Lumilitaw ang alerto ng Windows Defender na 'HostsFileHijack' kung na-block ang Telemetry - Winhelponline

Windows Defender Hostsfilehijack Alert Appears If Telemetry Is Blocked Winhelponline



Mula noong Hulyo noong nakaraang linggo, nagsimulang mag-isyu ang Windows Defender Win32 / HostsFileHijack Alerto ang 'potensyal na hindi ginustong pag-uugali' kung na-block mo ang mga server ng Telemetry ng Microsoft gamit ang HOSTS file.

ipagtanggol ang hostfilehijack





Sa labas ng Mga SettingModifier: Win32 / HostsFileHijack ang mga kaso ay naiulat online, ang pinakamaagang isa ay naiulat sa Ang mga forum ng Mga Sagot ng Microsoft kung saan nakasaad ng gumagamit:



Nakakatanggap ako ng isang seryosong 'potensyal na hindi ginustong' mensahe. Mayroon akong kasalukuyang Windows 10 2004 (1904.388) at Defender lamang bilang permanenteng proteksyon.
Paano ito susuriin, dahil walang nagbago sa aking mga host, alam ko iyon. O ito ba ay isang maling positibong mensahe? Ang pangalawang pag-check sa AdwCleaner o Malwarebytes o SUPERAntiSpyware ay nagpapakita ng walang impeksyon.



Alerto na 'HostsFileHijack' kung naka-block ang Telemetry

Matapos suriin ang HOSTS file mula sa sistemang iyon, napagmasdan na ang gumagamit ay nagdagdag ng mga server ng Microsoft Telemetry sa HOSTS file at inilipat ito sa 0.0.0.0 (kilala bilang 'null-routing') upang harangan ang mga address na iyon. Narito ang listahan ng mga address ng telemetry na null-routed ng gumagamit na iyon.



0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net 0.0.0.0 candycrushsoda.king.com 0.0.0.0 ceuswatcab01 .blob.core.windows.net 0.0.0.0 ceuswatcab02.blob.core.windows.net 0.0.0.0 choice.microsoft.com 0.0.0.0 choice.microsoft.com.nsatc.net 0.0.0.0 co4.telecommand.telemetry.microsoft .com 0.0.0.0 cs11.wpc.v0cdn.net 0.0.0.0 cs1137.wpc.gammacdn.net 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net 0.0.0.0 cy2.vortex.data.microsoft.com .akadns.net 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net 0.0.0.0 db5-eap.settings-win.data .microsoft.com.akadns.net 0.0.0.0 df.telemetry.microsoft.com 0.0.0.0 diagnostic.support.microsoft.com 0.0.0.0 eaus2watcab01.blob.core.windows.net 0.0.0.0 eaus2watcab02.blob.core.windows .net 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 feedback.microsoft-hohm.com 0.0.0.0 feedback.search.mic rosoft.com 0.0.0.0 feedback.windows.com 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net 0.0.0.0 moderno. watson.data.microsoft.com 0.0.0.0 modern.watson.data.microsoft.com.akadns.net 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry. microsoft.com.nsatc.net 0.0.0.0 onecollector.cloudapp.aria.akadns.net 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net 0.0.0.0 onesettings-cy2.metron.live.com.nsatc. net 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net 0.0.0.0 ulat.wes.df.telemetry.microsoft.com 0.0.0.0 self.events.data.microsoft.com 0.0.0.0 setting.data.microsoft.com 0.0.0.0 mga serbisyo.wes.df.telemetry.microsoft.com 0.0.0.0 setting.data.glbdns2.microsoft.com 0.0.0.0 setting- sandbox.data.microsoft.com 0.0.0.0 setting-win.data.microsoft.com 0.0.0.0 sqm.df.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.micr osoft.com.nsatc.net 0.0.0.0 statsfe1.ws.microsoft.com 0.0.0.0 statsfe2.update.microsoft.com.akadns.net 0.0.0.0 statsfe2.ws.microsoft.com 0.0.0.0 survey.watson.microsoft. com 0.0.0.0 tele.trafficmanager.net 0.0.0.0 telecommand.telemetry.microsoft.com 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telemetry.appex.bing.net 0.0.0.0 telemetry.microsoft.com 0.0.0.0 telemetry.remoteapp.windowsazure.com 0.0.0.0 telemetry.urs.microsoft.com 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com 0.0 .0.0 us.vortex-win.data.microsoft.com 0.0.0.0 us.vortex-win.data.microsoft.com 0.0.0.0 v10.events.data.microsoft.com 0.0.0.0 v10.vortex-win.data. microsoft.com 0.0.0.0 v10.vortex-win.data.microsoft.com 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net 0.0.0.0 v10-win.vortex.data.microsoft.com. akadns.net 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 v10c.events.data.microsoft.com 0.0.0.0 v10c.vortex-win.data.microsoft.com 0 .0.0.0 v20.events.data.microsoft.com 0.0.0.0 v20.vortex-win.data.microsoft.com 0.0.0.0 vortex.data.glbdns2.microsoft.com 0.0.0.0 vortex.data.microsoft.com 0.0 .0.0 vortex.data.metron.live.com.nsatc.net 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net 0.0.0.0 vortex-db5.metron.live.com.nsatc.net 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net 0.0.0.0 vortex-sandbox.data.microsoft.com 0.0.0.0 vortex-win-sandbox. data.microsoft.com 0.0.0.0 vortex-win.data.microsoft.com 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 watson.live.com 0.0.0.0 watson.microsoft. com 0.0.0.0 watson.ppe.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net 0.0.0.0 wes.df.telemetry.microsoft.com 0.0 .0.0 weus2watcab01.blob.core.windows.net 0.0.0.0 weus2watcab02.blob.core.windows.net

At ang dalubhasa na si Rob Koch ay tumugon na nagsasabi:

Dahil hindi mo napatunayan ang pagruruta ng Microsoft.com at iba pang kagalang-galang na mga website sa isang itim na butas, malinaw na makikita ito ng Microsoft bilang potensyal na hindi ginustong aktibidad, kaya syempre nakikita nila ang mga ito bilang aktibidad na PUA (hindi kinakailangang nakakahamak, ngunit hindi kanais-nais), na nauugnay sa isang Host File Hijack.



Na napagpasyahan mong ito ay isang bagay na nais mong gawin na karaniwang walang katuturan.

Tulad ng malinaw na ipinaliwanag ko sa aking unang post, ang pagbabago upang maisagawa ang mga pagtuklas ng PUA ay pinapagana ng default sa paglabas ng Windows 10 Bersyon 2004, kaya't iyon ang buong dahilan para sa bigla mong pag-isyu. Walang mali maliban na hindi mo mas gusto na patakbuhin ang Windows sa paraang inilaan ng developer ng Microsoft.

Gayunpaman, dahil ang iyong hangarin ay panatilihin ang mga hindi sinusuportahang pagbabago na ito sa file ng Mga Host, sa kabila ng katotohanang malinaw na masisira nila ang marami sa mga pagpapaandar ng Windows sa mga site na iyon na idinisenyo upang suportahan, malamang na mas mabuti kang ibalik ang bahagi ng pagtuklas ng PUA ng Ang Windows Defender ay hindi pinagana tulad ng dati sa mga nakaraang bersyon ng Windows.

Ito ay Ipinanganak si Günter sino ang unang nag-blog tungkol sa isyung ito. Suriin ang kanyang mahusay na post Nag-flag ang Defender ng Windows Host ng file bilang nakakahamak at ang kanyang kasunod na post sa paksang ito. Si Günter din ang unang nagsulat tungkol sa pagtuklas ng Windows Defender / CCleaner PUP.

Sa kanyang blog, sinabi ni Günter na nangyayari ito mula noong Hulyo 28, 2020. Gayunpaman, ang post ng Mga Sagot ng Microsoft na tinalakay sa itaas, ay nilikha noong Hulyo 23, 2020. Kaya, hindi namin alam kung aling bersyon ng Windows Defender Engine / client ang nagpakilala sa Win32 / HostsFileHijack eksakto ang pagtuklas ng telemetry block.

Ang mga kamakailang kahulugan ng Windows Defender (na inilabas mula Hulyo 3 linggo pataas) isinasaalang-alang ang mga 'na-tampang' mga entry sa HOSTS file bilang hindi kanais-nais at binalaan ang gumagamit ng 'potensyal na hindi ginustong pag-uugali' - na may antas ng banta na tinukoy bilang 'malubha'.

Ang anumang HOSTS file entry na naglalaman ng isang Microsoft domain (hal. Microsoft.com) tulad ng isa sa ibaba, ay magpapalitaw ng isang alerto:

0.0.0.0 www.microsoft.com (o) 127.0.0.1 www.microsoft.com

Magbibigay ang Windows Defender ng tatlong mga pagpipilian sa gumagamit:

  • Tanggalin
  • Quarantine
  • Payagan sa aparato.

ipagtanggol ang hostfilehijack

Pumipili Tanggalin ire-reset ang HOSTS file sa mga setting ng default na Windows, at sa ganyan ganap na mabubura ang iyong mga pasadyang entry kung mayroon man.

ipagtanggol ang hostfilehijack

Kaya, paano ko mai-block ang mga telemetry server ng Microsoft?

Kung nais ng koponan ng Windows Defender na magpatuloy sa lohika sa pagtuklas sa itaas, mayroon kang tatlong mga pagpipilian upang harangan ang telemetry nang hindi nakakakuha ng mga alerto mula sa Windows Defender.

Pagpipilian 1: Magdagdag ng HOSTS file sa mga pagbubukod ng Windows Defender

Maaari mong sabihin sa Windows Defender na huwag pansinin ang HOSTS file sa pamamagitan ng pagdaragdag nito sa mga pagbubukod.

  1. Buksan ang mga setting ng Security ng Windows Defender, mag-click sa Virus at proteksyon sa banta.
  2. Sa ilalim ng mga setting ng proteksyon ng Virus at banta, i-click ang Pamahalaan ang mga setting.
  3. Mag-scroll pababa at i-click ang Magdagdag o alisin ang mga pagbubukod
  4. I-click ang Magdagdag ng isang pagbubukod, at i-click ang File.
  5. Piliin ang file C: Windows System32 driver etc HOSTS at idagdag ito
    ipagtanggol ang hostfilehijack

Tandaan: Ang pagdaragdag ng HOSTS sa listahan ng mga pagbubukod ay nangangahulugang kung ang isang malware ay nakikialam sa iyong HOSTS file sa hinaharap, ang Windows Defender ay tatahimik at walang gagawin tungkol sa HOSTS file. Dapat gamitin nang maingat ang mga pagbubukod sa Windows Defender.

Pagpipilian 2: Huwag paganahin ang pag-scan ng PUA / PUP ng Windows Defender

Ang PUA / PUP (potensyal na hindi ginustong aplikasyon / programa) ay isang programa na naglalaman ng adware, nag-i-install ng mga toolbar, o may hindi malinaw na mga motibo. Nasa mga bersyon mas maaga sa Windows 10 2004, ang Windows Defender ay hindi nag-scan ng PUA o PUP bilang default. Ang pagtuklas ng PUA / PUP ay isang tampok na opt-in na kailangang paganahin gamit ang PowerShell o ang Registry Editor.

icon ng point pointAng Win32 / HostsFileHijack banta na itinaas ng Windows Defender ay nasa ilalim ng kategoryang PUA / PUP. Ibig sabihin, ni hindi pagpapagana ng pag-scan ng PUA / PUP pagpipilian, maaari mong laktawan ang Win32 / HostsFileHijack babala ng file sa kabila ng pagkakaroon ng mga telemetry na entry sa HOSTS file.

defender pua block windows 10

Tandaan: Isang kabiguan ng hindi pagpapagana ng PUA / PUP ay ang Windows Defender ay walang ginawa tungkol sa pag-setup / installer na bundle ng adware na hindi mo sinasadyang nai-download.

icon ng mga bombilya Tip: Maaari kang magkaroon Malwarebytes Premium (na kinabibilangan ng pag-scan sa real-time) na tumatakbo sa tabi ng Windows Defender. Sa ganoong paraan, mapangangalagaan ng Malwarebytes ang mga bagay na PUA / PUP.

Pagpipilian 3: Gumamit ng isang pasadyang DNS server tulad ng Pi-hole o pfSense firewall

Ang mga gumagamit ng Tech-savvy ay maaaring mag-set up ng isang Pi-Hole DNS server system at hadlangan ang mga domain ng adware at Microsoft telemetry. Karaniwang nangangailangan ang pagharang sa antas ng DNS ng magkakahiwalay na hardware (tulad ng Raspberry Pi o isang computer na mababa ang gastos) o isang serbisyo ng third-party tulad ng filter ng pamilya ng OpenDNS. Nagbibigay ang OpenDNS filter account ng pamilya ng isang libreng pagpipilian upang salain ang adware at harangan ang mga pasadyang domain.

Bilang kahalili, ang isang firewall ng hardware tulad ng pfSense (kasama ang pakete ng pfBlockerNG) ay maaaring magawa ito ng madali. Ang pagsala ng mga server sa antas ng DNS o firewall ay napakabisa. Narito ang ilang mga link na nagsasabi sa iyo kung paano harangan ang mga server ng telemetry gamit ang pfSense firewall:

Pag-block sa Microsoft Traffic Sa PFSense | Adobo Syntax: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ Paano i-block sa Windows10 Telemetry na may pfsense | Netgate Forum: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense I-block ang Windows 10 Mula sa Pagsubaybay sa Iyo: http://www.weatherimagery.com/blog / block-windows-10-telemetry-phone-home / Windows 10 Telemetry ay dumadaan sa koneksyon ng VPN: VPN: Magkomento mula sa talakayan Ang komento ni Tzunamii mula sa talakayan na 'Windows 10 Telemetry ay bypassing VPN connection' . Mga endpoint ng koneksyon para sa Windows 10 Enterprise, bersyon 2004 - Privacy sa Windows | Microsoft Docs: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints

Tala ng editor: Hindi ko kailanman na-block ang mga server ng telemetry o Microsoft Update sa aking mga system. Kung nag-aalala ka tungkol sa privacy, maaari mong gamitin ang isa sa mga workaround sa itaas upang ma-block ang mga server ng telemetry nang hindi nakuha ang mga alerto sa Windows Defender.

Isang maliit na kahilingan: Kung nagustuhan mo ang post na ito, mangyaring ibahagi ito?

Ang isang 'maliit' na pagbabahagi mula sa iyo ay seryosong makakatulong sa paglago ng blog na ito. Ilang magagaling na mungkahi:
  • I-pin ito!
  • Ibahagi ito sa iyong paboritong blog + Facebook, Reddit
  • Tweet ito!
Kaya maraming salamat sa iyong suporta, aking mambabasa. Hindi aabutin ng higit sa 10 segundo ng iyong oras. Ang mga pindutan ng pagbabahagi ay nasa ibaba mismo. :)
Windows

Kategorya

Patok Na Mga Post

Paano Malayuang I-shut Down ang Windows 10 Gamit ang CMD Command Line

Paano Gamitin ang Arrays.sort() Method sa Java

Paano i-install ang ZLIB sa Windows 10/11

Nextcloud Docker Compose

SQL WITH Clause

Paano Gumawa ng Scaffolding sa Minecraft

Nasaan ang Travelling Merchant sa Roblox Pet Simulator X?

Paano Gamitin ang PHP str_split() Function

LWC – QuerySelector()

Ano ang Oracle SQL*Plus at Para saan Ito Ginagamit?

Ibalik muli ang Mga Registry Key mula sa isang System Restore Point sa Windows - Winhelponline

6 na Paraan ng Pagbubukas ng Task Manager app sa Windows 10/11

Paano Mag-install ng Skype sa Ubuntu 22.04

Paano Mag-install ng Angular sa Ubuntu 24.04

Ano ang CloudWatch at CloudTrail?

I-enable ang 2-Factor Authentication Gamit ang Security Keys – QR Code – Roblox

Paano i-uninstall ang Git sa Windows

Paano Mabisang Gamitin ang Smart Switch App sa Android

Bakit Kailangan Mong Maglagay ng bin/bash sa Simula ng isang Script File – bash

Ano ang += sa C++?