it-swarm-ja.com

マルウェアがサービスを削除した後、Windowsファイアウォールを復元する方法

昨日、私はいくつかのWebサイトを訪問し、どうやら何らかのFlashエクスプロイトを介して感染したようです。 Microsoft Security Essentialsはすぐに起動し、次の4つの項目に関する警告を表示しました。

> Trojan:Win64/Sirefef.B 
> DDoS:Win32/Fareit.gen!A 
> Rogue:Win32/FakeRean
> PWS:Win32/Karagany.A

私はそれらを削除し、害を及ぼす前にSecurity Essentialsが感染を捕まえたと思った。しかし、今日、Windowsファイアウォールサービスが完全に消えて、コントロールパネルのファイアウォールにアクセスできないことがわかりました。「ベースフィルターエンジン」サービスは無効としてマークされています。プロセスエクスプローラーで確認しましたが、疑わしいものは何も見つかりませんでした。追加のウイルス対策スキャンでは何も起きませんでした。

質問:

  • ファイアウォールを元に戻すにはどうすればよいですか?
  • 他にこれらのウイルスは何を破壊するので、影響を受けるかどうかを確認できますか?

Windowsを再インストールするか、バックアップから復元するのが最善の策であることは知っています。他にオプションがあるかどうか知りたい...

7
haimg

おそらく Malware Bytes または SpyBot S&D を実行して、システムをいじる何か(マルウェア/スパイウェア/アドウェア)がないことを確認する必要があります。 eSet での無料のオンラインスキャンは、すべてがなくなっていることを確認するためのものです。

システムがクリーンであることがわかったら、管理者特権のコマンドプロンプトを開き、SFC /SCANNOWを実行してシステムファイルチェックを実行します。完了したら、再起動してファイアウォールサービスが戻っているかどうかを確認します。

SFCが機能しない場合は、Microsoftの diagnostic を試してください。

6
CharlieRB

方法1: "Setup API InstallHinfSection"関数を呼び出してWindowsファイアウォールをインストールするWindowsファイアウォールをインストールするには、次の手順を実行します。

Click Start, click Run, type cmd, and then click OK.
At the command Prompt, type the following command line, and then press ENTER:
Rundll32 setupapi,InstallHinfSection Ndi-Steelhead 132 %windir%\inf\netrass.inf
Restart Windows,
Click Start, click Run, type cmd, and then click OK.
At the command Prompt, type the following command, and then press ENTER:
Netsh firewall reset
Click Start, click Run, type firewall.cpl, and then press ENTER. In the Windows Firewall dialog box, click On (recommended), and then click OK.

方法2:レジストリにWindowsファイアウォールのエントリを追加する重要このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。ただし、レジストリを誤って変更すると、深刻な問題が発生する可能性があります。したがって、これらの手順に注意深く従ってください。保護を強化するには、変更する前にレジストリをバックアップします。その後、問題が発生した場合にレジストリを復元できます。レジストリをバックアップおよび復元する方法の詳細については、次の記事番号をクリックして、マイクロソフトサポート技術情報の記事を参照してください。322756 Windowsでレジストリをバックアップおよび復元する方法

Windowsファイアウォールのエントリをレジストリに追加するには、次の手順に従います。

Copy the following text into Notepad, and then save the file as Sharedaccess.reg:

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"DependOnGroup"=hex(7):00,00
"DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\
  6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00
"Description"="Provides network address translation, addressing, name resolution and/or intrusion prevention services for a home or small office network."
"DisplayName"="Windows Firewall/Internet Connection Sharing (ICS)"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"ObjectName"="LocalSystem"
"Start"=dword:00000002
"Type"=dword:00000020

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:00002cd0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\
  00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup]
"ServiceUpgrade"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate]
"All"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum]
"0"="Root\\LEGACY_SHAREDACCESS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

Double-click Sharedaccess.reg to merge the contents of this file into the registry and to create the Windows Firewall entry.
Restart Windows.
Click Start, click Run, type cmd, and then click OK.
At the command Prompt, type the following command, and then press ENTER:
Netsh firewall reset
Click Start, click Run, type firewall.cpl, and then click OK.
Configure the Windows Firewall settings that you want to use.

これらの方法が機能しない場合は、Windowsを再インストールしてくださいXP SP2。

2
Ganesh

上記のウイルスが正常に削除された後、Windowsファイアウォールが800エラーで機能しない場合。次に、BFE、sharedaccessなどの依存関係がファイアウォールサービスと共に削除または破損している可能性があります。

信頼できるソースからダウンロードした後、サービスを再構築できます。信頼できるソース Bleeping Computer を信頼しています。サービスを再構築した後、サービスが開始せず、アクセスが拒否されたなどのエラーがスローされる場合があります。そのためには、hkey_local_machine\system\currentcontrolset\services\bfesharedaccessそして、指定したユーザーに権限を追加します。

または、 Windows 7ではファイアウォールが起動しない に移動することもできます。

1
atechmate

いくつかの有用なことを言及しているいくつかの削除された回答が表示されます

どうやらslhckはBleeping ComputerのWindows Repair (All In One)を提案しました

http://www.bleepingcomputer.com/download/windows-repair-all-in-one/

それはOPに有効でした。

他の誰かが提案した http://heresjaken.com/windows-firewall-service-is-missing-in-windows-7/

これには、特定のエラーの可能性がある正規表現の修正が含まれていますが、far barと呼ばれる別のブリーピングコンピュータツールについても言及されています。

http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/

http://www.bleepingcomputer.com/download/farbar-service-scanner/

0
barlop