Die Windows Defender-Warnung 'HostsFileHijack' wird angezeigt, wenn die Telemetrie blockiert ist - Winhelponline

Windows Defender Hostsfilehijack Alert Appears If Telemetry Is Blocked Winhelponline



Seit Juli letzter Woche wird Windows Defender veröffentlicht Win32 / HostsFileHijack 'Möglicherweise unerwünschtes Verhalten' warnt, wenn Sie die Telemetrieserver von Microsoft mithilfe der HOSTS-Datei blockiert haben.

verteidige Hostsfilehijack







Aus dem SettingsModifier: Win32 / HostsFileHijack Online gemeldete Fälle, der früheste wurde am gemeldet Microsoft Answers-Foren wo der Benutzer angegeben hat:



Ich erhalte eine ernsthafte 'möglicherweise unerwünschte' Nachricht. Ich habe das aktuelle Windows 10 2004 (1904.388) und nur Defender als permanenten Schutz.
Wie ist das zu bewerten, da sich bei meinen Gastgebern nichts geändert hat, weiß ich das. Oder ist das eine falsch positive Nachricht? Eine zweite Überprüfung mit AdwCleaner oder Malwarebytes oder SUPERAntiSpyware zeigt keine Infektion.



Warnung 'HostsFileHijack', wenn die Telemetrie blockiert ist

Nach der Inspektion der GASTGEBER Bei der Datei von diesem System wurde festgestellt, dass der Benutzer der HOSTS-Datei Microsoft Telemetry-Server hinzugefügt und diese an 0.0.0.0 (als „Null-Routing“ bezeichnet) weitergeleitet hat, um diese Adressen zu blockieren. Hier ist die Liste der Telemetrieadressen, die von diesem Benutzer nicht weitergeleitet wurden.





0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net 0.0.0.0 candycrushsoda.king.com 0.0.0.0 ceuswatcab01 .blob.core.windows.net 0.0.0.0 ceuswatcab02.blob.core.windows.net 0.0.0.0 choice.microsoft.com 0.0.0.0 choice.microsoft.com.nsatc.net 0.0.0.0 co4.telecommand.telemetry.microsoft .com 0.0.0.0 cs11.wpc.v0cdn.net 0.0.0.0 cs1137.wpc.gammacdn.net 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net 0.0.0.0 cy2.vortex.data.microsoft.com .akadns.net 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net 0.0.0.0 db5-eap.settings-win.data .microsoft.com.akadns.net 0.0.0.0 df.telemetry.microsoft.com 0.0.0.0 diagnostics.support.microsoft.com 0.0.0.0 eaus2watcab01.blob.core.windows.net 0.0.0.0 eaus2watcab02.blob.core.windows .net 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 feedback.microsoft-hohm.com 0.0.0.0 feedback.search.mic rosoft.com 0.0.0.0 feedback.windows.com 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net 0.0.0.0 modern. watson.data.microsoft.com 0.0.0.0 modern.watson.data.microsoft.com.akadns.net 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry. microsoft.com.nsatc.net 0.0.0.0 onecollector.cloudapp.aria.akadns.net 0.0.0.0 Onesettings-bn2.metron.live.com.nsatc.net 0.0.0.0 Onesettings-cy2.metron.live.com.nsatc. net 0.0.0.0 Onesettings-db5.metron.live.com.nsatc.net 0.0.0.0 Onesettings-hk2.metron.live.com.nsatc.net 0.0.0.0 reports.wes.df.telemetry.microsoft.com 0.0.0.0 self.events.data.microsoft.com 0.0.0.0 settings.data.microsoft.com 0.0.0.0 services.wes.df.telemetry.microsoft.com 0.0.0.0 settings.data.glbdns2.microsoft.com 0.0.0.0 settings- sandbox.data.microsoft.com 0.0.0.0 settings-win.data.microsoft.com 0.0.0.0 sqm.df.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.micr osoft.com.nsatc.net 0.0.0.0 statsfe1.ws.microsoft.com 0.0.0.0 statsfe2.update.microsoft.com.akadns.net 0.0.0.0 statsfe2.ws.microsoft.com 0.0.0.0 Umfrage.watson.microsoft. com 0.0.0.0 tele.trafficmanager.net 0.0.0.0 telekommand.telemetry.microsoft.com 0.0.0.0 telekommand.telemetrie.microsoft.com.nsatc.net 0.0.0.0 telekommand.telemetrie.microsoft.com.nsatc.net 0.0.0.0 telemetry.appex.bing.net 0.0.0.0 telemetry.microsoft.com 0.0.0.0 telemetry.remoteapp.windowsazure.com 0.0.0.0 telemetry.urs.microsoft.com 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com 0.0 .0.0 us.vortex-win.data.microsoft.com 0.0.0.0 us.vortex-win.data.microsoft.com 0.0.0.0 v10.events.data.microsoft.com 0.0.0.0 v10.vortex-win.data. microsoft.com 0.0.0.0 v10.vortex-win.data.microsoft.com 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net 0.0.0.0 v10-win.vortex.data.microsoft.com. akadns.net 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 v10c.events.data.microsoft.com 0.0.0.0 v10c.vortex-win.data.microsoft.com 0 .0.0.0 v20.events.data.microsoft.com 0.0.0.0 v20.vortex-win.data.microsoft.com 0.0.0.0 vortex.data.glbdns2.microsoft.com 0.0.0.0 vortex.data.microsoft.com 0.0 .0.0 vortex.data.metron.live.com.nsatc.net 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net 0.0.0.0 vortex-db5.metron.live.com.nsatc.net 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net 0.0.0.0 vortex-sandbox.data.microsoft.com 0.0.0.0 vortex-win-sandbox. data.microsoft.com 0.0.0.0 vortex-win.data.microsoft.com 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 watson.live.com 0.0.0.0 watson.microsoft. com 0.0.0.0 watson.ppe.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net 0.0.0.0 wes.df.telemetry.microsoft.com 0.0 .0.0 weus2watcab01.blob.core.windows.net 0.0.0.0 weus2watcab02.blob.core.windows.net

Und der Experte Rob Koch antwortete:

Da Sie Microsoft.com und andere seriöse Websites nicht in ein schwarzes Loch leiten, würde Microsoft dies offensichtlich als potenziell unerwünschte Aktivität ansehen. Daher erkennen sie diese natürlich als PUA-Aktivität (nicht unbedingt böswillig, aber unerwünscht) im Zusammenhang mit einem Host Datei-Hijack.



Dass Sie entschieden haben, dass Sie dies tun möchten, ist grundsätzlich irrelevant.

Wie ich in meinem ersten Beitrag klar erklärt habe, wurde die Änderung zur Durchführung der PUA-Erkennungen mit der Veröffentlichung von Windows 10 Version 2004 standardmäßig aktiviert. Dies ist also der gesamte Grund für Ihr plötzliches Problem. Nichts ist falsch, außer dass Sie Windows nicht lieber so betreiben, wie es der Entwickler Microsoft beabsichtigt hat.

Da Sie diese nicht unterstützten Änderungen in der Hosts-Datei beibehalten möchten, obwohl sie viele der Windows-Funktionen, die diese Websites unterstützen, eindeutig beschädigen, ist es wahrscheinlich besser, den PUA-Erkennungsteil von zurückzusetzen Windows Defender wird deaktiviert, wie es in früheren Windows-Versionen der Fall war.

Es war Günter geboren Wer hat zuerst über dieses Problem gebloggt? Schauen Sie sich seinen ausgezeichneten Beitrag an Defender kennzeichnet die Windows Hosts-Datei als bösartig und sein nachfolgender Beitrag zu diesem Thema. Günter war auch der erste, der über die Windows Defender / CCleaner PUP-Erkennung schrieb.

In seinem Blog stellt Günter fest, dass dies seit dem 28. Juli 2020 geschieht. Der oben diskutierte Microsoft Answers-Beitrag wurde jedoch am 23. Juli 2020 erstellt. Wir wissen also nicht, welche Windows Defender Engine / Client-Version die eingeführt hat Win32 / HostsFileHijack Telemetrieblockerkennung genau.

Die jüngsten Windows Defender-Definitionen (veröffentlicht ab der 3. Juliwoche) betrachten diese 'manipulierten' Einträge in der HOSTS-Datei als unerwünscht und warnen den Benutzer vor 'potenziell unerwünschtem Verhalten' - wobei die Bedrohungsstufe als 'schwerwiegend' bezeichnet wird.

Jeder HOSTS-Dateieintrag, der eine Microsoft-Domain (z. B. microsoft.com) wie die folgende enthält, würde eine Warnung auslösen:

0.0.0.0 www.microsoft.com (oder) 127.0.0.1 www.microsoft.com

Windows Defender bietet dem Benutzer dann drei Optionen:

  • Entfernen
  • Quarantäne
  • Gerät zulassen.

verteidige Hostsfilehijack

Auswählen Entfernen würde die HOSTS-Datei auf die Windows-Standardeinstellungen zurücksetzen und dadurch Ihre benutzerdefinierten Einträge, falls vorhanden, vollständig löschen.

verteidige Hostsfilehijack

Wie blockiere ich die Telemetrieserver von Microsoft?

Wenn das Windows Defender-Team mit der oben genannten Erkennungslogik fortfahren möchte, haben Sie drei Möglichkeiten, die Telemetrie zu blockieren, ohne Warnungen von Windows Defender zu erhalten.

Option 1: Hinzufügen von HOSTS-Dateien zu Windows Defender-Ausschlüssen

Sie können Windows Defender anweisen, das zu ignorieren GASTGEBER Datei durch Hinzufügen zu Ausschlüssen.

  1. Öffnen Sie die Windows Defender-Sicherheitseinstellungen und klicken Sie auf Viren- und Bedrohungsschutz.
  2. Klicken Sie unter Einstellungen für Viren- und Bedrohungsschutz auf Einstellungen verwalten.
  3. Scrollen Sie nach unten und klicken Sie auf Ausschlüsse hinzufügen oder entfernen
  4. Klicken Sie auf Ausschluss hinzufügen und dann auf Datei.
  5. Wählen Sie die Datei aus C: Windows System32 drivers etc HOSTS und füge es hinzu.
    verteidige Hostsfilehijack

Hinweis: Das Hinzufügen von HOSTS zur Ausschlussliste bedeutet, dass Windows Defender stillsteht und nichts gegen die HOSTS-Datei unternimmt, wenn eine Malware in Zukunft Ihre HOSTS-Datei manipuliert. Windows Defender-Ausschlüsse müssen mit Vorsicht verwendet werden.

Option 2: Deaktivieren Sie das PUA / PUP-Scannen mit Windows Defender

PUA / PUP (potenziell unerwünschte Anwendung / Programm) ist ein Programm, das Adware enthält, Symbolleisten installiert oder unklare Motive hat. In dem Versionen Vor Windows 10 2004 hat Windows Defender PUA oder PUPs standardmäßig nicht gescannt. Die PUA / PUP-Erkennung war eine Opt-In-Funktion Dies musste mit PowerShell oder dem Registrierungseditor aktiviert werden.

HandpunktsymbolDas Win32 / HostsFileHijack Die von Windows Defender ausgelöste Bedrohung fällt unter die Kategorie PUA / PUP. Das heißt, durch Deaktivieren des PUA / PUP-Scannens Option können Sie die umgehen Win32 / HostsFileHijack Dateiwarnung trotz Telemetrieeinträgen in der HOSTS-Datei.

Verteidiger Pua Block Windows 10

Hinweis: Ein Nachteil beim Deaktivieren von PUA / PUP ist, dass Windows Defender nichts gegen die von Adware gebündelten Setups / Installationsprogramme unternimmt, die Sie versehentlich herunterladen.

Tipps Glühbirne Symbol Trinkgeld: Du kannst haben Malwarebytes Premium (einschließlich Echtzeit-Scannen) wird neben Windows Defender ausgeführt. Auf diese Weise kann Malwarebytes sich um das PUA / PUP-Zeug kümmern.

Option 3: Verwenden Sie einen benutzerdefinierten DNS-Server wie Pi-hole oder pfSense-Firewall

Technisch versierte Benutzer können ein Pi-Hole-DNS-Serversystem einrichten und Adware- und Microsoft-Telemetriedomänen blockieren. Das Blockieren auf DNS-Ebene erfordert normalerweise separate Hardware (wie Raspberry Pi oder einen kostengünstigen Computer) oder einen Drittanbieter-Service wie den Filter der OpenDNS-Familie. Das Filterkonto der OpenDNS-Familie bietet eine kostenlose Option zum Filtern von Adware und zum Blockieren benutzerdefinierter Domänen.

Alternativ kann eine Hardware-Firewall wie pfSense (zusammen mit dem pfBlockerNG-Paket) dies problemlos erreichen. Das Filtern von Servern auf DNS- oder Firewall-Ebene ist sehr effektiv. Hier sind einige Links, die Ihnen zeigen, wie Sie die Telemetrieserver mithilfe der pfSense-Firewall blockieren können:

Blockieren des Microsoft-Datenverkehrs in PFSense | Adobo-Syntax: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ So blockieren Sie Windows10-Telemetrie mit pfsense | Netgate-Forum: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Blockieren Sie Windows 10 von der Verfolgung: http://www.weatherimagery.com/blog / block-windows-10-telemetry-phone-home / Windows 10 Telemetry umgeht die VPN-Verbindung: VPN: Kommentar aus der Diskussion Tzunamiis Kommentar aus der Diskussion 'Windows 10-Telemetrie umgeht die VPN-Verbindung' . Verbindungsendpunkte für Windows 10 Enterprise, Version 2004 - Windows-Datenschutz | Microsoft Docs: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints

Anmerkung der Redaktion: Ich habe in meinen Systemen niemals Telemetrie- oder Microsoft Update-Server blockiert. Wenn Sie sich große Sorgen um den Datenschutz machen, können Sie eine der oben genannten Problemumgehungen verwenden, um die Telemetrieserver zu blockieren, ohne die Windows Defender-Warnungen zu erhalten.


Eine kleine Anfrage: Wenn Ihnen dieser Beitrag gefallen hat, teilen Sie ihn bitte mit.

Ein 'winziger' Anteil von Ihnen würde ernsthaft zum Wachstum dieses Blogs beitragen. Einige großartige Vorschläge:
  • Pin es!
  • Teile es mit deinem Lieblingsblog + Facebook, Reddit
  • Tweete es!
Vielen Dank für Ihre Unterstützung, mein Leser. Es dauert nicht länger als 10 Sekunden. Die Share-Schaltflächen befinden sich direkt unten. :) :)