VirTool:Win32/Defender Tampering Restore
Nazdar,
Dnes nemám svoj deň, sťahoval som z warez stránky hru, a ked som na inštalačku klikol,
Tak mi začala hučať graficka karta. Pozeral som čo to spôsobuje a program zavrel.
Len že tým to nekončilo, začal sa mi sám od seba otvárať prehliadač a všetko sa mi spomalilo.
Teraz to došlo do takého štádia, že nemôžem do počítača vôbec nič stiahnuť. Žiadny antivirus alebo program pomocou ktorého
by som to skúšal odstrániť. Teraz naposledy som skúšal odinštalovať prehliadač chrom a aj dáta prehliadania, ale vôbec to nepomohlo.
Spätne sa mi Google chrom ani nedá stiahnuť a nainštalovať, preto píšem cez edge.
Mal by prosím niekto radu ako sa toho zbvaviť bez toho aby som musel robiť preinštaláciu celého os??
Vdaka
Je to jednoduché. Obnov systém ze zálohy.
Obnoviť systém zo zálohy som už skúšal a to nie jeden krát. Vyhadzovalo mi to chybu. Nakoniec som bol nútený urobiť preinštaláciu celého OS...Ale o dáta som naštastie neprišiel.
Čo ma najviac štve je to, že musím všetko nanovo čo som mal nainštalované inštalovať nanovo a že som prišiel o účet na facebooku. Mal som tam toho veľa. Cheli odomňa fotku občianskeho preukazu, ale zakril som svoje číslo aby bolo vidieť len meno priezvisko a fotku. Preto dúfam, že sa mi facebook ozve
K čemu ti je záloha systému, která nejde obnovit?
No jo, tajné chyby jsou nejhorší.
ešte mám jeden problém. Všimol som si že tí hajzli mi na všetkých filmoch a hudme čo som mal pridali príponu. QQJJ a ja sa toho nemôžem zbaviť a hudba a video tak nejde otvoriť. Pomôže mi niekto prosím?
ransomware. všechny disky můžeš rovnou zformátovat.
ne, to je vtip - formátování samozřejmě nestačí. je nutné nabootovat nějaký live systém s partition managerem a odstranit i všechny oddíly z disků, čili včetně bootsektoru.
https://www.google.com/search?q=hirens+boot+alternative
pokud jsi měl nějaká data, už je nemáš.
pokud na ně viděl tvůj zavirovaný pc, přišel jsi nejspíš i o ty zálohy.
sorry, lozím si po netu a vidím že mám neodeslané komentáře, pak se tu zbytečně dubluju. nebudu se ti do toho montovat.
čakal som nejaku pozitívnu spravu. To mi chceš povedať že som o všetky súbory prišiel?
disky už jsi zformátoval, otázka je jak dobře - jestli úplně. správa disků diskmgmt.msc totiž ukazuje něco navíc, než co považuješ za disky.
a teď bys potřeboval nějaký jiný, bezpečně nezavirovaný počítač / notebuk / mobil / raspberry atd., s čím se můžeš podívat na síťové disky. když tam neobjevíš soubory s tou divnou příponou, je to zatím v pořádku.
no a nakonec zkontrolovat ostatní pc v domácnosti - všechny dobré viry se rychle šíří přes síť a windows home jsou jak otevřená vrata.
disky som zatial neformátoval, lebo musí byť spôsob ako tú priponu zmeniť. Počítač som kompletne preinštaloval, tak by už zavírovaný byť nemal nie?
Dej si do nějakého správce souborů vyhledávání a napiš tam *.qqjj
Jestli Ti to žádný takový soubor nenajde, mělo by to být v pohodě. Pokud ano, tak jsi v háji a přijdeš skoro o všechno.
Jinak každopádně PC proskenuj ještě programy MBAM, ADWCLEANER, Spyboot search and destroy a ESET ONLINE. Vše, co nějaký z těch programů najde, smaž. Jinak se toho nezbavíš a bude to stále dokola. Pár dnů zpět jsem řešil úplně ten samý problém. Sice jsem přišel o hodně věcí, ale to nejdůležitější (foto a dokumenty) mám zálohované, kromě nejnovějších, ale ty jsou ještě ve foťáku. Dokud si nebudu na 100% jistý, že je to PC naprosto čisté, tak se neodvažuju ten disk připojit a ani to zatím neudělám.
nabootovat antivirove cd (kaspersky, drweb, avira) a offline proskenovat disky.
ve win si pak vsimat, co vsechno a odkud se spousti (stahnout ms autoruns).
ransomware je sice dobre nicivy, ale prave kvuli ucinkum se skoro nepotrebuje skryvat a miva jednoduche spousteni - zastupce do temp a podobne hlouposti.
Jj, já to dělal přes bootovací UBCD. Vypadá, že je to už v pohodě. Pokud se ještě něco objeví, tak bez milosti všechny disky naformátuju. Měl jsem to udělat ihned a ušetřit si čas. Stejně mě to ale nejspíš nemine, protože tomu nějak nevěřím. Nechám si to na sobotu, než zajdu k ségře pro bitovou kopii nainstalovaného systému.
Nejprve bych udělal off-line zálohy dat tak jak v tuto chvíli jsou.
Na off-line datech a jiném PC bych zkusil nasadit Microsoft Safety Scanner.
https://docs.microsoft.com/en-us/microsoft-365/security/intelligence/safety-scanner-download
Snad pomůže...
https://answers.microsoft.com/en-us/protect/forum/all/how-to-remove-the/e68d7405-4610-49cb-b97f-69e83f603697?page=1
https://www.2-spyware.com/remove-virtoolwin32defendertamperingrestore.html
Vdaka , už ich zálohujem....Ale ak o ne prídem tak som v peknej riti
Je to zkušenost pro životní ponaučení se.
Ten poslední odkaz dost vysvtěluje. Karty jsou rozdány. Teď je třeba nedat tomu šanci na další stupně destrukce a vzniku škod, včetně zásahů do soukromých informací. Je třeba usilovat o záchranu nutných osobních dat, takže dohledat a nebo vzpomínat. Tyhle stavy řeším tak, že nespěchám. Ne vždy se podaří data zachránit. Neúspěch by neměl odradit. Pokud se k tomu vrátím v budoucnu, je šance, že data rozšifruju.
Když to shrnu, tak zazálohovat data, kompletně vše, včetně OS a poškozených dat.
Přeinstalovat OS.
Najít klid v duši.
Nastudovat návody na rozšifrování dat, pokud existují.
Když se nazadaří, tak se k tomu v budoucnu vrátit.
Ještě cenná rada - ráno moudřejší večera. Na tohle je dobré jít s čistou a odpočatou hlavou.
Kurnik teraz nebudem môcť celú noc spať kvôli tomu. Už som skúša vešliaké antivirusy aj možnosti ale bezvysledne.Hajzli mi nehali aj na seba kontakt aby som sa im ozval a zaplatil im 900dolarov ak chcem data späť. ALe záruky nemám žiadne
Rozumím.
Pokud můžu poradit, tak i když je to těžké, je třeba se k tomu stavit lhostejně, jako že kašlu na to... ono to nějak dopadne.
Protože jinak se člověk bude jen užírat, tím spíš že je pachatelem. Situace pro tuto chvíli nemá okamžité a snadné řešení - tak bych to akceptoval jako fakt. Jak už jsem psal. Ráno moudřejší večera. Lidem zachraňuji data a dávám si na čas, tak jak potřebuji, nikoli jak oni chtějí. Dnešní neúspěch, ale třeba zítřejší úspěch... takže klid v duši. Je dobré si sepsat jaká důležitá data tam byla. Méně znalým uživatelům data zálohuju a doporučuju jim, aby si dělali "katalogizaci". Pak se lze snadno podívat co a kde bylo uloženo. Jinak platí: Kdo zálohuje, ten má a kdo nezálohuje, ten nemá.
Viem že to myslíš dobre, ale ja osobne som bezradný. Hlavne čo ma serie je to že tam neboli iba moje súbory. Na filmy a hudbu sa môžem vysrať, to si stiahnem kludne znova aj ked to potrvá ale osobné dokumenty čo som mal sú neni vôbec čitatelné a nedajú sa v žiadnom formáte otvoriť
Stáhnul a spustil jsi wares hru s malwarem... (nemám nic proti warezu)
Nemáš normálně udělané zálohy dat...
Za mě dobře ti tak!
Co chceš jako poradit? Zformátuj všechno kam měl přístup malware a proveď čistou instalaci Windows.
PS: Můžu vědět odkud jsi tu hru s malwarem stahoval?
Tohle mu není třeba psát. Potrestal sám sebe. Zrovna tak ponaučil sám sebe. Teď musí najít řešení, pokud vůbec existuje.
Řešení?
Těžko takový člověk je schopný rozumného uvažování, když je schopný se dostat do takové situace tímto způsobem, takže:
a) donést to někomu rozumnému, aby mu zachránil nezašifrovaná data
b) ... a zjistit o jaký malware se jedná, jestli o nějaký hloupý, tak pozjišťovat jestli se nedají nějaká zašifrovaná data zachránit, jestli se jedná o způsob RSA+AES:
https://pc.poradna.net/questions/3150403-desifrovani-souboru-vvew-po-napadeni-pocitace-virem-malwarem#r3150998
nebo něco v tom smyslu, tak se s daty rozloučit.
c) všechno zfromátovat a nainstalovat Windows
Bud taký laskavy a zdrž sa radšej komentára lebo nikto na to nie je zvedavý.
Keby si aspoň čítal čo píšem, tak by si vedel o aký malware sa jedná. Len že tebe sa ani neráči si to dať do googlu.
Len kopa rečí a hovno z toho.
Všetko, okrem externých diskov mám sformatovane a aj os nainštalovaný len data chýbaju.
A ty googlit umíš? Si ten tvůj malware hoď do googlu a zjisti si jestli se dá dešifrovat
Já to za tebe dělat nebudu. Pokud nedá, tak máš prostě smůlu.
Ptám se potřetí, odkud jsi tu hru stáhnul?
Další věc: "Win32/Defender Tampering Restore"
Defender jen tak jednoduše sestřelit několik měsíců nejde. Ty tam máš jako antivir Defender?
Protože se mi nezdá normální, aby malware, který se dá vygooglit, Defender neotchytnul, navíc když má ten malware sestřelovací detekovaný kód ( = Win32/Defender Tampering Restore = něco co chce sestřelit Defender)...
Tys ten Defender před spuštěním hry vypnul? Nebo neaktualizuješ? Nechápu...
To je síla
Ty se snažíš, ptáš se, pečlivě vysvětluješ - on neodpovídá a pomalu tě posílá do pidele. Co s takovým?
Ransomware přibalené u hry (taky to může mít odjinud a už dříve, kdo ví, že…), o tom slyším poprvé, také by mě zajímalo co a odkud to má. A zda tam opravdu ten RW přibalený je.
to bolo fakt inteligentne
Jaké je ID v souboru C:\SystemID\PersonalID.txt?
Klíče končící na "t1" ==> byl použitý off-line klíč.
U novějších verzí toho svinstva je šance na záchranu souborů, pokud byly zašifrovány off-line klíčem.
Pro další analýzu je třeba někam nahrát škodlivý soubor. Nejlépe zazipované s heslem, aby si to někdo taky neužil.
Heslo zip souboru = BF97xq61xVzc@o*Z1Y&$
poznáš prosím ťa nejakú stránku kde by som to mohol urýchlene niekam poslať zazipované? lebo na ulož to to trvá dlho
https://www.uschovna.cz/
Vdaka vložené...A adresu príjemcu mám dať čo?
https://www.uschovna.cz/zasilka/BYMDDX477CMFUBSM-ZJ4/TELW2CNRG9#:~:text=https%3A//www.uschovna.cz/zasilka/BYMDDX477CMFUBSM%2DZJ4/
Soubor jsem záměrně smazal s ohledem na soukromí. Pokud bude někdo chtít, tak ať si vyžádá dle potřeby.
Jdu se na to podívat.
som ti vdačný
Ten odkaz čo som tu dal je jedna fotka z 1000ky čo majú rovnakú príponu a nejdú otvoriť. Obávať sa nemusíš že si tým niečo poškodíš. Ten súbor ktorím som si poškodil súbory už nemám
Právě ten škodlivý exe je potřebný. Šlo by tu hru stáhnout znovu a poskytnout mi jen ten infikovaný soubor?
To by som rád poskytol ale neviem už presne odkiaľ som to stiahol.Skúsim pohľadať ale to už bude ako hladať ihlu v kope ihiel
Jasně tu bylo včera řečeno, že je třeba udělat kompletní zálohu. V historii prohlížeče se asi odkaz nacházel. Nebo to bylo získané torrent cestou?
Ještě potřebuju menší vzorky souborů, velikostně tak 200-400 kB. Nejlépe aby byly k sobě spárované infikované a zdravé. Takže to chce popřemýšlet a snažit se uvědomit si a dohledat co bylo odesíláno jako příloha e-mailem a podobně.
zálohu som už nemal ako spraviť, ked som mal všetky súbory napadnuté. Napadnute som ich mal aj na m2 diskoch a takisto aj na externych diskoch
už som to našiel
Your personal ID:
0545Jhyjd5Pk4ZlmA9WdUsSsJ7UUY4awFbzuwOHwxz6QMhHRI
Jak byla přesná cesta k tomu ID souboru?
Název a přípona souboru byly jaké?
Je třeba reagovat pečlivěji.
cestu k tomu neni žiadna... To ID mi napísali oni sami do textoveho dokumentu ktorý mi dávali skoro do každého priečinka čo bol napadnutý
ATTENTION!
Don't worry, you can return all your files!
All your files like pictures, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
https://we.tl/t-lFoTUDc1Fx
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.
To get this software you need write on our e-mail:
support@bestyourmail.ch
Reserve e-mail address to contact us:
datarestorehelp@airmail.cc
Your personal ID:
0545Jhyjd5Pk4ZlmA9WdUsSsJ7UUY4awFbzuwOHwxz6QMhHRI
Vypadá to, že se jedná o on-line variantu. Je potřebný klíč, který je pravděpodobně uložený na serveru útočníka.
Momentálně nevidím možné řešení.
Platí to, co jsem psal včera. Klid v duši a dát tomu čas. Je dost pravděpodobné, že je otázkou času, kdy se podaří data zachránit. Takže určitě nezoufat. Vzít si to jako životní ponaučení a změnit své zlozvyky. Ustanovit si dobré a nové návyky. Konec kázání mouder.
Doporučuji se zaměřit na ujasnění si, co a kde bylo a jaká důležitá data byla poškozena (paradoxně to může dodat klidu v duši). Je dost možné, že ten prevít nestihl zašifrovat vše. Nenechat se zmást, protože ne vše s příponou *.qqjj může být poškozené (takže alespoň nahodile vybrané a zkopírované soubory změnit v příponách a zkusit je otevřít).
Pro příště... ve chvílích běhu škodlivé aktivity je nutné bezodkladné vypnutí datových úložišť, aby poškození bylo co nejmenšího rozsahu.
Ten poškozený soubor si s dovolením ponechám a v budoucnu se k tomu zkusím vrátit. Pokud se zadaří, napíšu sem.
Tazatel si může k vláknu nastavit e-mailové zasílání oznámení o nových příspěvcích.
Už sa pomaly s mojími súbormi začínam lúčiť, ale pre istotu si ich zatiaľ ešte ponechám keby náhodou sa čo si naskytlo a dalo sa to opraviť.
Zatiaľ ti dakujem za tvoj čas že si sa tomu venoval, a pevne verím že sa ti podarí nájsť riešnie
Prosím, rádo se stalo. Ono je to dost o samostudiu. Bere to čas. Často je to ztracených dost hodin života a bezvýsledně.
Pokud je to možné, tak ještě poskytnout a nahrát na uschovna.cz také soubory splňující tyto podmínky:
Jako zdravý soubor by mohlo být možné dohledat v minulosti e-mailem odeslanou přílohu (ještě před infekcí).
1) max. velikost v řádu stovek kB, velikostně ideálně tak 200-400 kB.
2) infikovaný soubor, ale k němu je nutné dodat zrcadlově také zdravý soubor (snad vše nestihl poškodit)
Raději znovu zopakuji...
NIC NEMAZAT! OPAKUJI, OPRAVDU ŽÁDNÁ DATA NEMAZAT! NE, OPRAVDU NEMAZAT ANI INFIKOVANÉ SOUBORY.
Situace se má tak, že:
- kdo maže poškozená data, tomu na jejich záchraně nezáleží
- kdo platí výpalné, ten podporuje šmejdy
Nechápu proč ten malware má to klíčování tak blbě řešené, rozdělené na offline a online...
Tipuju, že používá jednu hromadu párů klíčů RSA na offline šifrování a na dešifrování posílá privátní klíč, proto to jde dešifrovat.
A na online používá pro každý útok jedinečný RSA pár klíčů a na dešifrování taky posílá ten privátní klíč, ale to v tomto případě neva.
(bez ohledu na to jestli pak data šifruje pomocí AES)
Nechápu proč to neřeší tak jak jsem to popsal tu:
https://pc.poradna.net/questions/3150403-desifrovani-souboru-vvew-po-napadeni-pocitace-virem-malwarem#r3150998
tedy jeden RSA pár klíčů na všechno, šifrovat AES klíč a při dešifrování posílat jen dešifrovaný AES klíč a privátní RSA klíč nikomu neposílat. V tom případě online i offline dešifrování nejde nijak jinak vyřešit než pomocí privátního klíče, který má a který nedá útočník.
Ano, ano, ano... správné úvahy.
Používají RSA. Klíče jsou jedinečné.
Soukromý klíč napadeného má v držení útočník. Ten ho uvolní prostřednictvím decryptovadla po zaplacení výpalného.
Dyť je to postavené na hlavu
. Nechápu proč místo veřejného klíče neposílá dešifrovaný AES klíč 
Co se zeptat u ESETu? Třeba to mistři vysvětlí. Jsem jen řadový hasič...
Nevysvětlí. Prostě ten tvůrce malwaru to řeší hodně hloupě.
(na to online to sice nemá vliv, ale na to offline ano)