Windows Defender 'HostsFileHijack' -waarschuwing verschijnt als telemetrie is geblokkeerd - Winhelponline

Sinds juli vorige week is Windows Defender begonnen met uitgeven Win32 / HostsFileHijack 'Mogelijk ongewenst gedrag' waarschuwt als u de telemetrieservers van Microsoft had geblokkeerd met behulp van het HOSTS-bestand.

Uit de SettingsModifier: Win32 / HostsFileHijack gevallen die online werden gemeld, de vroegste werd gemeld op de Microsoft Answers-forums waar de gebruiker zei:

Ik krijg een ernstig 'mogelijk ongewenst' bericht. Ik heb de huidige Windows 10 2004 (1904.388) en alleen Defender als permanente bescherming.
Hoe is dat te beoordelen, aangezien er bij mijn gastheren niets is veranderd, weet ik dat. Of is dit een vals positief bericht? Een tweede controle met AdwCleaner of Malwarebytes of SUPERAntiSpyware toont geen infectie.

'HostsFileHijack' -waarschuwing als telemetrie is geblokkeerd

Na inspectie van de GASTEN van dat systeem, werd opgemerkt dat de gebruiker Microsoft Telemetry-servers aan het HOSTS-bestand had toegevoegd en het naar 0.0.0.0 (bekend als 'null-routing') had gerouteerd om die adressen te blokkeren. Hier is de lijst met telemetrieadressen die null-gerouteerd zijn door die gebruiker.

0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net 0.0.0.0 candycrushsoda.king.com 0.0.0.0 ceuswatcab01 .blob.core.windows.net 0.0.0.0 ceuswatcab02.blob.core.windows.net 0.0.0.0 choice.microsoft.com 0.0.0.0 choice.microsoft.com.nsatc.net 0.0.0.0 co4.telecommand.telemetry.microsoft .com 0.0.0.0 cs11.wpc.v0cdn.net 0.0.0.0 cs1137.wpc.gammacdn.net 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net 0.0.0.0 cy2.vortex.data.microsoft.com .akadns.net 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net 0.0.0.0 db5-eap.settings-win.data .microsoft.com.akadns.net 0.0.0.0 df.telemetry.microsoft.com 0.0.0.0 diagnostics.support.microsoft.com 0.0.0.0 eaus2watcab01.blob.core.windows.net 0.0.0.0 eaus2watcab02.blob.core.windows .net 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 feedback.microsoft-hohm.com 0.0.0.0 feedback.search.mic rosoft.com 0.0.0.0 feedback.windows.com 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net 0.0.0.0 modern. watson.data.microsoft.com 0.0.0.0 modern.watson.data.microsoft.com.akadns.net 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetrie. microsoft.com.nsatc.net 0.0.0.0 onecollector.cloudapp.aria.akadns.net 0.0.0.0 oneettings-bn2.metron.live.com.nsatc.net 0.0.0.0 oneettings-cy2.metron.live.com.nsatc. net 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net 0.0.0.0 reports.wes.df.telemetry.microsoft.com 0.0.0.0 self.events.data.microsoft.com 0.0.0.0 settings.data.microsoft.com 0.0.0.0 services.wes.df.telemetry.microsoft.com 0.0.0.0 settings.data.glbdns2.microsoft.com 0.0.0.0 instellingen- sandbox.data.microsoft.com 0.0.0.0 settings-win.data.microsoft.com 0.0.0.0 m2.df.telemetry.microsoft.com 0.0.0.0 m2.telemetry.microsoft.com 0.0.0.0 m2.telemetry.micr osoft.com.nsatc.net 0.0.0.0 statsfe1.ws.microsoft.com 0.0.0.0 statsfe2.update.microsoft.com.akadns.net 0.0.0.0 statsfe2.ws.microsoft.com 0.0.0.0 survey.watson.microsoft. com 0.0.0.0 tele.trafficmanager.net 0.0.0.0 telecommand.telemetry.microsoft.com 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telemetry.appex.bing.net 0.0.0.0 telemetry.microsoft.com 0.0.0.0 telemetry.remoteapp.windowsazure.com 0.0.0.0 telemetry.urs.microsoft.com 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com 0.0 .0.0 us.vortex-win.data.microsoft.com 0.0.0.0 us.vortex-win.data.microsoft.com 0.0.0.0 v10.events.data.microsoft.com 0.0.0.0 v10.vortex-win.data. microsoft.com 0.0.0.0 v10.vortex-win.data.microsoft.com 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net 0.0.0.0 v10-win.vortex.data.microsoft.com. akadns.net 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 v10c.events.data.microsoft.com 0.0.0.0 v10c.vortex-win.data.microsoft.com 0 .0.0.0 v20.events.data.microsoft.com 0.0.0.0 v20.vortex-win.data.microsoft.com 0.0.0.0 vortex.data.glbdns2.microsoft.com 0.0.0.0 vortex.data.microsoft.com 0.0 .0.0 vortex.data.metron.live.com.nsatc.net 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net 0.0.0.0 vortex-db5.metron.live.com.nsatc.net 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net 0.0.0.0 vortex-sandbox.data.microsoft.com 0.0.0.0 vortex-win-sandbox. data.microsoft.com 0.0.0.0 vortex-win.data.microsoft.com 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 watson.live.com 0.0.0.0 watson.microsoft. com 0.0.0.0 watson.ppe.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net 0.0.0.0 wes.df.telemetry.microsoft.com 0.0 .0.0 weus2watcab01.blob.core.windows.net 0.0.0.0 weus2watcab02.blob.core.windows.net

En de expert Rob Koch reageerde door te zeggen:

Aangezien u Microsoft.com en andere gerenommeerde websites null naar een zwart gat leidt, zou Microsoft dit duidelijk zien als mogelijk ongewenste activiteit, dus detecteren ze deze natuurlijk als PUA-activiteit (niet noodzakelijkerwijs kwaadaardig, maar ongewenst), gerelateerd aan een Hosts Bestandskaping.

Dat je hebt besloten dat het iets is dat je wilt doen, is in feite niet relevant.

Zoals ik duidelijk heb uitgelegd in mijn eerste bericht, was de wijziging om de PUA-detecties uit te voeren standaard ingeschakeld met de release van Windows 10 versie 2004, dus dat is de hele reden voor uw plotselinge probleem. Er is niets aan de hand, behalve dat u Windows niet liever gebruikt zoals de ontwikkelaar Microsoft het bedoeld heeft.

Omdat het echter uw wens is om deze niet-ondersteunde wijzigingen in het Hosts-bestand te behouden, ondanks het feit dat ze duidelijk veel van de Windows-functies die die sites ondersteunen, zullen verbreken, is het waarschijnlijk beter om het PUA-detectiegedeelte van Windows Defender is uitgeschakeld zoals het was in eerdere versies van Windows.

Het was Günter geboren die als eerste over deze kwestie blogden. Bekijk zijn uitstekende post Defender markeert het Windows Hosts-bestand als schadelijk en zijn volgende bericht over dit onderwerp. Günter was ook de eerste die schreef over de Windows Defender / CCleaner PUP-detectie.

In zijn blog merkt Günter op dat dit gebeurt sinds 28 juli 2020. De hierboven besproken Microsoft Answers-post is echter op 23 juli 2020 gemaakt. We weten dus niet welke Windows Defender Engine / client-versie het Win32 / HostsFileHijack telemetrie blok detectie exact.

De recente Windows Defender-definities (uitgegeven vanaf 3 juli) beschouwen die ‘geknipte’ vermeldingen in het HOSTS-bestand als ongewenst en waarschuwen de gebruiker voor ‘mogelijk ongewenst gedrag’ - waarbij het dreigingsniveau wordt aangeduid als ‘ernstig’.

Elke invoer van een HOSTS-bestand die een Microsoft-domein bevat (bijvoorbeeld microsoft.com), zoals hieronder, zou een waarschuwing activeren:

0.0.0.0 www.microsoft.com (of) 127.0.0.1 www.microsoft.com

Windows Defender zou de gebruiker dan drie opties bieden:

• Verwijderen
• Quarantaine
• Toestaan ​​op apparaat.

Selecteren Verwijderen zou het HOSTS-bestand terugzetten naar de standaard Windows-instellingen, waardoor uw eventuele aangepaste invoer volledig zou worden gewist.

Dus, hoe blokkeer ik de telemetrieservers van Microsoft?

Als het Windows Defender-team door wil gaan met de bovenstaande detectielogica, heb je drie opties om telemetrie te blokkeren zonder waarschuwingen van Windows Defender te ontvangen.

Optie 1: HOSTS-bestand toevoegen aan Windows Defender-uitsluitingen

U kunt Windows Defender vertellen om het GASTEN bestand door het toe te voegen aan uitsluitingen.

1. Open de beveiligingsinstellingen van Windows Defender en klik op Virus- en bedreigingsbeveiliging.
2. Klik onder Instellingen voor virus- en bedreigingsbeveiliging op Instellingen beheren.
3. Scroll naar beneden en klik op Uitsluitingen toevoegen of verwijderen
4. Klik op Uitsluiting toevoegen en klik op Bestand.
5. Selecteer het bestand C: Windows System32 drivers etc HOSTS en voeg het toe.
   

Notitie: Als u HOSTS aan de lijst met uitsluitingen toevoegt, betekent dit dat als een malware uw HOSTS-bestand in de toekomst manipuleert, Windows Defender stil zou blijven zitten en niets aan het HOSTS-bestand zou doen. Uitsluitingen van Windows Defender moeten voorzichtig worden gebruikt.

Optie 2: Schakel PUA / PUP-scannen door Windows Defender uit

PUA / PUP (mogelijk ongewenste applicatie / programma) is een programma dat adware bevat, werkbalken installeert of onduidelijke motieven heeft. In de versies vóór Windows 10 2004 scande Windows Defender standaard geen PUA's of PUP's. PUA / PUP-detectie was een opt-in-functie dat moest worden ingeschakeld met PowerShell of de Register-editor.

De Win32 / HostsFileHijack bedreiging opgeworpen door Windows Defender valt onder de PUA / PUP-categorie. Dat betekent door het uitschakelen van PUA / PUP-scannen optie, kunt u de Win32 / HostsFileHijack bestandswaarschuwing ondanks telemetrie-items in het HOSTS-bestand.

Notitie: Een nadeel van het uitschakelen van PUA / PUP is dat Windows Defender niets zou doen aan de met adware gebundelde setup / installatieprogramma's die u per ongeluk downloadt.

Tip: Je kan hebben Malwarebytes Premium (inclusief real-time scannen) naast Windows Defender. Op die manier kan Malwarebytes voor de PUA / PUP-dingen zorgen.

Optie 3: gebruik een aangepaste DNS-server zoals Pi-hole of pfSense-firewall

Technisch onderlegde gebruikers kunnen een Pi-Hole DNS-serversysteem opzetten en adware en telemetriedomeinen van Microsoft blokkeren. Blokkering op DNS-niveau vereist meestal afzonderlijke hardware (zoals Raspberry Pi of een goedkope computer) of een service van derden, zoals een OpenDNS-familiefilter. OpenDNS-gezinsfilteraccount biedt een gratis optie om adware te filteren en aangepaste domeinen te blokkeren.

Als alternatief kan een hardwarefirewall zoals pfSense (samen met het pfBlockerNG-pakket) dit gemakkelijk doen. Het filteren van servers op DNS- of firewallniveau is zeer effectief. Hier zijn enkele links die u vertellen hoe u de telemetrieservers kunt blokkeren met behulp van de pfSense-firewall:

Microsoft-verkeer blokkeren in PFSense | Adobo-syntaxis: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ Hoe te blokkeren in Windows10 Telemetrie met pfsense | Netgate-forum: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Blokkeer Windows 10 om u te volgen: http://www.weatherimagery.com/blog / block-windows-10-telemetry-phone-home / Windows 10-telemetrie omzeilt VPN-verbinding: VPN: Commentaar uit discussie Tzunamii's opmerking van discussie 'Windows 10-telemetrie omzeilt VPN-verbinding' . Verbindingseindpunten voor Windows 10 Enterprise, versie 2004 - Windows Privacy | Microsoft Documenten: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints

Opmerking van de uitgever: Ik heb telemetrie- of Microsoft Update-servers in mijn systemen nooit geblokkeerd. Als u zich grote zorgen maakt over privacy, kunt u een van de bovenstaande oplossingen gebruiken om de telemetrieservers te laten blokkeren zonder de Windows Defender-waarschuwingen te ontvangen.

Een klein verzoek: als je dit bericht leuk vond, deel dit dan?

• Pin het!
• Deel het op je favoriete blog + Facebook, Reddit
• Tweet het!