Sedan juli förra veckan började Windows Defender utfärdas Win32 / HostsFileHijack
Varningar om 'potentiellt oönskat beteende' om du hade blockerat Microsofts telemetriservrar med hjälp av HOSTS-filen.
Ut ur SettingsModifier: Win32 / HostsFileHijack
fall rapporterade online rapporterades det tidigaste på Microsoft Answers-forum där användaren uppgav:
Jag får ett allvarligt 'potentiellt oönskat' meddelande. Jag har nuvarande Windows 10 2004 (1904.388) och enda Defender som permanent skydd.
Hur ska man utvärdera det, eftersom inget har förändrats hos mina värdar vet jag det. Eller är detta ett falskt positivt meddelande? En andra kontroll med AdwCleaner eller Malwarebytes eller SUPERAntiSpyware visar ingen infektion.
“HostsFileHijack” varning om Telemetry är blockerad
Efter att ha inspekterat VÄSTAR
från det systemet observerades att användaren hade lagt till Microsoft Telemetry-servrar till HOSTS-filen och dirigerat den till 0.0.0.0 (känd som 'null-routing') för att blockera dessa adresser. Här är listan över telemetriadresser som noll-routats av den användaren.
0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net 0.0.0.0 candycrushsoda.king.com 0.0.0.0 ceuswatcab01 .blob.core.windows.net 0.0.0.0 ceuswatcab02.blob.core.windows.net 0.0.0.0 choice.microsoft.com 0.0.0.0 choice.microsoft.com.nsatc.net 0.0.0.0 co4.telecommand.telemetry.microsoft .com 0.0.0.0 cs11.wpc.v0cdn.net 0.0.0.0 cs1137.wpc.gammacdn.net 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net 0.0.0.0 cy2.vortex.data.microsoft.com .akadns.net 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net 0.0.0.0 db5-eap.settings-win.data .microsoft.com.akadns.net 0.0.0.0 df.telemetry.microsoft.com 0.0.0.0 diagnostik.support.microsoft.com 0.0.0.0 eaus2watcab01.blob.core.windows.net 0.0.0.0 eaus2watcab02.blob.core.windows .net 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 feedback.microsoft-hohm.com 0.0.0.0 feedback.search.mic rosoft.com 0.0.0.0 feedback.windows.com 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net 0.0.0.0 modernt. watson.data.microsoft.com 0.0.0.0 modern.watson.data.microsoft.com.akadns.net 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry. microsoft.com.nsatc.net 0.0.0.0 onecollector.cloudapp.aria.akadns.net 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net 0.0.0.0 onesettings-cy2.metron.live.com.nsatc. netto 0.0.0.0 ensettings-db5.metron.live.com.nsatc.net 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net 0.0.0.0 rapporter.wes.df.telemetry.microsoft.com 0.0.0.0 self.events.data.microsoft.com 0.0.0.0 inställningar.data.microsoft.com 0.0.0.0 services.wes.df.telemetry.microsoft.com 0.0.0.0 settings.data.glbdns2.microsoft.com 0.0.0.0 inställningar- sandbox.data.microsoft.com 0.0.0.0 inställningar-win.data.microsoft.com 0.0.0.0 kvm.df.telemetry.microsoft.com 0.0.0.0 kvm.telemetry.microsoft.com 0.0.0.0 kvm.telemetry.micr osoft.com.nsatc.net 0.0.0.0 statsfe1.ws.microsoft.com 0.0.0.0 statsfe2.update.microsoft.com.akadns.net 0.0.0.0 statsfe2.ws.microsoft.com 0.0.0.0 survey.watson.microsoft. com 0.0.0.0 tele.trafficmanager.net 0.0.0.0 telecommand.telemetry.microsoft.com 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telemetry.appex.bing.net 0.0.0.0 telemetry.microsoft.com 0.0.0.0 telemetry.remoteapp.windowsazure.com 0.0.0.0 telemetry.urs.microsoft.com 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com 0.0 .0.0 us.vortex-win.data.microsoft.com 0.0.0.0 us.vortex-win.data.microsoft.com 0.0.0.0 v10.events.data.microsoft.com 0.0.0.0 v10.vortex-win.data. microsoft.com 0.0.0.0 v10.vortex-win.data.microsoft.com 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net 0.0.0.0 v10-win.vortex.data.microsoft.com. akadns.net 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 v10c.events.data.microsoft.com 0.0.0.0 v10c.vortex-win.data.microsoft.com 0 .0.0.0 v20.events.data.microsoft.com 0.0.0.0 v20.vortex-win.data.microsoft.com 0.0.0.0 vortex.data.glbdns2.microsoft.com 0.0.0.0 vortex.data.microsoft.com 0.0 .0.0 vortex.data.metron.live.com.nsatc.net 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net 0.0.0.0 vortex-db5.metron.live.com.nsatc.net 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net 0.0.0.0 vortex-sandbox.data.microsoft.com 0.0.0.0 vortex-win-sandbox. data.microsoft.com 0.0.0.0 vortex-win.data.microsoft.com 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 watson.live.com 0.0.0.0 watson.microsoft. com 0.0.0.0 watson.ppe.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net 0.0.0.0 wes.df.telemetry.microsoft.com 0.0 .0.0 weus2watcab01.blob.core.windows.net 0.0.0.0 weus2watcab02.blob.core.windows.net
Och experten Rob Koch svarade och sa:
Eftersom du inte dirigerar Microsoft.com och andra ansedda webbplatser till ett svart hål, skulle Microsoft uppenbarligen se detta som potentiellt oönskad aktivitet, så naturligtvis upptäcker de dessa som PUA (inte nödvändigtvis skadlig, men oönskad) aktivitet, relaterad till en värd Filkapning.
Att du har bestämt dig för att det är något du vill göra är i princip irrelevant.
Som jag tydligt förklarade i mitt första inlägg var ändringen att utföra PUA-upptäckter aktiverad som standard med lanseringen av Windows 10 version 2004, så det är hela anledningen till ditt plötsliga problem. Ingenting är fel förutom att du inte föredrar att använda Windows på det sätt som utvecklaren Microsoft avsåg.
Eftersom din önskan är att behålla dessa ändringar som inte stöds i Hosts-filen, trots att de tydligt kommer att bryta många av de Windows-funktioner som dessa webbplatser är utformade för att stödja, skulle du troligen vara bättre att återställa PUA-detekteringsdelen av Windows Defender är inaktiverat som tidigare i tidigare versioner av Windows.
Det var Günter född som bloggade om denna fråga först. Kolla in hans utmärkta inlägg Defender flaggar Windows Hosts-filen som skadlig och hans efterföljande inlägg om detta ämne. Günter var också den första som skrev om Windows Defender / CCleaner PUP-upptäckt.
I sin blogg konstaterar Günter att detta har hänt sedan 28 juli 2020. Microsoft Answers-inlägget som diskuterades ovan skapades dock den 23 juli 2020. Så vi vet inte vilken Windows Defender Engine / klientversion som introducerade Win32 / HostsFileHijack
telemetri blockdetektering exakt.
De senaste Windows Defender-definitionerna (utfärdade från och med den 3: e veckan och framåt) betraktar de 'manipulerade' posterna i HOSTS-filen som oönskade och varnar användaren för 'potentiellt oönskat beteende' - med hotnivån betecknad som 'allvarlig'.
Varje HOSTS-filpost som innehåller en Microsoft-domän (t.ex. microsoft.com) som den nedan, skulle utlösa en varning:
0.0.0.0 www.microsoft.com (eller) 127.0.0.1 www.microsoft.com
Windows Defender skulle då ge tre alternativ till användaren:
- Avlägsna
- Karantän
- Tillåt på enheten.
Väljer Avlägsna skulle återställa HOSTS-filen till Windows-standardinställningarna och därigenom helt radera dina anpassade poster om någon.
Så, hur blockerar jag Microsofts telemetriservrar?
Om Windows Defender-teamet vill fortsätta med detekteringslogiken ovan har du tre alternativ för att blockera telemetri utan att få varningar från Windows Defender.
Alternativ 1: Lägg till HOSTS-fil till Windows Defender-undantag
Du kan be Windows Defender att ignorera VÄSTAR
fil genom att lägga till den i undantag.
- Öppna Windows Defenders säkerhetsinställningar, klicka på Virus- och hotskydd.
- Klicka på Hantera inställningar under Virus- och hotskyddsinställningar.
- Rulla ner och klicka på Lägg till eller ta bort undantag
- Klicka på Lägg till en uteslutning och klicka på Arkiv.
- Välj filen
C: Windows System32 drivers etc HOSTS
och lägg till den.
Notera: Att lägga till HOSTS till undantagslistan innebär att om en skadlig programvara manipulerar med din HOSTS-fil i framtiden skulle Windows Defender sitta stilla och göra ingenting åt HOSTS-filen. Undantag från Windows Defender måste användas med försiktighet.
Alternativ 2: Inaktivera PUA / PUP-skanning av Windows Defender
PUA / PUP (potentiellt oönskad applikation / program) är ett program som innehåller adware, installerar verktygsfält eller har oklara motiv. I versioner tidigare än Windows 10 2004, skannade Windows Defender inte PUA eller PUP som standard. PUA / PUP-detektering var en opt-in-funktion som behövde aktiveras med PowerShell eller Registerredigeraren.
De Win32 / HostsFileHijack
hot från Windows Defender omfattas av PUA / PUP-kategorin. Det betyder, med inaktiverar PUA / PUP-skanning alternativet kan du kringgå Win32 / HostsFileHijack
filvarning trots att det har telemetroposter i HOSTS-filen.
Notera: En nackdel med att inaktivera PUA / PUP är att Windows Defender inte skulle göra något åt den adware-medföljande installationen / installationsprogrammen som du av misstag laddar ner.
Dricks: Du kan ha Malwarebytes Premium (som inkluderar realtidsskanning) som körs tillsammans med Windows Defender. På det sättet kan Malwarebytes ta hand om PUA / PUP-grejer.
Alternativ 3: Använd en anpassad DNS-server som Pi-hole eller pfSense-brandvägg
Tekniskt kunniga användare kan ställa in ett Pi-Hole DNS-serversystem och blockera adware och Microsofts telemetri-domäner. DNS-blockering kräver vanligtvis separat hårdvara (som Raspberry Pi eller en lågkostnadsdator) eller en tredje parts tjänst som OpenDNS-familjefilter. OpenDNS-filterkonto för familjer ger ett gratis alternativ att filtrera adware och blockera anpassade domäner.
Alternativt kan en hårdvarubrandvägg som pfSense (tillsammans med pfBlockerNG-paketet) åstadkomma detta enkelt. Filtrering av servrar på DNS- eller brandväggsnivå är mycket effektivt. Här är några länkar som berättar hur du blockerar telemetriservrarna med pfSense-brandvägg:
Blockera Microsoft Traffic i PFSense | Adobo-syntax: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ Hur blockerar man i Windows10 Telemetry med pfsense | Netgate Forum: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Blockera Windows 10 från att spåra dig: http://www.weatherimagery.com/blog / block-windows-10-telemetry-phone-home / Windows 10 Telemetry kringgår VPN-anslutning: VPN: Kommentar från diskussion Tzunamiis kommentar från diskussionen 'Windows 10 Telemetry kringgår VPN-anslutning' . Anslutningspunkter för Windows 10 Enterprise, version 2004 - Windows Privacy | Microsoft Docs: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints
Redaktörens anmärkning: Jag har aldrig blockerat telemetri eller Microsoft Update-servrar i mina system. Om du är mycket bekymrad över integritet kan du använda någon av ovanstående lösningar för att blockera telemetriservrarna utan att få Windows Defender-varningar.
En liten begäran: Om du gillade det här inlägget, vänligen dela det här?
En 'liten' andel från dig skulle på allvar hjälpa till mycket med bloggens tillväxt. Några bra förslag:- Kläm fast det!
- Dela det till din favoritblogg + Facebook, Reddit
- Tweeta det!