Windows Defender-varningen "HostsFileHijack" visas om telemetri är blockerad

Sedan juli förra veckan började Windows Defender utfärdas Win32/HostsFileHijack "potentiellt oönskat beteende" varnar om du hade blockerat Microsofts Telemetri-servrar med hjälp av HOSTS-filen.

försvarare hostsfilehijack

Ut ur SettingsModifier: Win32/HostsFileHijack fall som rapporterades online, det tidigaste rapporterades på Microsoft Answers-forum där användaren angav:

Jag får ett allvarligt "potentiellt oönskat" meddelande. Jag har nuvarande Windows 10 2004 (1904.388) och bara Defender som permanent skydd.
Hur är det att utvärdera, eftersom ingenting har förändrats hos mina värdar, det vet jag. Eller är detta ett falskt positivt meddelande? En andra kontroll med AdwCleaner eller Malwarebytes eller SUPERAntiSpyware visar ingen infektion.

"HostsFileHijack" varnar om telemetri är blockerad

Efter inspektion av VÄRDAR från det systemet, observerades det att användaren hade lagt till Microsoft Telemetry-servrar till HOSTS-filen och dirigerat den till 0.0.0.0 (känd som "null-routing") för att blockera dessa adresser. Här är listan över telemetriadresser som nulldirigeras av den användaren.

0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net. 0.0.0.0 candycrushsoda.king.com. 0.0.0.0 ceuswatcab01.blob.core.windows.net. 0.0.0.0 ceuswatcab02.blob.core.windows.net. 0.0.0.0 choice.microsoft.com. 0.0.0.0 choice.microsoft.com.nsatc.net. 0.0.0.0 co4.telecommand.telemetry.microsoft.com. 0.0.0.0 cs11.wpc.v0cdn.net. 0.0.0.0 cs1137.wpc.gammacdn.net. 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net. 0.0.0.0 cy2.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5-eap.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 df.telemetry.microsoft.com. 0.0.0.0 diagnostics.support.microsoft.com. 0.0.0.0 eaus2watcab01.blob.core.windows.net. 0.0.0.0 eaus2watcab02.blob.core.windows.net. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 feedback.microsoft-hohm.com. 0.0.0.0 feedback.search.microsoft.com. 0.0.0.0 feedback.windows.com. 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net. 0.0.0.0 modern.watson.data.microsoft.com. 0.0.0.0 modern.watson.data.microsoft.com.akadns.net. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com.nsatc.net. 0.0.0.0 onecollector.cloudapp.aria.akadns.net. 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-cy2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net. 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net. 0.0.0.0 reports.wes.df.telemetry.microsoft.com. 0.0.0.0 self.events.data.microsoft.com. 0.0.0.0 settings.data.microsoft.com. 0.0.0.0 services.wes.df.telemetry.microsoft.com. 0.0.0.0 settings.data.glbdns2.microsoft.com. 0.0.0.0 settings-sandbox.data.microsoft.com. 0.0.0.0 settings-win.data.microsoft.com. 0.0.0.0 kvm.df.telemetry.microsoft.com. 0.0.0.0 kvm.telemetry.microsoft.com. 0.0.0.0 kvm.telemetry.microsoft.com.nsatc.net. 0.0.0.0 statsfe1.ws.microsoft.com. 0.0.0.0 statsfe2.update.microsoft.com.akadns.net. 0.0.0.0 statsfe2.ws.microsoft.com. 0.0.0.0 survey.watson.microsoft.com. 0.0.0.0 tele.trafficmanager.net. 0.0.0.0 telecommand.telemetry.microsoft.com. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telemetri.appex.bing.net. 0.0.0.0 telemetry.microsoft.com. 0.0.0.0 telemetry.remoteapp.windowsazure.com. 0.0.0.0 telemetry.urs.microsoft.com. 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 v10.events.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 v10c.events.data.microsoft.com. 0.0.0.0 v10c.vortex-win.data.microsoft.com. 0.0.0.0 v20.events.data.microsoft.com. 0.0.0.0 v20.vortex-win.data.microsoft.com. 0.0.0.0 vortex.data.glbdns2.microsoft.com. 0.0.0.0 vortex.data.microsoft.com. 0.0.0.0 vortex.data.metron.live.com.nsatc.net. 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net. 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net. 0.0.0.0 vortex-db5.metron.live.com.nsatc.net. 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net. 0.0.0.0 vortex-sandbox.data.microsoft.com. 0.0.0.0 vortex-win-sandbox.data.microsoft.com. 0.0.0.0 vortex-win.data.microsoft.com. 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 watson.live.com. 0.0.0.0 watson.microsoft.com. 0.0.0.0 watson.ppe.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net. 0.0.0.0 wes.df.telemetry.microsoft.com. 0.0.0.0 weus2watcab01.blob.core.windows.net. 0.0.0.0 weus2watcab02.blob.core.windows.net

Och experten Rob Koch svarade och sa:

Eftersom du null dirigerar Microsoft.com och andra välrenommerade webbplatser till ett svart hål, skulle Microsoft uppenbarligen se detta som potentiellt oönskad aktivitet, så de upptäcker naturligtvis dessa som PUA-aktivitet (inte nödvändigtvis skadlig, men oönskad) relaterade till en värdfil Kapa.

Att du har bestämt dig för att det är något du vill göra är i princip irrelevant.

Som jag tydligt förklarade i mitt första inlägg, var ändringen för att utföra PUA-detektionerna aktiverad som standard med utgivningen av Windows 10 Version 2004, så det är hela anledningen till ditt plötsliga problem. Inget är fel förutom att du inte föredrar att använda Windows på det sätt som utvecklaren Microsoft tänkt sig.

Men eftersom din önskan är att behålla dessa modifieringar som inte stöds i Hosts-filen, trots att de helt klart kommer att bryta många av Windows-funktionerna webbplatser är utformade för att stödja, skulle du förmodligen vara bättre att återställa PUA-detekteringsdelen av Windows Defender till inaktiverad som den brukade vara i tidigare versioner av Windows.

Det var Günter Born vem bloggade om det här problemet först. Kolla in hans utmärkta inlägg Defender flaggar Windows Hosts-filen som skadlig och hans efterföljande inlägg om detta ämne. Günter var också den första att skriva om Windows Defender/CCleaner PUP-detektering.

I sin blogg noterar Günter att detta har hänt sedan den 28 juli 2020. Microsoft Answers-inlägget som diskuterades ovan skapades dock den 23 juli 2020. Så vi vet inte vilken Windows Defender Engine/klientversion som introducerade Win32/HostsFileHijack exakt detektering av telemetriblock.

De senaste Windows Defender-definitionerna (utgivna från den 3 juli och framåt) tar hänsyn till dessa "manipulerade" poster i HOSTS-fil som oönskad och varnar användaren för "potentiellt oönskat beteende" - med hotnivån betecknad som "svår".

Varje HOSTS-filpost som innehåller en Microsoft-domän (t.ex. microsoft.com) som den nedan, skulle utlösa en varning:

0.0.0.0 www.microsoft.com (eller) 127.0.0.1 www.microsoft.com

Windows Defender ger sedan tre alternativ för användaren:

  • Avlägsna
  • Karantän
  • Tillåt på enheten.
försvarare hostsfilehijack

Väljer Avlägsna skulle återställa HOSTS-filen till Windows-standardinställningarna, och därmed radera dina anpassade poster om några.

försvarare hostsfilehijack

Så, hur blockerar jag Microsofts telemetriservrar?

Om Windows Defender-teamet vill fortsätta med ovanstående upptäcktslogik har du tre alternativ för att blockera telemetri utan att få varningar från Windows Defender.

Alternativ 1: Lägg till HOSTS-fil till Windows Defender-undantag

Du kan säga åt Windows Defender att ignorera VÄRDAR filen genom att lägga till den i undantagen.

  1. Öppna Windows Defender Säkerhetsinställningar, klicka på Virus- och hotskydd.
  2. Under Virus- och hotskyddsinställningar klickar du på Hantera inställningar.
  3. Rulla ned och klicka på Lägg till eller ta bort undantag
  4. Klicka på Lägg till ett undantag och klicka på Arkiv.
  5. Välj filen C:\Windows\System32\drivers\etc\HOSTS och lägg till det.
    försvarare hostsfilehijack

Notera: Att lägga till HOSTS till undantagslistan innebär att om en skadlig programvara manipulerar din HOSTS-fil i framtiden, skulle Windows Defender sitta stilla och inte göra något åt ​​HOSTS-filen. Windows Defender-undantag måste användas med försiktighet.

Alternativ 2: Inaktivera PUA/PUP-skanning av Windows Defender

PUA/PUP (potentiellt oönskat program/program) är ett program som innehåller annonsprogram, installerar verktygsfält eller har oklara motiv. I den versioner tidigare än Windows 10 2004 skannade Windows Defender inte PUA eller PUPs som standard. PUA/PUP-detektering var en opt-in-funktion som behövde aktiveras med PowerShell eller Registereditorn.

hand punkt ikonDe Win32/HostsFileHijack hot från Windows Defender faller under kategorin PUA/PUP. Det betyder, genom inaktiverar PUA/PUP-skanning alternativet kan du kringgå Win32/HostsFileHijack filvarning trots att det finns telemetriposter i HOSTS-filen.

Notera: En nackdel med att inaktivera PUA/PUP är att Windows Defender inte skulle göra något åt ​​de adware-paketerade installationerna/installationsprogram som du oavsiktligt laddar ner.

tips glödlampa ikonDricks: Du kan ha Malwarebytes Premium (som inkluderar realtidsskanning) som körs tillsammans med Windows Defender. På så sätt kan Malwarebytes ta hand om PUA/PUP-grejer.

Alternativ 3: Använd en anpassad DNS-server som Pi-hole eller pfSense brandvägg

Teknikkunniga användare kan konfigurera ett Pi-Hole DNS-serversystem och blockera reklamprogram och Microsoft-telemetridomäner. Blockering på DNS-nivå kräver vanligtvis separat hårdvara (som Raspberry Pi eller en lågkostnadsdator) eller en tredjepartstjänst som OpenDNS-familjefilter. OpenDNS familjefilterkonto ger ett gratis alternativ för att filtrera adware och blockera anpassade domäner.

Alternativt kan en hårdvarubrandvägg som pfSense (tillsammans med paketet pfBlockerNG) åstadkomma detta enkelt. Att filtrera servrar på DNS- eller brandväggsnivå är mycket effektivt. Här är några länkar som berättar hur du blockerar telemetriservrarna med pfSense-brandväggen:

Blockera Microsoft-trafik i PFSense | Adobo-syntax: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ Hur man blockerar i Windows10 Telemetri med pfsense | Netgate Forum: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Blockera Windows 10 från att spåra dig: http://www.weatherimagery.com/blog/block-windows-10-telemetry-phone-home/ Windows 10 Telemetri kringgår VPN-anslutning: VPN: 
Kommentar från diskussion Tzunamiis kommentar från diskussion "Windows 10 Telemetri förbigår VPN-anslutning".
Anslutningsändpunkter för Windows 10 Enterprise, version 2004 - Windows Privacy | Microsoft Docs: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints

Redaktörens anmärkning: Jag har aldrig blockerat telemetri eller Microsoft Update-servrar i mina system. Om du är mycket orolig för integritet kan du använda en av ovanstående lösningar för att blockera telemetriservrarna utan att få Windows Defender-varningar.


En liten begäran: Om du gillade det här inlägget, vänligen dela detta?

En "liten" andel från dig skulle verkligen hjälpa mycket med den här bloggens tillväxt. Några bra förslag:
  • Fäst det!
  • Dela den till din favoritblogg + Facebook, Reddit
  • Tweet det!
Så tack så mycket för ditt stöd, min läsare. Det tar inte mer än 10 sekunder av din tid. Dela-knapparna finns precis nedanför. :)

Ezoicrapportera denna annons