刪除其服務後如何恢復Windows防火牆?

tag-icon tag-icon windows-7 malware windows-firewall
某些惡意軟體刪除其服務後如何恢復Windows防火牆?

昨天我造訪了一些網站,顯然是透過一些 Flash 漏洞被感染的。 Microsoft Security Essentials 立即啟動,並顯示有關四項的警告:

> Trojan:Win64/Sirefef.B 
> DDoS:Win32/Fareit.gen!A 
> Rogue:Win32/FakeRean
> PWS:Win32/Karagany.A

我刪除了它們,並認為 Security Essentials 在感染造成任何損害之前就發現了它。然而,今天我發現Windows防火牆服務完全消失了,我無法在控制面板中存取防火牆,「基本過濾引擎」服務被標記為停用。看看Process Explorer,沒有發現任何可疑的東西。額外的防毒掃描沒有發現任何結果。

問題:

  • 如何讓我的防火牆恢復正常狀態?
  • 這些病毒還會破壞哪些內容,以便我可以檢查自己是否受到影響?

我知道最好的做法是重新安裝 Windows 或從備份還原。我想知道是否還有其他選擇...

答案1

你可能應該跑惡意軟體位元組或者間諜機器人研發確保沒有任何其他軟體(惡意軟體/間諜軟體/廣告軟體)擾亂您的系統。免費線上掃描易集只是為了確保一切都消失可能是個好主意。

一旦您知道系統是乾淨的,請打開提升的命令提示字元並運行SFC /SCANNOW以運行系統檔案檢查。完成後,重新啟動並查看防火牆服務是否已恢復。

如果 SFC 不起作用你可以嘗試這個診斷來自微軟。

答案2

方法一:呼叫「Setup API InstallHinfSection」函數安裝Windows防火牆 若要安裝Windows防火牆,請依照下列步驟操作:

Click Start, click Run, type cmd, and then click OK.
At the command prompt, type the following command line, and then press ENTER:
Rundll32 setupapi,InstallHinfSection Ndi-Steelhead 132 %windir%\inf\netrass.inf
Restart Windows,
Click Start, click Run, type cmd, and then click OK.
At the command prompt, type the following command, and then press ENTER:
Netsh firewall reset
Click Start, click Run, type firewall.cpl, and then press ENTER. In the Windows Firewall dialog box, click On (recommended), and then click OK.

方法 2:將 Windows 防火牆項目新增至登錄 重要資訊 本節、方法或任務包含告訴您如何修改登錄的步驟。但是,如果註冊表修改不當,可能會出現嚴重問題。因此,請確保您認真執行這些步驟。為了增強保護,請在修改註冊表之前對其進行備份。然後,如果出現問題,您可以恢復註冊表。有關如何備份和還原註冊表的詳細信息,請單擊以下文章編號,查看 Microsoft 知識庫中相應的文章:322756 如何在 Windows 中備份和還原註冊表

若要將 Windows 防火牆項目新增至登錄表,請依照下列步驟操作:

Copy the following text into Notepad, and then save the file as Sharedaccess.reg:

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"DependOnGroup"=hex(7):00,00
"DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\
  6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00
"Description"="Provides network address translation, addressing, name resolution and/or intrusion prevention services for a home or small office network."
"DisplayName"="Windows Firewall/Internet Connection Sharing (ICS)"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"ObjectName"="LocalSystem"
"Start"=dword:00000002
"Type"=dword:00000020

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:00002cd0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\
  00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup]
"ServiceUpgrade"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate]
"All"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum]
"0"="Root\\LEGACY_SHAREDACCESS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

Double-click Sharedaccess.reg to merge the contents of this file into the registry and to create the Windows Firewall entry.
Restart Windows.
Click Start, click Run, type cmd, and then click OK.
At the command prompt, type the following command, and then press ENTER:
Netsh firewall reset
Click Start, click Run, type firewall.cpl, and then click OK.
Configure the Windows Firewall settings that you want to use.

如果這些方法不起作用,請重新安裝 Windows XP SP2。

答案3

成功清除上述病毒後,如果您發現 Windows 防火牆無法運作並出現一些 800 錯誤。那麼,像 BFE、sharedaccess 這樣的依賴項很可能會與防火牆服務一起被刪除或損壞。

從可靠來源下載後可以重建服務,對此我信任電腦發出蜂鳴聲。重建服務後,它們可能無法啟動並拋出諸如存取被拒絕之類的錯誤。為此,您應該轉到hkey_local_machine\system\currentcontrolset\services\bfe&sharedaccess並向指定使用者新增權限。

或者你可以去防火牆無法在 Windows 7 上啟動

答案4

我還不會恢復或重新安裝。您應該能夠運行惡意軟體工具並根據結果從那裡開始。如果它返回空,則返回 MS 並尋找用於防火牆的 .MSC 插件。

您要確保已刪除所有內容,可能您只需要刪除病毒/惡意程式碼並恢復防火牆。

相關內容