Пользователи Windows 10 с последними обновлениями могут столкнуться с уведомлением защиты от вирусов и угроз о том, что обнаружены угрозы. В подробностях, в разделе «Текущие угрозы», будет указано что присутствует критическая угроза SettingsModifier:Win32/HostsFileHijack с предложением удалить её.
В этой короткой статье о том почему так происходит, насколько критической является такая угроза и что можно сделать в такой ситуации.
Что означает SettingsModifier:Win32/HostsFileHijack
Само сообщение об угрозе SettingsModifier:Win32/HostsFileHijack в центре безопасности Windows 10 говорит о том, что были обнаружены какие-то изменения файла hosts (C:WindowsSystem32driversetchosts), которые могут представлять опасность для системы. Если вы не знаете, что это за файл, об этом можно прочитать в статье Файл hosts Windows 10.
Причина, по которой в последнее время многие стали получать уведомление об этой угрозе в том, что с недавних по Windows 10 начала считать угрозой заблокированные в файле hosts серверы Майкрософт, а они заблокированы у очень многих пользователей, которые:
- Отключали функции телеметрии (слежку) Windows 10 с помощью каких-либо программ
- Использовали сторонние программы для отключения обновлений Windows 10.
Такие программы используют различные механизмы блокировки и один из них — перенаправление обращений Windows 10 к серверам Майкрософт. Теперь это считается угрозой. Дополнительно стоит учесть, что установка некоторых нелицензионных программ также ведет к появлению записей в файле hosts.
В действительности описанные изменения hosts как правило не представляют реальной угрозы, однако следует учитывать, что в этом же файле могут быть действительно вредоносные изменения, один из распространенных сегодня вариантов — после установки вредоносных программ на компьютере перестают открываться сайты антивирусов.
Что делать при появлении сообщения об этой угрозе
В случае, если вы уверены в том, что изменения hosts не являются вредоносными и не представляют собой угрозы, вы можете перейти в информацию об угрозе SettingsModifier:Win32/HostsFileHijack от защитника Windows 10 и выбрать пункт «Разрешить на устройстве», чтобы в дальнейшем система не пыталась исправить ситуацию.
Сделать это желательно сразу после появления сообщения, так как через короткое время файл hosts возвращается в исходное состояние и без вмешательства пользователя.
В случае, если уверенности нет, вы можете открыть файл hosts любым текстовым редактором и проверить его содержимое: что именно и куда он перенаправляет, сделать выводы и, при необходимости, вручную изменить файл hosts. Обратите внимание, что файл может быть заблокирован для открытия при обнаружении угрозы, пока вы не нажмете «Разрешить на устройстве» в Центре безопасности.
Существует возможность и полностью отключить Защитник Windows 10, но это не то действие, которое я рекомендовал бы большинству пользователей.
Забота Microsoft о безопасности своей операционной системы вполне понятна: в крупнейшей софтверной компании решили, что не стоит доверять защиту ПК сторонним компаниям, специализирующимся на антивирусном ПО. Увы, но защитник Windows, берущий на себя эти обязанности, пока справляется с угрозами не слишком хорошо. Да, с каждым обновлением он становится лучше, но при этом такая его черта, как подозрительность, только усиливается. И это многим пользователям совсем не нравится.
Сегодня речь пойдёт об ошибке SettingsModifier:Win32/HostsFileHijack, выдаваемой Microsoft Defender, имеющей непосредственное отношение к сказанному выше.
Что это за угроза
В компьютерной терминологии слово Hijack ассоциируется с вирусным ПО, стремящимся захватить контроль над компьютером пользователя с самыми неблаговидными целями. Например, чтобы показывать рекламные объявления или отслеживать действия владельца ПК, а то и вовсе с целью кражи конфиденциальной информации, в том числе финансовой.
Поэтому, если пользователь видит на экране своего монитора надпись SettingsModifier:Win32/HostsFileHijack, он вполне обоснованно подозревает, что подхватил вирус. И начинает искать информацию, как избавиться от этого зловредного кода. И очень быстро убеждается, что, скорее всего виновником появления такой ошибки является он сам.
Оказывается, Защитник Windows 10 таким своеобразным образом реагирует на отключение телеметрии Microsoft, выполненной посредством блокировки доступа к целому пулу сайтов на своём и некоторых других доменах. Такие сообщения участились с конца июля 2020 года, когда соответствующие изменения были внедрены посредством очередного обновления операционной системы.
Впрочем, изменение содержимого файла hosts Microsoft Defender отслеживал и до этого, и вполне обоснованно классифицировал такие действия как угрозу. Такой метод заражения файла hosts отслеживают многие антивирусы, например, антивирус Касперского (Trojan.Win32.Qhost) или McAfee, у которого эта угроза называется Qhosts.apd.
Но если добавление в файл hosts новых строк ранее было предметом анализа на наличие реальных угроз, то теперь Защитник «ругается» на действия пользователей, направленные на блокировку доступа со стороны операционной системы к серверам, ответственным за обеспечение функции телеметрии.
Что же собой представляет этот файл и каковы его особенности?
Он присутствует в составе большинства операционных систем, в том числе Microsoft, начиная с версии ХР. Место его расположения неизменно, это каталог C:WindowsSystem32driversetc. Сам файл относится к системным, то есть, чтобы его редактировать, нужно обладать правами администратора. Это обычный текстовый файл, в который вносятся адреса сайтов в символьном виде и им ставится в соответствие цифровой IP-адрес. Смысл таких действий становится понятным, если знать, что hosts обрабатывается в первую очередь, и только потом операционная системы перенаправляет запрос с использованием системы доменных имён, то есть DNS. Самый очевидный способ использования файла – блокировка доступа к определённым сайтам, чего можно добиться, если поставить им в соответствие локальный IP-адрес типа 127.0.0.1 или несуществующий 0.0.0.0.
Но этой особенностью пользуются и вирусы, внося в hosts строки, позволяющие перенаправлять пользователя не на тот сайт, который он набрал в адресной строке, то есть делать хитрый редирект.
Так что отслеживание содержимого этого файла – действительно нужная работа. Но в нашем случае Windows расценила как угрозу попытку заблокировать доступ к серверам, принадлежащим Microsoft и отслеживающим телеметрию, на уровне правки файла hosts.
Проблему обнаружили не сразу, но вскоре выяснилось, что предупреждение SettingsModifier:Win32/HostsFileHijack будет появляться, если пользователь запретил доступ к любому из достаточно большого перечня доменов и поддоменов софтверного гиганта:
И хотя в сообщении утверждается об уровне угрозы как критическом, это, конечно, не соответствует действительности, поскольку такие действия предпринимаются пользователями по собственной инициативе с единственной целью: не дать отслеживать свою деятельность, даже если это делается с самыми благовидными намерениями. В чём большинство, конечно же, сомневается.
Что делать в случае появлении сообщения
Когда появляется сообщение об угрозе, одновременно вам будет предложено выбрать один из трёх возможных сценариев (это стандартный ответ Windows Defender на подобные ситуации):
- Удалить.
- Поместить в карантин.
- Разрешить на устройстве.
Если выбрать первый вариант, то в случае обнаружения вируса Защитник попытается его удалить. В нашем случае он просто восстановит файл hosts к состоянию, которое он имел сразу после установки Windows, то есть все добавленные вами записи будут стёрты. В том числе и те, которые блокировали телеметрию.
При выборе «Поместить в карантин» заражённый файл перемещается в специальное место, где он не сможет проявлять активность. Но поскольку у нас файл, который нужен операционной системе, он опять же будет восстановлен до дефолтного состояния.
Выбрав «Разрешить использование», вы просите Защитник оставить всё как есть. То есть ничего не делать с файлом hosts, который вы правили в соответствии со своими убеждениями.
ВНИМАНИЕ. Если вы ничего не предпримете и просто закроете окно, ваши действия будут трактоваться как нажатие кнопки «Удалить».
Если вы выбрали третий вариант, будьте готовы к тому, что это сообщение будет появляться снова. Как удалить ошибку? Только отменив блокировку сайтов Microsoft. Хотя есть и альтернативное решение: вообще отказаться от использования Защитника, но такой вариант мы советовать не будем. Даже если у вас установлено хорошее антивирусное ПО, которое служило вам верой и правдой на протяжении многих лет.
После одного из очередных обновлений Windows 10 пользователь может столкнуться с ошибкой критического уровня, которая указывает на угрозу SettingsModifier: Win32 / HostsFileHijack. “Защитник Windows” автоматически при анализе файлов операционной системе способен обнаружить эту угрозу и сообщить о ней пользователю. Рассмотрим рекомендации, что делать при возникновении данной ошибки.
Оглавление: 1. Угроза SettingsModifier: Win32 / HostsFileHijack - что это 2. Что делать при возникновении ошибки об угрозе
Угроза SettingsModifier: Win32 / HostsFileHijack — что это
Когда защитник Windows определяет наличие угрозы SettingsModifier: Win32 / HostsFileHijack — это значит, что в файле hosts были обнаружены некоторые изменения, которые направлены, по мнению антивируса, на дестабилизацию работы системы. Но не всегда эти изменения носят действительно критический характер, как указывает “Защитник Windows”.
С последними обновлениями антивирус начал подобным образом реагировать на наличие в файле hosts запретов на доступ к серверам Microsoft. Часто эти сервера блокируются в hosts, когда пользователь хочет запретить автоматическую загрузку на компьютер обновлений Windows 10 или выполнялись работы по отключению телеметрии — ее многие пользователи операционной системы Microsoft называют “функцией слежения”.
Соответственно, когда в файле hosts система обнаруживает блокировку доступа к серверам Microsoft, она реагирует соответствующей ошибкой — SettingsModifier: Win32 / HostsFileHijack.
Обратите внимание:
При возникновении ошибки на ней указан уровень угрозы “Критический”, хотя это далеко не так, если пользователь осознанно и самостоятельно настроил hosts таким образом.
Бывают исключения, когда одна (или несколько) вредоносная программа вносит изменения в hosts против желания пользователя. В таких случаях тоже возникает ошибка SettingsModifier: Win32 / HostsFileHijack.
Что делать при возникновении ошибки об угрозе
При обнаружении угрозы появляется сообщение, где указано “Запустите рекомендуемые действия”. Можно выбрать один из 3 вариантов:
- Удалить. В таком случае автоматически файл hosts будет возвращен к стандартному состоянию. Соответственно, если в нем были прописаны необходимые вам блокировки, их система сотрут.
- Поместить в карантин. Направить файл в список потенциально опасных, и опять же используемый hosts будет восстановлен до классических значений.
- Разрешить на устройстве. Именно этот пункт нужно нажать, если вы хотите самостоятельно внести изменения в файл hosts, что можно сделать при помощи любого текстового редактора.
Важно:
Если вы просто проигнорируете это сообщение, защитник Windows воспримет данный шаг как команду “Удалить”.
(14 голос., средний: 4,43 из 5)
Загрузка…
Windows 8 Windows 8 Pro Windows 8 Enterprise More…Less
Symptoms
Consider the following scenario:
-
You install Windows 8.
-
You change the Hosts file by specifying custom IP-address-to-host-name mappings to prevent users from browsing to some websites.
-
You run a scan in Microsoft Windows Defender.
Cause
This issue occurs because Windows Defender may determine incorrectly that the Hosts file was changed by malware, such as adware or spyware. Typically, malware programs change the Hosts file to redirect users to malicious websites. Therefore, Windows Defender may detect the Hosts file as a security threat.
Resolution
To resolve this issue, exclude the Hosts file from scanning in Windows Defender. To do this, follow these steps:
-
Open Windows Defender.
-
On the Settings tab, click Excluded files and locations.
-
Under File locations, click Browse.
-
Locate and then click the Hosts file.
Note By default, the Hosts file is located in the %systemroot%system32driversetc folder.
-
Click Add, and then click Save changes.
-
Exit Windows Defender.
References
For more information about the SettingsModifier:Win32/PossibleHostsFileHijack malware threat, go to the following Microsoft Malware Protection Center encyclopedia entry:
SettingsModifier:Win32/PossibleHostsFileHijack
For information about how to reset the Hosts file to the default settings, click the following article number to go to the article in the Microsoft Knowledge Base:
972034 How can I reset the Hosts file back to the default?
Need more help?
Want more options?
Explore subscription benefits, browse training courses, learn how to secure your device, and more.
Communities help you ask and answer questions, give feedback, and hear from experts with rich knowledge.
SettingsModifier:с Win32/PossibleHostsFileHijack это вирус обнаруживается Майкрософт Windows защитник.
В SettingsModifier:с Win32/PossibleHostsFileHijack эвристическое обнаружение классифицируется как вирус или вредоносные программы, потому что это наносит и действует как вредоносного угрозы на вашем Windows ХР, Windows Vista, Windows 7, Windows 8 или 10 Windows компьютерной системы.
SettingsModifier:с Win32/PossibleHostsFileHijack изменяет системные файлы, новые папки добавить, создает задачи Windows и добавляет файлы для заражения и взлома компьютерной системы.
SettingsModifier:с Win32/PossibleHostsFileHijack-это вирус, который загружается или упал на вашем компьютере во время серфинга или загрузки программного обеспечения из интернета. Большинство пользователей понятия не имеют, как это SettingsModifier:с Win32/PossibleHostsFileHijack опасный установлена на их компьютере, пока их Windows защиты защитника определяет его как вредоносную угрозу, вредоносных программ или вирусов.
Скачать утилитучтобы удалить SettingsModifier:Win32/PossibleHostsFileHijack
Используйте средство удаления вредоносных программ Spyhunter только для целей обнаружения. Узнайте больше о SpyHunter Spyware Detection Tool и шаги для удаления SpyHunter.
Если ваша защита обнаруживает SettingsModifier:вирус Win32/PossibleHostsFileHijack, не помеченных на удаление по умолчанию. Он определяется как вредоносный и посоветовал удалить SettingsModifier:с Win32/PossibleHostsFileHijack с вашего компьютера.
Шаг 1: Остановите все SettingsModifier:Win32/PossibleHostsFileHijack процессы в диспетчере задач
- Нажмите и удерживайте Ctrl + Alt + Del, чтобы открыть диспетчер задач
- Перейдите на вкладку Подробности и конец всех связанных с ними процессов SettingsModifier:Win32/PossibleHostsFileHijack (выберите процесс и нажмите кнопку завершить задачу)
Шаг 2: Удалите SettingsModifier:Win32/PossibleHostsFileHijack сопутствующие программы
- Нажмите кнопку Пуск и откройте панель управления
- Выберите удалить программу в разделе программы
- Подозрительного программного обеспечения и нажмите кнопку Удалить/изменить
Шаг 3: Удалите вредоносные SettingsModifier:Win32/PossibleHostsFileHijack записи в системе реестра
- Нажмите Win + R чтобы открыть выполнить, введите «regedit» и нажмите кнопку ОК
- Если контроль учетных записей пользователей, нажмите кнопку ОК
- Однажды в редакторе реестра, удалите все связанные записи SettingsModifier:Win32/PossibleHostsFileHijack
Шаг 4: Устранить вредоносные файлы и папки, связанные с SettingsModifier:Win32/PossibleHostsFileHijack
- Нажмите кнопку Пуск и откройте панель управления
- Нажмите Просмотр, выберите крупные значки и откройте свойства папки
- Перейдите на вкладку Вид, проверить показывать скрытые файлы, папки или драйверы и нажмите кнопку ОК
- Удалить все SettingsModifier:Win32/PossibleHostsFileHijack связанные файлы и папки
%AllUsersProfile%random.exe
%Temp%random.exe
%AllUsersProfile%Application Datarandom
Шаг 5: Удаление SettingsModifier:Win32/PossibleHostsFileHijack из вашего браузера
Скачать утилитучтобы удалить SettingsModifier:Win32/PossibleHostsFileHijack
Используйте средство удаления вредоносных программ Spyhunter только для целей обнаружения. Узнайте больше о SpyHunter Spyware Detection Tool и шаги для удаления SpyHunter.
Internet Explorer
- Запуск Internet Explorer, нажмите на значок шестерни → Управление надстройками
- Выбрать раздел панели инструментов и расширения и отключите подозрительные расширения
Скачать утилитучтобы удалить SettingsModifier:Win32/PossibleHostsFileHijack
Используйте средство удаления вредоносных программ Spyhunter только для целей обнаружения. Узнайте больше о SpyHunter Spyware Detection Tool и шаги для удаления SpyHunter.
Mozilla Firefox
- Откройте Mozilla, нажмите сочетание клавиш Ctrl + Shift + A и перейти к расширения
- Выберите и удалите все ненужные расширения
Скачать утилитучтобы удалить SettingsModifier:Win32/PossibleHostsFileHijack
Используйте средство удаления вредоносных программ Spyhunter только для целей обнаружения. Узнайте больше о SpyHunter Spyware Detection Tool и шаги для удаления SpyHunter.
Google Chrome
- Откройте браузер, нажмите меню и выберите инструменты → расширения
- Выберите подозрительные надстройки и нажмите на значок корзины для его удаления
* SpyHunter сканера, опубликованные на этом сайте, предназначен для использования только в качестве средства обнаружения. более подробная информация о SpyHunter. Чтобы использовать функцию удаления, вам нужно будет приобрести полную версию SpyHunter. Если вы хотите удалить SpyHunter, нажмите здесь.