Kaip atsikratyti „SettingsModifierWin32“/„HostSFileHIJACK“ pranešimo

„Microsoft“ susirūpinimas dėl jos operacinės sistemos saugumo yra suprantamas: didžiausioje programinės įrangos įmonėje jie nusprendė, kad neverta pasitikėti kompiuterio apsauga iki trečiosios partijos, kurios specializuojasi antivirusinės programinės įrangos srityje. Deja, „Windows“ gynėjas, kuris imasi šias pareigas, o ne per gerai susidoroja su grasinimais. Taip, su kiekvienu atnaujinimu jis tampa geresnis, tačiau tuo pat metu tokia funkcija kaip įtarimas tik sustiprėja. Ir daugeliui vartotojų tai visai nepatinka.

Šiandien mes kalbėsime apie „SettingsModifier“ klaidą: „Win32“/„HostSFileHiJack“, kurią išleido „Microsoft Defender“, kuris yra tiesiogiai susijęs su aukščiau esančiu aukščiau.

Kokia ši grėsmė

Kompiuterių terminijoje žodis „Hijack“ yra susijęs su virusine programine įranga, kuria siekiama kontroliuoti vartotojo kompiuterio valdymą su labiausiai neįtikėtiniais tikslais. Pvz., Rodyti reklamas ar sekti kompiuterio savininko veiksmus ar net siekiant pavogti konfidencialią informaciją, įskaitant finansinę informaciją.

Todėl, jei vartotojas mato savo monitoriaus ekrane, užrašo nustatymas Modifikatorius: Win32/HostsFileHiuck, jis gana pagrįstai įtaria, kad pasirinko virusą. Ir pradeda ieškoti informacijos, kaip atsikratyti šio kenksmingo kodo. Ir labai greitai jis įsitikinęs, kad greičiausiai jis pats yra tokios klaidos išvaizdos kaltininkas.

Pasirodo, „Windows 10 Defender“ reaguoja tokiu savotišku būdu, kad atjungtų „Microsoft Telemetry“, pagamintą blokuodamas prieigą prie viso svetainių baseino atskirai ir kai kuriems kitiems domenams. Tokie pranešimai tapo dažnesni nuo 2020 m. Liepos mėn.

Tačiau šeimininkų turinio pakeitimas „Microsoft Defender File“ ir prieš tai ir gana pagrįstai klasifikuoti veiksmus kaip grėsmę. Šie antivirusai, tokie kaip Kaspersky antivirusinė.Win32.Qhost) arba McAfee, kuriame ši grėsmė vadinama qhosts.Apd.

Bet jei naujų eilučių pridėjimas prie pagrindinių kompiuterių failo anksčiau buvo analizuojama, kad būtų galima gauti realių grėsmių, dabar gynėjas „prakeiksmas“ vartotojo veiksmams, kuriais siekiama blokuoti prieigą iš operacinės sistemos į serverius, atsakingus už telemetrijos funkcijos užtikrinimą.

Kas yra šis failas ir kokios yra jo savybės?

Jis yra daugelyje operacinių sistemų, įskaitant „Microsoft“, pradedant XP versija. Jos vietos vieta nesikeičia, tai yra katalogas C: \ Windows \ System32 \ tvarkyklės \ ir tt. Pats failas nurodo sistemą, tai yra, norint ją redaguoti, turite turėti administratoriaus teises. Tai yra įprastas tekstinis failas, į kurį įtraukiami simbolinės formos svetainių adresai ir jis pagamintas pagal skaitmeninio IP adresą. Tokių veiksmų prasmė tampa aiški, jei žinote, kad pagrindiniai kompiuteriai yra apdorojami pirmiausia, ir tik tada operacinė sistema nukreipia užklausą naudodama domenų vardų sistemą, tai yra, DNS. Akivaizdžiausias būdas naudoti failą yra užblokuoti prieigą prie tam tikrų svetainių, kurias galima pasiekti, jei jie suderintų su vietiniu IP adreso 127 tipo IP adresu.0.0.1 arba ne egzistuoja 0.0.0.0.

Tačiau virusai taip pat naudoja šią funkciją, pateikdami linijas pagrindiniams kompiuteriams, leisdami mums nukreipti vartotoją į netinkamą svetainę, kurią jis surinko adresų juostoje, tai yra, kad padarytume gudrų peradresavimą.

Taigi šio failo turinio stebėjimas yra tikrai būtinas darbas. Bet mūsų atveju „Windows“ laikė grėsme bandymu užkirsti kelią prieigai prie serverių, priklausančių „Microsoft“, ir sekti telemetriją pagrindinių kompiuterių failo redagavimo lygyje.

Problema nebuvo iš karto rasta, tačiau netrukus paaiškėjo, kad įspėjamojo nustatymo nustatymas: Win32/HostSFileHIJACK pasirodys, jei vartotojas uždraustų prieigą prie bet kurio iš pakankamai didelio programinės įrangos milžino domenų ir padarinių sąrašo:

Nors pranešime teigiama, kad grėsmės lygis yra kritinis, tai, be abejo, netiesa, nes tokius veiksmus vartotojai imas protingi ketinimai. Kas, be abejo, daugumos abejoja.

Ką daryti, jei pasirodys pranešimas

Kai pasirodys pranešimas apie grėsmę, tuo pat metu būsite pakviesti pasirinkti vieną iš trijų galimų scenarijų (tai yra standartinis atsakymas „Windows Defender“ į panašias situacijas):

• Ištrinti.
• Vieta karantine.
• Leisti įrenginyje.

Jei pasirinksite pirmąjį variantą, tada, jei aptiktas virusas, gynėjas bandys jį pašalinti. Mūsų atveju jis tiesiog atkurs pagrindinių kompiuterių failą valstybei, kad ji iškart įdiegė „Windows“, tai yra, visi jūsų pridėti įrašai bus ištrinti. Įskaitant tuos, kurie užblokavo telemetriją.

Renkantis „vietą karantine“, užkrėstas failas persikelia į specialią vietą, kur ji negalės parodyti veiklos. Bet kadangi turime failą, kurio reikia operacinei sistemai, ji vėl bus atkurta iki numatytosios būsenos.

Pasirinkę „leisti naudotis“, paprašykite gynėjui palikti viską, koks jis yra. Tai yra, nieko nedarykite su šeimininkų byla, kurią valdėte pagal jūsų įsitikinimus.

Jei pasirinkote trečią variantą, būkite pasirengę, kad šis pranešimas vėl pasirodys. Kaip pašalinti klaidą? Tik atšaukdami „Microsoft“ svetainių blokavimą. Nors yra alternatyvus sprendimas: paprastai atsisakykite gynėjo naudojimo, tačiau tokios galimybės nepatarsime tokios galimybės. Net jei turite gerą antivirusinę programinę įrangą, kuri jums ištikimai tarnavo daugelį metų.