Windows 7 - Nach Virenbefall - Dienst Windows Firewall entfernt - 09.03.2012
von Thomas Windscheif / Microlinc
Getestet unter Windows 7 Home Premium / Professional 32 Bit
Reset der Windows Firewall
Symptom:
Nach einem Virenbefall existiert der Dienst "Windows-Firewall" nicht mehr unter Dienste. / Dienst Windows Firewall fehlt.
Nach Malwarebefall fehlt Windows Firewall (Malware-Typ: Sirefef).
Die Anleitung der Firewall-Reparatur unter Windows XP finden Sie hier
Es gibt ein Microsoft Fix it welches einige der unten beschriebenen Fehler automatisch behebt, probieren Sie dieses im Zweifelsfall zuerst aus und führen Sie dann - falls nötig - die u. a. Schritte aus.
Link zum Fix it: http://support.microsoft.com/mats/windows_firewall_diagnostic/de
Lösung:
Prüfen Sie ob die Dateien "BFE.dll", "MPSSVC.dll" im Ordner "C:\Windows\System32" und die Datei "mpsdrv.sys" im Ordner "C:\Windows\System32\drivers" existieren.
Falls nicht bitte erst "sfc /scannow" über Start>Ausführen cmd im abgesicherten Modus starten um die Systemdateien zu reparieren.
Sofern die Dateien existieren, in der Registry ("Windows-Taste" + "R", "regedit" eingeben und auf "OK" klicken) unter "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services" den Schlüssel "BFE" und den Schlüssel "mpsdrv" suchen, wenn beide vorhanden sind muss nur der Registry-Eintrag des Firewall-Dienstes wiederhergestellt werden. (Falls die Schlüssel aber fehlen sollten hier klicken)
Hierfür kann man folgende vorgefertigte Reg-Datei benutzen:
reg_MpsSvc.zip
- Datei herunterladen.
- Zip-Datei mit einem DoppelKlick öffnen und die Datei "reg_MpsSvc.reg" doppelt anklicken, die Sicherheitsfrage mit "Ja" beantworten.
- Die "Zusammenführung" sollte am Ende mit einer Erfolgsnachricht bestätigt werden.
- Die manuelle Erstellung der Einträge kann übersprungen werden.
oder
--- manuelle Erstellung der Einträge ---
die beiden Bilder öffnen um die Konfiguration der zwei wichtigen Schlüssel zu sehen
Die Einstellungen der Werte im Schlüssel "MpsSvc":
Die Einstellungen der Werte im Unterschlüssel "Parameters" des Schlüssels "MpsSvc":
Unter dem Unterschlüssel "Parameters" muss außerdem ein Schlüssel mit dem Namen "PortKeywords" erstellt werden.
-----------------------------------------------
Nach der Erstellung der Einträge muss dem Unterschlüssel "PortKeywords" unter "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc\Parameters" eine Berechtigungsgruppe hinzufügen.
- Rechte Maustaste auf den Unterschlüssel "PortKeywords", "Berechtigungen" wählen.
- Bei dem neu erscheinenden Fenster auf den Button "Hinzufügen" klicken.
- Geben Sie im Eingabefeld unter "Geben Sie die zu verwendenden Objektnamen ein (Beispiele):" "Jeder" ein und klicken Sie auf "OK".
- Im Bereich "Gruppen- oder Benutzernamen:" das Element "Jeder" auswählen und im unteren Bereich "Berechtigungen für "Jeder"" setzen Sie einen Haken bei "Vollzugriff".
- Die Einstellungen bitte durch Klicken von "OK" bestätigen.
Führen Sie nun einen Neustart durch.
Prüfen Sie anschließend wieder unter Start>Systemsteuerung>Verwaltung>Dienste ob der Dienst "Windows-Firewall" nun den Status "Gestartet" meldet. Falls nicht versuchen Sie Ihn manuell zu starten (rechte Maustaste auf den Dienst, "Starten" wählen). Sollte der Dienst eine Fehlermeldung zurückgeben die inhaltlich einen Fehler wegen eines nicht startbaren bzw. fehlenden abhängigen Dienstes beinhaltet bitte hier klicken. Wenn folgender Fehler erscheint ("Windows-Firewall auf lokaler Computer konnte nicht gestartet werden. [..]. Beziehen Sie sich auf den dienstspezifischen Fehlercode 5.") folgen Sie bitte den Anweisungen unter "Setzen der Berechtigungen für SharedAccess".
Sollte der Dienst nun starten, wäre es ratsam die Firewall einmal auf Werkseinstellung zurückzusetzen.
- Start>Systemsteuerung>Windows Firewall öffnen
- Auf der linken Seite des Fensters befindet sich der Aufgabenbereich einer der Links lautet "Standard wiederherstellen", diesen bitte anklicken.
- Anschließend den Button "Standard wiederherstellen" im nun erscheinenden Fenster anklicken.
- Die Firewalleinstellungen werden nun resettet.
Die hier durchgeführten Einstellungen setzen die Windows-Firewall wieder in Betrieb, aber durch das Setzen der Jeder-Berechtigung in den Unterschlüsseln kann Malware den Rechner relativ schnell manipulieren. Es ist daher ratsam eine andere Firewall als die Windows-Firewall zu verwenden (z.B. Comodo Firewall als Personal-Firewall), trotzdem muss der Dienst aktiviert bleiben, da auch andere Dienste auf die Schnittstellen der Windows-Firewall zugreifen.
-- Bitte beachten ! --
UPDATE: Ich habe eine Tabelle mit allen relevanten Standardberechtigungen für die Windows Firewall und abhängiger Dienste erstellt. (siehe: Standardberechtigungen Windows Firewall Registry)
Anleitung zur Wiederherstellung abhängiger Dienste von Windows-Firewall
Die Dienste "Basisfiltermodul" und "Windows-Firewallautorisierungstreiber" sind abhängige Dienste von "Windows-Firewall". D. h. wenn diese nicht funktionieren, funktioniert auch der eigentliche Firewall-Dienst nicht.
Reparatur "Basisfiltermodul" (alias: BFE bzw. BFE.dll)
befolgen Sie die Anleitung auch bei dem Zugrifffehler: "Fehler 5: Zugriff verweigert"
Wenn der Schlüssel "BFE" im Pfad "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\" fehlt bitte folgende Datei herunterladen: reg_bfe.zip
- Die ZIP-Datei öffnen und die Datei reg_bfe.reg doppelt anklicken, die Sicherheitsfrage mit "Ja" beantworten.
- Die "Zusammenführung" sollte am Ende mit einer Erfolgsnachricht bestätigt werden.
- Registry öffnen und zum Pfad "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BFE" navigieren. Den Unterschlüssel "Parameters" öffnen und mit der rechten Maustaste auf den Unterschlüssel "Policy" klicken und den Punkt "Berechtigungen" anklicken.
- Bei dem neu erscheinenden Fenster auf den Button "Hinzufügen" klicken.
- Geben Sie im Eingabefeld unter "Geben Sie die zu verwendenden Objektnamen ein (Beispiele):" "Jeder" ein und klicken Sie auf "OK".
- Im Bereich "Gruppen- oder Benutzernamen:" das Element "Jeder" auswählen und im unteren Bereich "Berechtigungen für "Jeder"" setzen Sie einen Haken bei "Vollzugriff".
- Die Einstellungen bitte durch Klicken von "OK" bestätigen.
Neustart des PCs durchführen und nochmals den Start des Dienstes Windows-Firewall probieren. Sollte es weiterhin fehlschlagen nachfolgende Anleitung durchführen:
Zu folgendem Pfad in der Registry navigieren "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root".
Wenn der Unterschlüssel "LEGACY_MPSDRV" fehlt, nachfolgende Anleitung bearbeiten.
- Rechte Maustaste auf "Root", "Berechtigung" wählen.
- Im Bereich "Gruppen- oder Benutzernamen:" "Jeder" auswählen und den Haken bei "Vollzugriff" setzen. Anschließend auf "OK" klicken.
- Folgende Datei herunterladen: reg_legacy_mpsdrv.zip
- Die ZIP-Datei öffnen und die Datei "reg_legacy_mpsdrv.reg" doppelt anklicken, die Sicherheitsfrage mit "Ja" beantworten.
- Die "Zusammenführung" sollte am Ende mit einer Erfolgsnachricht bestätigt werden.
- Nun wieder zu dem Pfad "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root" navigieren und mit der rechten Maustaste "Root" anklicken, "Berechtigung" wählen und im Bereich "Gruppen- oder Benutzernamen:" "Jeder" auswählen und den Haken entfernen.
Wenn der Schlüssel "mpsdrv" im Pfad "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\" fehlt bitte folgende Datei herunterladen: reg_mpsdrv.zip
- Die ZIP-Datei öffnen und die Datei reg_mpsdrv.reg doppelt anklicken, die Sicherheitsfrage mit "Ja" beantworten.
- Die "Zusammenführung" sollte am Ende mit einer Erfolgsnachricht bestätigt werden.
Neustart des PCs durchführen und unter Start>Systemsteuerung>Verwaltung>Dienste den Status des Dienstes "Windows-Firewall" prüfen.
Setzen der Berechtigungen für "SharedAccess"
- Zum Pfad "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess" in der Registry navigieren.
- Rechte Maustaste auf "SharedAccess" und "Berechtigungen" wählen.
- Klicken Sie auf den Button "Hinzufügen" und wählen Sie "Jeder" in das Eingabefeld ein. Anschließend "OK".
- Setzen Sie den Haken bei "Vollzugriff" und klicken Sie wiederum auf "OK".
- Starten Sie den PC neu und prüfen Sie erneut ob der Dienst wieder funktioniert.
Wiederherstellen der Standard Firewall-Regeln
- In einer privilegierten Eingabeaufforderungs-Sitzung folgenden Befehl eingeben:
"netsh Firewall reset"
- Anschließend sollten die Standard Windows Firewall-Regeln wieder vorhanden sein
Alternativ
- Folgende Datei herunterladen: http://lifeofageekadmin.com/wp-content/uploads/2012/08/SharedAccess.txt (rechte Maustaste "Ziel speichern unter")
- Datei zu "SharedAccess.reg" umbenennen und mittels Doppelklick und Bestätigung der Sicherheitsfrage mit "Ja" bestätigen.
- Es erscheint nun eine Erfolgsmeldung.
Weitere Informationen: http://lifeofageekadmin.com/windows-7-firewall-error-code-0x80070424c/ (englisch-sprachig) (Vielen Dank an 1stein für den Hinweis)
Quelle:
http://support.microsoft.com/kb/943996/en-us