Recuperar los servicios de Firewall y Defender tras un virus (virus policía o Rootkit zero access) Vista y 7

Hace poco hemos quitado de un cliente el virus de la policía, o virus rootkit zero access. Es bastante complicado de quitar, porque muta en varias variantes, y las soluciones online no siempre son válidas. Nosotros tuvimos que, además de usar herramientas típicas (Malwarebytes, antivirus…) quitar ficheros a mano. Pero vamos, con esfuerzo se quita.

El problema es que estos (y otros antivirus) dejan de si algún rastro. Por ejemplo nos encontramos que había eliminado el servicio de Firewall de Windows y el de Windows Defender. Esto es cómo los recuperamos.

Primero debes descargarte estos 3 ficheros de registro:
http://www.mediafire.com/?317ea53a883288d   BFE

http://www.mediafire.com/?z6aw8j7997qa7j9   Windows firewall

http://www.mediafire.com/?vujckeuo1repw9v windows defender

Después debes importarlos en el registro (ejecuta regedit.exe desde Inicio, ejecutar, y dale a importar, uno cada vez).

Luego debes ir a: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BFE

y darle botón derecho en la clave BFE. Después permisos, añadir, Todos y darle ok. Luego vuelve a pinchar en Todos y pincha en la casilla “Control Total”. Dale ok a todo y reinicia el ordenador.

Al reiniciar ejecuta (inicio, ejecutar) services.msc y asegurate que Windows Firewall y Windows defender están activos y en automático. Luego en el panel de control picha en el icono de cada uno de ellos para asegurate que están activos y vigilando tu ordenador.


Anuncios

4 thoughts on “Recuperar los servicios de Firewall y Defender tras un virus (virus policía o Rootkit zero access) Vista y 7

  1. Cierto el Link del Windows defender esta caido, de todas formas muchas gracias de todos los sitios en donde he mirado tu explicacion es la mejor y la unica que reunia registros para solucionar los tres problemas.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s