🛡️Безопасность

VirTool:Win32/DefenderTamperingRestore – что за угроза?

В Windows 11 и 10 можно обнаружить уведомления от антивируса Microsoft Defender с угрозой VirTool:Win32/DefenderTamperingRestore, которая затрагивает элемент regkeyvalue: hklm\software\microsoft\windows defender\spynet\\DisableBlockAtFirstSeen. Многие пользователи задаются вопросом, что это за угроза? Откуда она возникла? Что делать?

VirTool Win32 Defender TamperingRestore

Что за угроза?

VirTool:Win32/DefenderTamperingRestore – это не вирус, как многие могут подумать, а уведомление о том, что происходит попытка изменений или восстановлений параметров Microsoft Defender.

Я как то ввел в PowerShell командлеты, чтобы отключить на время защиту в реальном времени, облачную защиту и другие параметры в Microsoft Defender, но они не отключились и со временем обнаружил у себя данное уведомление в журнале защите и начал разбираться.

Дело в том, что в Microsoft Defender имеется функция защита от подделки, которая заранее предотвратила и заблокировала изменения, когда я пытался выключить облачную функцию Block at First Sight, которая блокирует подозрительные файлы и действия до того, как они будут применены или использованы.

В данном моем случае, я через PowerShell попытался внести изменения в реестр, чтобы отключить Block at First Sigh, но сработала защита от подделки и Microsoft Defender выдал уведомление с угрозой VirTool:Win32/DefenderTamperingRestore с затронутым элементом regkeyvalue: hklm\software\microsoft\windows defender\spynet\\DisableBlockAtFirstSeen, где указано:

  • VirTool – утилита (не вирус). В моем случае это был PowerShell.
  • Win32 – 32-битная архитектура для старых программ и скриптов.
  • DefenderTamperingRestore – восстановление Defender с попыткой вернуть отключённый параметр.
  • regkeyvalue – изменение значения в реестре.
  • DisableBlockAtFirstSeen – параметр "Блокировка облачной защиты" равный 0.

Другими словами, я пытался при помощи PowerShell изменить параметр реестра для отключения облачной защиты по пути:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Spynet\DisableBlockAtFirstSeen

Причины появление угрозы?

Причины, как писал уже выше, попытка вручную изменить параметры Microosft Defender через редактор реестра. Кроме того, это могут быть и сторонние утилиты, скрипты, вредоносное ПО или сторонний антивирус, который попытался отключить Defender в Windows 11. Также, вредоносное ПО очень часто пытается отключить функцию облачной защиты в Microsoft Defender и он самостоятельно блокирует такие попытки.

Что делать?

Если вносили лично изменения в параметры Microsoft Defender через реестр вручную, при помощи какой-либо утилиты, скрипта PowerShell или команды через CMD, то ничего делать не нужно. Defender сам себя защитил и не дал внести изменения.

  • Ничего не делать, так как это не вирус и не угроза, а уведомление, что антивирус сам себя защитил.
  • Можно выполнить проверку целостности системы Windows 11/10.
  • Проверьте включены ли все параметры защиты в Microsoft Defender.управление настройками defender win11

Смотрите еще: