Die Warnung „HostsFileHijack“ von Windows Defender wird angezeigt, wenn die Telemetrie blockiert ist

click fraud protection

Seit Juli letzter Woche startet Windows Defender mit der Ausgabe Win32/HostsFileHijack Warnungen zu „potenziell unerwünschtem Verhalten“, wenn Sie die Telemetrieserver von Microsoft mithilfe der HOSTS-Datei blockiert haben.

Verteidiger hostsfilehijack

Aus dem SettingsModifier: Win32/HostsFileHijack Fälle, die online gemeldet wurden, der früheste wurde beim Microsoft Answers-Foren wo der Benutzer angab:

Ich erhalte eine ernsthafte „potenziell unerwünschte“ Nachricht. Ich habe das aktuelle Windows 10 2004 (1904.388) und nur Defender als permanenten Schutz.
Wie ist das zu bewerten, da sich bei meinen Gastgebern nichts geändert hat, das weiß ich. Oder ist das eine falsch positive Nachricht? Eine zweite Überprüfung mit AdwCleaner oder Malwarebytes oder SUPERAntiSpyware zeigt keine Infektion.

„HostsFileHijack“-Warnung, wenn Telemetrie blockiert ist

Nach der Inspektion der GASTGEBER Datei von diesem System wurde festgestellt, dass der Benutzer Microsoft Telemetry-Server zur HOSTS-Datei hinzugefügt und an 0.0.0.0 weitergeleitet hatte (bekannt als „Null-Routing“), um diese Adressen zu blockieren. Hier ist die Liste der Telemetrieadressen, die von diesem Benutzer auf Null geroutet wurden.

0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net. 0.0.0.0 candycrushsoda.king.com. 0.0.0.0 ceuswatcab01.blob.core.windows.net. 0.0.0.0 ceuswatcab02.blob.core.windows.net. 0.0.0.0 choice.microsoft.com. 0.0.0.0 choice.microsoft.com.nsatc.net. 0.0.0.0 co4.telecommand.telemetry.microsoft.com. 0.0.0.0 cs11.wpc.v0cdn.net. 0.0.0.0 cs1137.wpc.gammacdn.net. 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net. 0.0.0.0 cy2.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5-eap.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 df.telemetry.microsoft.com. 0.0.0.0 diagnostics.support.microsoft.com. 0.0.0.0 eaus2watcab01.blob.core.windows.net. 0.0.0.0 eaus2watcab02.blob.core.windows.net. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 feedback.microsoft-hohm.com. 0.0.0.0 feedback.search.microsoft.com. 0.0.0.0 feedback.windows.com. 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net. 0.0.0.0 modern.watson.data.microsoft.com. 0.0.0.0 modern.watson.data.microsoft.com.akadns.net. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com.nsatc.net. 0.0.0.0 onecollector.cloudapp.aria.akadns.net. 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-cy2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net. 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net. 0.0.0.0 report.wes.df.telemetry.microsoft.com. 0.0.0.0 self.events.data.microsoft.com. 0.0.0.0 settings.data.microsoft.com. 0.0.0.0 services.wes.df.telemetry.microsoft.com. 0.0.0.0 settings.data.glbdns2.microsoft.com. 0.0.0.0 settings-sandbox.data.microsoft.com. 0.0.0.0 settings-win.data.microsoft.com. 0.0.0.0 qm.df.telemetry.microsoft.com. 0.0.0.0 qm.telemetry.microsoft.com. 0.0.0.0 qm.telemetry.microsoft.com.nsatc.net. 0.0.0.0 statsfe1.ws.microsoft.com. 0.0.0.0 statsfe2.update.microsoft.com.akadns.net. 0.0.0.0 statsfe2.ws.microsoft.com. 0.0.0.0 survey.watson.microsoft.com. 0.0.0.0 tele.trafficmanager.net. 0.0.0.0 telecommand.telemetry.microsoft.com. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telemetry.appex.bing.net. 0.0.0.0 telemetry.microsoft.com. 0.0.0.0 telemetry.remoteapp.windowsazure.com. 0.0.0.0 telemetry.urs.microsoft.com. 0.0.0.0 tsfe.trafficsshaping.dsp.mp.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 v10.events.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 v10c.events.data.microsoft.com. 0.0.0.0 v10c.vortex-win.data.microsoft.com. 0.0.0.0 v20.events.data.microsoft.com. 0.0.0.0 v20.vortex-win.data.microsoft.com. 0.0.0.0 vortex.data.glbdns2.microsoft.com. 0.0.0.0 vortex.data.microsoft.com. 0.0.0.0 vortex.data.metron.live.com.nsatc.net. 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net. 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net. 0.0.0.0 vortex-db5.metron.live.com.nsatc.net. 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net. 0.0.0.0 vortex-sandbox.data.microsoft.com. 0.0.0.0 vortex-win-sandbox.data.microsoft.com. 0.0.0.0 vortex-win.data.microsoft.com. 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 watson.live.com. 0.0.0.0 watson.microsoft.com. 0.0.0.0 watson.ppe.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net. 0.0.0.0 wes.df.telemetry.microsoft.com. 0.0.0.0 weus2watcab01.blob.core.windows.net. 0.0.0.0 weus2watcab02.blob.core.windows.net

Und der Experte Rob Koch antwortete:

Da Sie Microsoft.com und andere seriöse Websites in ein schwarzes Loch leiten, würde Microsoft dies offensichtlich als potenziell ansehen unerwünschte Aktivitäten, daher erkennen sie diese natürlich als PUA-Aktivität (nicht unbedingt bösartig, aber unerwünschte) im Zusammenhang mit einer Hosts-Datei Entführen.

Dass Sie sich entschieden haben, dass es etwas ist, was Sie tun möchten, ist im Grunde irrelevant.

Wie ich in meinem ersten Beitrag deutlich erklärt habe, war die Änderung zur Durchführung der PUA-Erkennungen standardmäßig mit der Veröffentlichung von Windows 10 Version 2004 aktiviert, also ist dies der einzige Grund für Ihr plötzliches Problem. Nichts ist falsch, außer dass Sie Windows nicht so betreiben möchten, wie es der Entwickler von Microsoft beabsichtigt hat.

Da Sie jedoch diese nicht unterstützten Änderungen in der Hosts-Datei beibehalten möchten, werden sie viele der Windows-Funktionen eindeutig beeinträchtigen Sites zur Unterstützung entwickelt wurden, ist es wahrscheinlich besser, den PUA-Erkennungsteil von Windows Defender auf deaktiviert zurückzusetzen, wie es in früheren Versionen von. der Fall war Fenster.

Es war Günter Born der zuerst zu diesem Thema gebloggt hat. Schau dir seinen ausgezeichneten Beitrag an Defender markiert Windows Hosts-Datei als bösartig und sein anschließender Beitrag zu diesem Thema. Günter war auch der Erste, der über die PUP-Erkennung von Windows Defender/CCleaner schrieb.

In seinem Blog stellt Günter fest, dass dies seit dem 28. Juli 2020 geschieht. Der oben besprochene Microsoft Answers-Beitrag wurde jedoch am 23. Juli 2020 erstellt. Wir wissen also nicht, welche Windows Defender Engine/Client-Version das eingeführt hat Win32/HostsFileHijack Telemetrieblockerkennung genau.

Die aktuellen Windows Defender-Definitionen (veröffentlicht ab der 3. Juli-Woche) berücksichtigen diese „manipulierten“ Einträge in der HOSTS-Datei als unerwünscht und warnt den Benutzer vor „potenziell unerwünschtem Verhalten“ – mit der Bedrohungsstufe als "stark".

Jeder HOSTS-Dateieintrag, der eine Microsoft-Domäne (z. B. microsoft.com) wie die folgende enthält, würde eine Warnung auslösen:

0.0.0.0 www.microsoft.com (oder) 127.0.0.1 www.microsoft.com

Windows Defender bietet dem Benutzer dann drei Optionen:

  • Entfernen
  • Quarantäne
  • Auf Gerät zulassen.
Verteidiger hostsfilehijack

Auswahl Entfernen würde die HOSTS-Datei auf die Windows-Standardeinstellungen zurücksetzen, wodurch Ihre benutzerdefinierten Einträge, falls vorhanden, vollständig gelöscht werden.

Verteidiger hostsfilehijack

Wie blockiere ich die Telemetrieserver von Microsoft?

Wenn das Windows Defender-Team mit der obigen Erkennungslogik fortfahren möchte, haben Sie drei Optionen zum Blockieren der Telemetrie, ohne Warnungen von Windows Defender zu erhalten.

Option 1: HOSTS-Datei zu Windows Defender-Ausschlüssen hinzufügen

Sie können Windows Defender anweisen, die GASTGEBER Datei, indem Sie sie zu Ausschlüssen hinzufügen.

  1. Öffnen Sie die Windows Defender-Sicherheitseinstellungen, klicken Sie auf Viren- und Bedrohungsschutz.
  2. Klicken Sie unter Einstellungen für Viren- und Bedrohungsschutz auf Einstellungen verwalten.
  3. Scrollen Sie nach unten und klicken Sie auf Ausschlüsse hinzufügen oder entfernen
  4. Klicken Sie auf Ausschluss hinzufügen und dann auf Datei.
  5. Wählen Sie die Datei aus C:\Windows\System32\drivers\etc\HOSTS und füge es hinzu.
    Verteidiger hostsfilehijack

Notiz: Das Hinzufügen von HOSTS zur Ausschlussliste bedeutet, dass Windows Defender still sitzt und nichts an der HOSTS-Datei unternimmt, wenn eine Malware Ihre HOSTS-Datei in Zukunft manipuliert. Ausschlüsse von Windows Defender müssen mit Vorsicht verwendet werden.

Option 2: Deaktivieren Sie die PUA/PUP-Überprüfung durch Windows Defender

PUA/PUP (potenziell unerwünschte Anwendung/Programm) ist ein Programm, das Adware enthält, Symbolleisten installiert oder unklare Motive hat. Im Versionen Vor Windows 10 2004 hat Windows Defender PUA oder PUPs standardmäßig nicht gescannt. Die PUA/PUP-Erkennung war eine Opt-in-Funktion die mit PowerShell oder dem Registrierungs-Editor aktiviert werden musste.

HandpunktsymbolDer Win32/HostsFileHijack Die von Windows Defender ausgelöste Bedrohung fällt in die Kategorie PUA/PUP. Das heißt, von Deaktivieren des PUA/PUP-Scannens Option können Sie die umgehen Win32/HostsFileHijack Dateiwarnung, obwohl Telemetrieeinträge in der HOSTS-Datei vorhanden sind.

Notiz: Ein Nachteil des Deaktivierens von PUA/PUP besteht darin, dass Windows Defender nichts gegen die mit Adware gebündelten Setup-/Installationsprogramme tut, die Sie versehentlich herunterladen.

Tipps Glühbirne SymbolSpitze: Du kannst haben Malwarebytes Premium (einschließlich Echtzeit-Scans), die zusammen mit Windows Defender ausgeführt werden. Auf diese Weise kann sich Malwarebytes um das PUA/PUP-Zeug kümmern.

Option 3: Verwenden Sie einen benutzerdefinierten DNS-Server wie Pi-hole oder pfSense-Firewall

Technisch versierte Benutzer können ein Pi-Hole-DNS-Serversystem einrichten und Adware- und Microsoft-Telemetriedomänen blockieren. Das Blockieren auf DNS-Ebene erfordert normalerweise separate Hardware (wie Raspberry Pi oder ein kostengünstiger Computer) oder einen Drittanbieterdienst wie den OpenDNS-Familienfilter. Das Filterkonto der OpenDNS-Familie bietet eine kostenlose Option zum Filtern von Adware und zum Blockieren benutzerdefinierter Domänen.

Alternativ kann eine Hardware-Firewall wie pfSense (zusammen mit dem pfBlockerNG-Paket) dies problemlos bewerkstelligen. Das Filtern von Servern auf DNS- oder Firewall-Ebene ist sehr effektiv. Hier sind einige Links, die Ihnen erklären, wie Sie die Telemetrieserver mit der pfSense-Firewall blockieren:

Blockieren von Microsoft-Datenverkehr in PFSense | Adobe-Syntax: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ So blockieren Sie in Windows10 Telemetrie mit pfsense | Netgate-Forum: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Blockieren Sie, dass Windows 10 Sie verfolgt: http://www.weatherimagery.com/blog/block-windows-10-telemetry-phone-home/ Die Windows 10-Telemetrie umgeht die VPN-Verbindung: VPN: 
Kommentar aus der Diskussion Tzunamiis Kommentar aus der Diskussion „Windows 10 Telemetry umgeht die VPN-Verbindung“.
Verbindungsendpunkte für Windows 10 Enterprise, Version 2004 - Windows-Datenschutz | Microsoft-Dokumente: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints

Anmerkung des Herausgebers: Ich habe noch nie Telemetrie- oder Microsoft Update-Server in meinen Systemen blockiert. Wenn Sie sich große Sorgen um den Datenschutz machen, können Sie eine der oben genannten Problemumgehungen verwenden, um die Telemetrieserver zu blockieren, ohne die Windows Defender-Warnungen zu erhalten.


Eine kleine Bitte: Wenn Ihnen dieser Beitrag gefallen hat, teilen Sie ihn bitte?

Eine "kleine" Aktie von Ihnen würde dem Wachstum dieses Blogs sehr helfen. Einige tolle Vorschläge:
  • Pin es!
  • Teilen Sie es mit Ihrem Lieblingsblog + Facebook, Reddit
  • Tweete es!
Also vielen Dank für Ihre Unterstützung, mein Leser. Es dauert nicht länger als 10 Sekunden Ihrer Zeit. Die Share-Buttons befinden sich direkt darunter. :)

Ezoikdiese Anzeige melden