MICROLINC - Probleme suchen Lösung
Zurück   Home

Windows 7 - Nach Virenbefall - Dienst Windows Firewall entfernt

  -  09.03.2012 - 21:10
Menü

Home
Microsoft Small Business Server 2011 Standard
Hardware
Windows

Vorauswahl Benutzer

Automatischer Login

Anordung der Desktopicons

SP1 Installation Fehler

Arbeitsstationsdienst Fehler 2250

Windows Installer defekt

Netzwerk

weitere Problemlösungen (Forum)

Windows Updates nicht möglich 0x8000fff

Kennwortänderungs- Richtlinie

DVD CD-ROM Fehler Code 39

Windows Aktivierung - Echtheitsprüfung

Windows Firewall defekt nach Virenbefall

Explorer öffnet neues Fenster Vista

Internet Explorer 9 endloses Registerwiederherstellen

Windows 7 - ständige Abfrage von Administrator-Passwort bei Installation

Windows Zero Config-Tool (WZC) Profile migrieren

Bluescreen (BSoD)

Performance

WXP - Windows Firewall defekt nach Virenbefall

Internet Explorer 9 - Installation meldet Fehler

WXP - Direkte Abmeldung nach Anmeldung

Vista - WLAN Autoconfig Fehler 0x00ce508

WXP - Offlinecache-Ordner ändern

ext2 ext3 Partitionen unter Windows aulesen

Windows Update - Tracelog - Analyse

Movie Maker

Perflib - Fehler 1000

Windows Scripting Host (WSH) reparieren - Windows XP

Windows Update - Fehler 800b0001

virtuelle Datenträger

Mozilla Firefox 21 - Kein Speicherdialog/Datei Speichern bei MP3-Dateien

Fehler Windows Modules Installer / TrustedInstaller Fehler 2

cmd.exe / Eingabeaufforderung schließt nach Start direkt wieder

Windows Update Fehler 80246008 - BITS

Internet Explorer

Windows Zeitgeber (NTP-Client) prüfen & Reset

Bootmanager

Realtek HD / vorne und hinten Audio simultan unter Windows 7

Silverlight Fehler

Powershell Ausführung von Skripts deaktiviert

Windows 7 - Javascript funktioniert nicht

Reparatur Windows-Verwaltungsintrumentation (winmgmt) - Fehler 2

Powershell (v2.0) Add-Computer - Format [..] unzulässig

Sicherheitseinstellungen (secpol.msc) unter Windows 7 zurücksetzen

Alternativer DDNS-Client zum Dyn Updater für Windows

KB2952664 QueryAppBlock WicaInventory hohe CPU-Auslastung

Logonskript wird nicht ausgeführt - Debug

Domainbeitritt scheitert - Fehler 0x3a im NetSetup.log

Windows 2000 Pro - Stop 7B Inaccessable Bootdevice

Windows 10 - Modern Standby und Bluetooth

MS Office
Projekte
Support
Download
Peripherie
Sonstiges (Off-Topic)
Telefonie
Windows 8
Windows Mobile
Security-Software
DATEV
Virtualisierung Oracle virtualbox
nginx
Kryptographie
hMailServer
Android
Novell
Exchange
Server 2012 R2
AD Certificate Service (PKI) / Zertifizierungsstelle
System Center
Blackberry
Microsoft Flow
Virtualisierung Microsoft Hyper-V
Ubiquiti
3CX
OneDrive


 
Autor:Thomas Windscheif last edit:02.08.2015 14:03

Link zu diesem Beitrag:


[Druckansicht]

Getestet unter Windows 7 Home Premium / Professional 32 Bit

Reset der Windows Firewall

Symptom:
Nach einem Virenbefall existiert der Dienst "Windows-Firewall" nicht mehr unter Dienste. / Dienst Windows Firewall fehlt.
Nach Malwarebefall fehlt Windows Firewall (Malware-Typ: Sirefef).

Die Anleitung der Firewall-Reparatur unter Windows XP finden Sie hier

Es gibt ein Microsoft Fix it welches einige der unten beschriebenen Fehler automatisch behebt, probieren Sie dieses im Zweifelsfall zuerst aus und führen Sie dann - falls nötig - die u. a. Schritte aus.
Link zum Fix it: http://support.microsoft.com/mats/windows_firewall_diagnostic/de


Lösung:
Prüfen Sie ob die Dateien "BFE.dll", "MPSSVC.dll" im Ordner "C:\Windows\System32" und die Datei "mpsdrv.sys" im Ordner "C:\Windows\System32\drivers" existieren.

Falls nicht bitte erst "sfc /scannow" über Start>Ausführen cmd im abgesicherten Modus starten um die Systemdateien zu reparieren.

Sofern die Dateien existieren, in der Registry ("Windows-Taste" + "R", "regedit" eingeben und auf "OK" klicken) unter "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services" den Schlüssel "BFE" und den Schlüssel "mpsdrv" suchen, wenn beide vorhanden sind muss nur der Registry-Eintrag des Firewall-Dienstes wiederhergestellt werden. (Falls die Schlüssel aber fehlen sollten hier klicken)

Hierfür kann man folgende vorgefertigte Reg-Datei benutzen:
reg_MpsSvc.zip
- Datei herunterladen.
- Zip-Datei mit einem DoppelKlick öffnen und die Datei "reg_MpsSvc.reg" doppelt anklicken, die Sicherheitsfrage mit "Ja" beantworten.
- Die "Zusammenführung" sollte am Ende mit einer Erfolgsnachricht bestätigt werden.
- Die manuelle Erstellung der Einträge kann übersprungen werden.

oder

--- manuelle Erstellung der Einträge ---
die beiden Bilder öffnen um die Konfiguration der zwei wichtigen Schlüssel zu sehen

Die Einstellungen der Werte im Schlüssel "MpsSvc":



Die Einstellungen der Werte im Unterschlüssel "Parameters" des Schlüssels "MpsSvc":



Unter dem Unterschlüssel "Parameters" muss außerdem ein Schlüssel mit dem Namen "PortKeywords" erstellt werden.
-----------------------------------------------


Nach der Erstellung der Einträge muss dem Unterschlüssel "PortKeywords" unter "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc\Parameters" eine Berechtigungsgruppe hinzufügen.
- Rechte Maustaste auf den Unterschlüssel "PortKeywords", "Berechtigungen" wählen.
- Bei dem neu erscheinenden Fenster auf den Button "Hinzufügen" klicken.
- Geben Sie im Eingabefeld unter "Geben Sie die zu verwendenden Objektnamen ein (Beispiele):" "Jeder" ein und klicken Sie auf "OK".
- Im Bereich "Gruppen- oder Benutzernamen:" das Element "Jeder" auswählen und im unteren Bereich "Berechtigungen für "Jeder"" setzen Sie einen Haken bei "Vollzugriff".
- Die Einstellungen bitte durch Klicken von "OK" bestätigen.

Führen Sie nun einen Neustart durch.
Prüfen Sie anschließend wieder unter Start>Systemsteuerung>Verwaltung>Dienste ob der Dienst "Windows-Firewall" nun den Status "Gestartet" meldet. Falls nicht versuchen Sie Ihn manuell zu starten (rechte Maustaste auf den Dienst, "Starten" wählen). Sollte der Dienst eine Fehlermeldung zurückgeben die inhaltlich einen Fehler wegen eines nicht startbaren bzw. fehlenden abhängigen Dienstes beinhaltet bitte hier klicken. Wenn folgender Fehler erscheint ("Windows-Firewall auf lokaler Computer konnte nicht gestartet werden. [..]. Beziehen Sie sich auf den dienstspezifischen Fehlercode 5.") folgen Sie bitte den Anweisungen unter "Setzen der Berechtigungen für SharedAccess".

Sollte der Dienst nun starten, wäre es ratsam die Firewall einmal auf Werkseinstellung zurückzusetzen.
- Start>Systemsteuerung>Windows Firewall öffnen
- Auf der linken Seite des Fensters befindet sich der Aufgabenbereich einer der Links lautet "Standard wiederherstellen", diesen bitte anklicken.
- Anschließend den Button "Standard wiederherstellen" im nun erscheinenden Fenster anklicken.
- Die Firewalleinstellungen werden nun resettet.

-- Bitte beachten ! --
Die hier durchgeführten Einstellungen setzen die Windows-Firewall wieder in Betrieb, aber durch das Setzen der Jeder-Berechtigung in den Unterschlüsseln kann Malware den Rechner relativ schnell manipulieren. Es ist daher ratsam eine andere Firewall als die Windows-Firewall zu verwenden (z.B. Comodo Firewall als Personal-Firewall), trotzdem muss der Dienst aktiviert bleiben, da auch andere Dienste auf die Schnittstellen der Windows-Firewall zugreifen.
-- Bitte beachten ! --
UPDATE: Ich habe eine Tabelle mit allen relevanten Standardberechtigungen für die Windows Firewall und abhängiger Dienste erstellt. (siehe: Standardberechtigungen Windows Firewall Registry)


Anleitung zur Wiederherstellung abhängiger Dienste von Windows-Firewall
Die Dienste "Basisfiltermodul" und "Windows-Firewallautorisierungstreiber" sind abhängige Dienste von "Windows-Firewall". D. h. wenn diese nicht funktionieren, funktioniert auch der eigentliche Firewall-Dienst nicht.

Reparatur "Basisfiltermodul" (alias: BFE bzw. BFE.dll)
befolgen Sie die Anleitung auch bei dem Zugrifffehler: "Fehler 5: Zugriff verweigert"
Wenn der Schlüssel "BFE" im Pfad "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\" fehlt bitte folgende Datei herunterladen: reg_bfe.zip
- Die ZIP-Datei öffnen und die Datei reg_bfe.reg doppelt anklicken, die Sicherheitsfrage mit "Ja" beantworten.
- Die "Zusammenführung" sollte am Ende mit einer Erfolgsnachricht bestätigt werden.
- Registry öffnen und zum Pfad "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BFE" navigieren. Den Unterschlüssel "Parameters" öffnen und mit der rechten Maustaste auf den Unterschlüssel "Policy" klicken und den Punkt "Berechtigungen" anklicken.
- Bei dem neu erscheinenden Fenster auf den Button "Hinzufügen" klicken.
- Geben Sie im Eingabefeld unter "Geben Sie die zu verwendenden Objektnamen ein (Beispiele):" "Jeder" ein und klicken Sie auf "OK".
- Im Bereich "Gruppen- oder Benutzernamen:" das Element "Jeder" auswählen und im unteren Bereich "Berechtigungen für "Jeder"" setzen Sie einen Haken bei "Vollzugriff".
- Die Einstellungen bitte durch Klicken von "OK" bestätigen.

Neustart des PCs durchführen und nochmals den Start des Dienstes Windows-Firewall probieren. Sollte es weiterhin fehlschlagen nachfolgende Anleitung durchführen:

Zu folgendem Pfad in der Registry navigieren "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root".
Wenn der Unterschlüssel "LEGACY_MPSDRV" fehlt, nachfolgende Anleitung bearbeiten.
- Rechte Maustaste auf "Root", "Berechtigung" wählen.
- Im Bereich "Gruppen- oder Benutzernamen:" "Jeder" auswählen und den Haken bei "Vollzugriff" setzen. Anschließend auf "OK" klicken.
- Folgende Datei herunterladen: reg_legacy_mpsdrv.zip
- Die ZIP-Datei öffnen und die Datei "reg_legacy_mpsdrv.reg" doppelt anklicken, die Sicherheitsfrage mit "Ja" beantworten.
- Die "Zusammenführung" sollte am Ende mit einer Erfolgsnachricht bestätigt werden.
- Nun wieder zu dem Pfad "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root" navigieren und mit der rechten Maustaste "Root" anklicken, "Berechtigung" wählen und im Bereich "Gruppen- oder Benutzernamen:" "Jeder" auswählen und den Haken entfernen.

Wenn der Schlüssel "mpsdrv" im Pfad "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\" fehlt bitte folgende Datei herunterladen: reg_mpsdrv.zip
- Die ZIP-Datei öffnen und die Datei reg_mpsdrv.reg doppelt anklicken, die Sicherheitsfrage mit "Ja" beantworten.
- Die "Zusammenführung" sollte am Ende mit einer Erfolgsnachricht bestätigt werden.

Neustart des PCs durchführen und unter Start>Systemsteuerung>Verwaltung>Dienste den Status des Dienstes "Windows-Firewall" prüfen.


Setzen der Berechtigungen für "SharedAccess"
- Zum Pfad "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess" in der Registry navigieren.
- Rechte Maustaste auf "SharedAccess" und "Berechtigungen" wählen.
- Klicken Sie auf den Button "Hinzufügen" und wählen Sie "Jeder" in das Eingabefeld ein. Anschließend "OK".
- Setzen Sie den Haken bei "Vollzugriff" und klicken Sie wiederum auf "OK".
- Starten Sie den PC neu und prüfen Sie erneut ob der Dienst wieder funktioniert.



Wiederherstellen der Standard Firewall-Regeln
- In einer privilegierten Eingabeaufforderungs-Sitzung folgenden Befehl eingeben:
"netsh Firewall reset"
- Anschließend sollten die Standard Windows Firewall-Regeln wieder vorhanden sein
Alternativ
- Folgende Datei herunterladen:
http://lifeofageekadmin.com/wp-content/uploads/2012/08/SharedAccess.txt (rechte Maustaste "Ziel speichern unter")
- Datei zu "SharedAccess.reg" umbenennen und mittels Doppelklick und Bestätigung der Sicherheitsfrage mit "Ja" bestätigen.
- Es erscheint nun eine Erfolgsmeldung.
Weitere Informationen: http://lifeofageekadmin.com/windows-7-firewall-error-code-0x80070424c/ (englisch-sprachig) (Vielen Dank an 1stein für den Hinweis)

Quelle:
http://support.microsoft.com/kb/943996/en-us


Über den Autor
Thomas Windscheif arbeitet bei excITe Consulting und ist langjähriger Berater im Bereich IT-Infrastruktur und Groupware. Sowohl Kleinunternehmen z. B. im Handwerk als auch der größere fertigende Mittelstand gehören zu seinem Projektumfeld. Im Wesentlichen gehören die Planung von Infrastruktur-Migrationen (Novell/Micro Focus, Microsoft), Cloud-Lösungen (Office365), Groupware-Umgebungen (z. B. Exchange) und deren Umsetzung zu seinen Aufgaben. Neues begeistert ihn aber ebenso und so unterstützt Thomas Windscheif auch bei themenfremden IT-Systemen, überall da wo er helfen kann.

Sein Ziel: Die Mehrwerte der heutigen IT-Lösungen für einfacheres und modernes Arbeiten beim Kunden einbringen.


Login


QuickTag:  

 
Sie haben ein ungelöstes Problem in Ihrer Exchange Server oder Microsoft-Infrastruktur?
Treten Sie gerne mit mir in Kontakt. Sowohl bei einfachen Exchange Installationen, als auch bei hochverfügbaren, lastverteilten Mehrstandort-DAG-Topologien mit Loadbalancern unterstütze ich Sie -auch kurzfristig- sehr gerne.

Nutzen Sie den Live Chat, xing, LinkedIn, das Kontaktformular oder den Mailkontakt

[News als RSS-Feed abonnieren]
News

vom 16.09.2019 - 17:48


- Windows Server 2019 - LDAP out of memory exception -

Aktuelle Versionen von Windows Server 2019 laufen bei LDAP Abfragen mit Gruppenauflösung (1.2.840.113556.1.4.1941) auf einen out of memory-Fehler. Laut einem Microsoft-Mitarbeiter soll das Problem aber im kommenden September-Update behoben werden (KB4516077).

Unter folgendem Link kann man die Diskussion im Microsoft Social TechNet verfolgen:
https://social.technet.microsoft.com/Forums/windowsserver/en-US/4f14412f-dd81-4b9a-b6b5-aa69100e87d0/intermittent-not-enough-space-errors-when-doing-ldap-queries-against-2019-domain-controller?forum=winservergen

Leider kann man in den offiziellen Kanälen zu dem KB-Artikel noch nichts finden.


Weitere News:

3CX V16 Call Control API mit PowerShell Core


vom 25.04.2019 11:41


Exchange Online SMTP TLS Report


vom 15.02.2019 18:04


TLS-Test für SMTP mit PowerShell


vom 10.12.2018 11:47


3CX Secure SIP via DIRECT-STUN mit yealink T46S


vom 08.09.2018 15:35


Exchange 2016 CU10


vom 25.06.2018 15:21


Apple iCloud Addin stört Outlook Kalenderfunktionen


vom 18.10.2017 13:24


.NET 4.7 released - Bitte nicht auf Exchange Servern installieren


vom 13.06.2017 21:52


Troubleshooting Exchange Health Manager Sensoren


vom 16.05.2017 21:06


Exchange 2016 - ActiveSync-Lesebestätigungen können nun unterdrückt werden


vom 09.03.2017 18:28


Exchange - Informationen an Dritte einschränken


vom 20.02.2017 01:53


Einen guten Start in das neue Jahr


vom 31.12.2016 19:21


Smart App Banner für OWA entfernen


vom 09.09.2016 20:15


Neue Version des Berechtigungsvererbungsskript für Exchange released


vom 17.05.2016 19:34


LogParser für Exchange SMTP-Logs


vom 16.05.2016 00:48


Exchange Healthmailboxen neu anlegen


vom 25.03.2016 16:28


Retention Policy auf Healthmailboxen anwenden


vom 24.03.2016 20:52


Exchange Schemaversionen auf allen DCs abfragen


vom 24.03.2016 16:37


Neue Versionen des Berechtigungsvererbungsskripts


vom 27.09.2015 19:04


Exchange 2013 Mapi over HTTP Diagnose


vom 20.09.2015 20:42



[alle News auflisten]
Sitemap - Kontakt - Datenschutz & Disclaimer - Impressum