Комментарии 103
Не очень понятно как именно.
Да и блокировка телеметрии через вырезание зоны microsoft.com — это из пушки по воробьям. Слишком дохрена всего полезного отваливается.
Все эти дестрой-виндвс-спаи — это ерунда. Нужен системный хук, который запрещает инициировать tcp-соединения определенным сервисам. Чтобы браузер мог ходить на микрософт.ком, а сервис телеметрии — нет.

Ещё в семёрке при блокировке ответа с некоторых адресов (могу даже неполный список поискать) отключалось сетевое подключение. Как обстоят дела в десятке?

Не уверен, что мы говорим об одном и том же, но соединение не отключается, а помечается как "без доступа в интернет". А дальше некоторые программы действительно могут перестать работать, это зависит от того, как именно они получают доступ к сети.

могу даже неполный список поискать

Его даже изменять можно.

ну если на роутере, то может для телеметрии используются порты какие-то особенные. и можно лочить подключение к конкретному сайту по конкретному порту.

если на компе непосредственно, то вероятно софтварные файерволлы могут запретить конкретным приложениям доступ в интернет (весело будет, если кто-то сделает это через стандартный Windows файерволл)
Фаервол приложений (типа Comodo) так и работает, вот только кто знает, что там решат ещё сделать, пустить телеметрию и прочее в обход фаерволов через ядро?
Я ставил комод — так вот он был слишком тяжелый, да и на серверные окна не вставал.
Нужна крохотная безгуёвая тулза на С.
Сейчас сдам проект и займусь, если время будет…
Там просто надо было без антивируса ставить — и всё было бы гораздо легче. Удачи в написании :)

Главное, реализовать ключевые фичи — отдельные разрешения на уровне приложений и мониторинг соединения этих приложений (список коннектов приложений в реальном времени).

А без GUI это будет не очень… Ни предупреждения о соединении в реальном времени, ни мониторинга.
Дефендер неплохо работает, кстати.
Проактивка у него никакая, конечно, но от массового заражения бинарниками по почте оно спасает.
Оно конечно верно. Большинство заражений компьютеров пользователей происходит на уровне кликов файлов из почты, отправителями которых являются знакомые незнакомцы, либо кликов по ссылкам в браузере на малознакомых сайтах, что нередко приводит к срабатыванию зловредных джава-скриптов. Но и последнее легко предотвратить если начать пользоваться блокираторами джава-скриптов типа ScriptSafe, ScriptBlock, ну и конечно фильтрацией малварных DNS-доменов на уровене рутера или опять таки браузерных расширений типа Adguard.
срабатыванию зловредных джава-скриптов

JS-скрипты за пределы браузера не выберутся, современные браузеры давно имеют песочницы. Для пробития песочницы требуются эксплоиты. Если ПО своевременно обновляется, то шанс, что вас пробьют каким-нибудь 0-деем, плещутся в районе нуля (если атака не таргетированная, но это уже совсем отдельный разговор).

Самая большая беда что он очень грузит периодами процессор и его никак не отключить.

Через политики очень даже отключается, правда, с каждым новым выпуском все замороченнее. Года два назад вовсе склепал .reg файлик, чтобы в два клика отключать навсегда, но с 1909 перестал работать.

опыт использования TinyWall — хороший
{Не программист, только вычислитель}
Есть хоть и старый, ныне заброшенный, но тем не менее вполне рабочий Privatefirewall. Лёгкий, с гуем, немного неудобный в настройке, но тем не менее вполне хорош

Тогда сразу с постом на хабре, чтобы можно было себе прихватить тоже.

У Comodo IS заметил проблему. Службы MS даже при наличии запрета соединений на определенный IP адрес умудряются вести с этим адресом обмен.
Есть софтина Windows Firewall Control, как раз это делает. Можно блокировать все приложения, кроме белого списка. Только иногда забываешь про неё и долго разбираешься, почему же какая-то программа не может к серверу подсоединиться.

Насчёт же файла hosts тоже проблема не особо велика — у меня дефендер его описанным образом испортил, но я добавил штатными средствами исключение, и всё ок. Единственно, он испортил молча (видимо, уведомление всплыло и уплыло), поэтому проблема тоже не сразу нашлась.
Весь смех в том, что Windows Firewall Control это просто GUI к штатному брандмауэру.
А почему «смех»? Штатным брандмауэром вручную задолбаешься правила создавать, а с WFC это становится более-менее удобным и, как следствие, применимым в реальной жизни.

А вот радоваться внесению в исключения дефендера я поторопился. Вчера он «забыл» об этом и опять «исправил» файл. Внёс ещё раз, посмотрим, что будет дальше.
На рутере обычно по IP блокируют, а блокировку по доменному имени не всякий рутер из стареньких моделек ещё и поддерживает. Домены ведь, как известно, иногда переезжают, меняя свой IP. Так что и список заблокированных IP в рутере придётся время от времени тогда обновлять тоже. С хост-файлом в Виндах в принципе ничего страшного, если просто дать в явном виде Разрешение на изменение. Зловредам через хост-файл едва ли интерес кого-то блокировать, даже если шутки ради это будет Майкрософт или Гугл.

Зловреды через hosts отправляют на фишинговые страницы. Или на рекламо-помойку. С набором популярности https это стало сделать сложнее, но сказать что файл зловредам неинтересен нельзя

Если хватит привилегий заменить hosts, то и свой сертификат можно добавить.
Блокировку по доменному имени поддерживает даже антиквариат, если за разрешением имён по dns компьютер обращается именно к роутеру.
Если же нет — то это уже гораздо сложнее, да. Впрочем, Микротик позволяет фильтровать по доменам (и сам обновляет их адреса).
Включите тогда на рутере какую-нибудь пре-фильтрацию через Яндекс.DNS, либо установите Adguard, в котором тоже можно активировать DNS фильтрацию вместе со списком малварных DNS. И будет счастье.
подскажите, что там такого ценного передается? Из беглого гугления сложилось впечатление, что только версии ПО, но это я бы и сам расшарил, так как это первое что требуется, когда заводишь баг в любом трекере
Всё, что передаётся, вы можете посмотреть в настройках системы.

По моему опыту пользователи делятся на две категории:
— которые туда даже не заглядывали
— которые заглядывали, но не могут сказать, что именно из перечисленного там они бы не хотели отправлять

Я неоднократно наблюдал в чатике @winsiders попытки выведать у противников телеметрии конкретику по этому вопросу. Все (!) сливались, отделываясь общими фразами.

А не имеет значения, просто не хотят и всё — этого должно быть достаточно, чтобы дать возможность отключать сбор данных.
К тому же, на системе это не отразится.

Всё, что передаётся, вы можете посмотреть в настройках системы.

Для хранения требуется около 1ГБ на жёстком диске

Спасибо, не нужно.
Под десятку пора уже писать опенсорсный персональный файрвол с поддержкой бампинга ссл для системных служб (ключи всё равно есть в памяти), чтобы закрыть проблему раз и навсегда.
Собрать бы под это дело на кикстартере хотя бы тысяч 20 — можно было бы какое-то значимое время этому уделить.
И майкрософт тут же дружно засудит тех, кто это сделает, потому что «пользователь обязуется не нарушать работу системы, бла-бла-бла».
так для этого даже кернелмод не нужен, давно windows filtering platform есть.
Не нужен. Но отключение или блокировка телеметрии = вмешательство в работу системы, поскольку телеметрия часть системы.
Это как автомобиль и видеорегистратор в нём с отправкой информации товарищу майору агенту правительства
часть системы? формально — да.
Но без неё автомобиль прекрасно обходится.
Не нужно нести дичь.
Вы вольны делать с вашим виндовсом что угодно, до тех пор, пока это не нарушает действующее законодательство. Реально можно словить штраф только за нарушение еулы в части лицензирования ПО, претензии по всем остальным вопросам можно смело игнорировать (да и не слышал я ни разу о таких историях.).

Как будто ядро не может пустить трафик мимо всех фильтров, «для вашей же безопасности».
Пользователь соглашается, что винда собирает телеметрию. Такое есть в соглашении. А то что пользователь обязуется обеспечивать возможность сбора телеметрии — этого нет. Поэтому пусть сами, как хотят, в рамках закона, обеспечивают возможность. Я им такой возможности не обязан предоставлять — и не буду.
Скоро они юзера будут помечать, как зловредного

"Вы либо крестик снимите, либо трусы наденьте".


Либо не используйте проприетарную ОС, поставляемую по модели SaaS, либо не удивляйтесь, что попытка закрыть ей доступ к серверам хозяина, приводит к ругательствам с её стороны.

Оно пока ещё не SaaS. Т.е. можно купить и использовать автономно. Сливаемая на сторону информация — это уже другой вопрос…

Формально можно но работать если вы не примете соглашение — не будет. А после подписания соглашения вы в какой-то момент получаете рекламу (пока вредко и в виде рекомендаций и, вроде, отключается… это очень радует особенно в про версии) и по факту таки выходит saas.

Стоп! Система бесплатная, как линупс или денег стоит? Если бесплатная — это один вопрос. Если денег стоит, то я волен ею распоряжаться, как купленным товаром, по своему усмотрению. И, да, плюя на копирастические законы. Ведь копирасты считают, что копирование — это воровство. Ну вот я честно купил, значит оно моё — могу делать, что хочу. А то бабки платишь, а оно не твоё, тебе попользоваться дали.

Ваше желание сделать "купленный товар" своей собственностью может расходится с тем, за что вы заплатили деньги Майкрософту и что Майкрософт сделал за ваши деньги. Возможно это не покупка товара, а покупка услуги.

Я купил не хлеб в магазине, а услугу. Ведь копирасты именно на это упирают — уравнивание 0 и 1 с реальными материальными предметами. Называют копирование воровством. Ну тогда го до конца — винда — это продукт. Если честно купленный, то имеет все свойства материальной буханки хлеба, грубо говоря.
Называют копирование воровством

Здесь нет противоречия. Покупая винду, вы покупаете не товар, о право пользования на определенных условиях. Причем одним из условий является 1 платеж-1пользователь (условно, простите за каламбур). Так же как в кино — купив билет, вы покупаете право единоразового просмотра, а не фильм. И скопировать билет — получить услугу дважды за ту же цену. Представьте, что вы пришли в парикмахерскую, расплатились, а из-за некоего мошенничества с вашей стороны постригли вас и вашего приятеля — двоих, но за те же деньги.

vinny496
А точно в Defender'e дело? Может они только Блокнот обновили (на скриншоте всплывающее окно с заголовком Notepad, а не Windows Defender)?


Это стандартизированная ошибка Windows:

//
// MessageId: ERROR_VIRUS_INFECTED
//
// MessageText:
//
// Operation did not complete successfully because the file contains a virus or potentially unwanted software.
//
#define ERROR_VIRUS_INFECTED             225L

Еще скажите, что вы вольны распоряжаться купленными вами играми в том же steam.
sarcasm

Конечно-же нет. Лицензия в ГОГе ничем не отличается от стима, прочитайте пользовательское соглашение. Никто вам не передает права на игру, вы точно так-же покупаете право на ее использование.

Там есть разница. В случае стима у вас как бы подписка (с прекращением ваших отношений со стимом вы теряете всё «купленное»). А в ГОГ вы покупаете копию для личного использования (которая потом может работать вне зависимости от существования ГОГ).

Вы привязываетесь конкретно к носителю, в данном случае это не важно. Да, у вас есть DRM-free копия дистрибутива и безвременная лицензия, но нет, игра не стала принадлежать вам, вы не можете ее передавать и продавать. У вас есть право устанавливать ее у себя, возможно модифицировать и играть, но не более.

А что вы называете игрой? Исходный код конечно не мой, но лицензия-то моя, ее я и могу продать или передать, в чем проблема?

Покажите пожалуйста лицензию на приобретенную игру в ГОГе где вам даны права на ее перепродажу или передачу?
Пока я вижу только эти пункты, где я позволил себе выделить основное в нашей беседе:


2.1. Мы предоставляем вам и другим пользователям GOG личное право (юридически оно называется «лицензия») на использование услуг GOG.COM, на загрузку, доступ и/или на стриминг (в зависимости от ситуации) материалов GOG и других Услуг GOG. Эта лицензия предназначена исключительно для вашего личного пользования. Мы можем приостановить действие этой лицензии или отменить её в некоторых случаях, которые разъяснены ниже.

2.2. Когда вы покупаете, получаете доступ или устанавливаете игры GOG, вам иногда придется соглашаться с дополнительными условиями разработчиков или издателей игры (например, они могут попросить вас согласиться с лицензионным соглашением для конечного пользователя конкретной игры). Если между такими лицензионными соглашениями и нашим Соглашением наблюдаются противоречия, то важнее оказывается наше Соглашение.

3.3 Ваша учетная запись GOG и контент GOG предназначены только для вас и не могут быть разделены, проданы, подарены или переданы третьим лицам. Ваш доступ к ним и возможность их использования обусловлены правилами GOG, которые приведены здесь, по необходимости в правила вносятся дополнения и поправки.
Ну так ниже по ветке этот вопрос уже обсуждался, вопрос юрисдикции.
habr.com/ru/news/t/513934/#comment_21928980
Все эти ограничения передачи противоречат природным правам, и адекватный суд это признает.

Это все домыслы на основе случаев связанных с софтом с ДРМ. В случае со стимом все просто, есть ДРМ и ключ активации, подтверждающий факт продажи, однако с DRM-free, где нет возможности удостоверится что игра была передана, а не скопирована — покажите мне прецеденты с ГОГом? Пока что EULA сайта GOG.com говорит об обратном, хотя они в ЕС.

Если денег стоит, то я волен ею распоряжаться, как купленным товаром, по своему усмотрению.

Вы это говорите с позиции собственной системы моральных ценностей, или с позиции законных прав? Если первое, то там вообще широчайший простор возможностей. Многие из нас могут и не покупать, и при этом делать «что хочу», и не испытывать ни малейших угрызений совести. Если с позиции ваших законных прав, то нет, не вольны распоряжаться, т.к. у вас там договорчик есть, EULA называется. Вот на что по договору вы согласились за свои деньги, вот только то и можете.
Вы это говорите с позиции собственной системы моральных ценностей, или с позиции законных прав?
Пока эти штуки вообще находятся в полусерой зоне в плане законов. Несколько лет назад, например, суд ЕС признал право на владение экземпляром купленного софта; а верховный суд США принял обратное решение.
EULA
Есть мнение, что EULA зачастую не соответствуют законам стран, в которых впариваются, и единственная причина, что их не оспаривают — это тупо слишком дорого. В итоге единственным реальным вариантом остаётся коллективный иск, что достаточно сложно организовать.

EULA — пишется исходя из законов страны в которой зарегистрирован разработчик, но это не самое главное, главнее лицензионный договор который регулирует права и обязанности поставщика/покупателя и вот в этом договоре как правило указывается то, что покупатель имеет право использовать софт но не имеет прав его изменять/перепродавать.
Вообще благодаря юристам мы ничем не владеем, мы только получаем право использовать некий скомпилированный код и зачастую право использовать этот код стоит овер 9000 американских денег

Если денег стоит, то я волен ею распоряжаться, как купленным товаром, по своему усмотрению.

В случае софта вы не покупаете товар, вы покупаете право его использования, на ограниченное (или нет) время. И точно также как в случае с арендой чего-либо (материального) — вы не вольны делать с ним что угодно, а только то о чём договорились с арендодателем.


С другой стороны, будучи законным пользователем, вы не ограничены в своём праве делать с этим самым софтом всё что угодно, как минимум до тех пор ваши действия не наносят вред кому-то кроме вас самих (и не направлены на это), в том числе отключать телеметрию, при этом совершенно неважно что прописано в лицензионном соглашении на эту тему.

Готов с вами поспорить, далеко не каждый производитель софта при продаже вам права его использовать дает вам право делать с этим софтом все, что угодно, вам ведь Майкрософт при покупке лицензии винды не дает ее исходники со словами: — на Tangeman, развлекайся!

Во-первых, если закон мне это позволяет — то EULA идёт лесом, что бы там не было написано, ибо закон имеет приоритет. Т.е. к примеру в Евросоюзе я могу делать реверс-инжиниринг софта для того чтобы он работал с тем что мне нужно или так как мне нужно (на моём устройстве) — и никакой EULA это мне не запретит, пусть там хоть смертная казнь за это предусмотрена. Да, я не могу публиковать результаты — но для себя — могу делать что угодно.


Во-вторых, если (не)выполнение чего-то прописанного в EULA невозможно проверить или обнаружить, то EULA снова идёт лесом. К примеру, вы можете прописать там мою обязанность танцевать с бубном перед каждым запуском программы (формально имеете право), но вот как вы это проконтролируете? С телеметрией всё проще — представьте что я плачу за траффик, 1 доллар за 1 байт, поэтому режу всё что мне не нужно, и заставить меня платить за траффик генерируемой телеметрией вы не можете, а любой пункт типа "вы обязаны обеспечить постоянное подключение к сети и передачу данных телеметрии, а не то штраф" будет недействительным практически во всех адекватных странах.


Так что с одной стороны да, покупка лицензии не даёт права делать что угодно, но с другой стороны не наделяет владельца прав на софт абсолютным правом (и способами) требовать выполнения от меня чего угодно — либо в силу противоречия законодательству, или в силу невозможности проконтролировать и заставить.

Ещё в Германии разрешили перепродавать ПО несмотря на явный запрет в EULA.
Вангую, что сбор телеметрии тут не главное. Оно реагирует на наличие доменов Microsoft в файле. Это излюбленный трюк всякой вирусни. Кто их туда поместил, вирусня или пользователь, и с какой целью, Microsoft знать не может.

Проще говоря, там, очень вероятно, тупо вписано правило «если в hosts есть *.microsoft.com», то". Разумеется, это сработает и на и на telemetry.microsoft.com, и на habr.microsoft.com.

Ну и, конечно, заблокировать доступ к microsoft.com это всё равно что в ногу себе выстрелить.

Именно. Вероятно вирусня подставляет туда свои нужные адреса, чтобы зараженные апдейты ставить в дальнейшем, даже если этого вируса вычистят.


Все-таки блокировка с помощью hosts это такой костыль

Система уже заражена вирусом, а вирус может располагать 0-day уязвимостями, которые, теоретически, могут компрометировать проверку подписи, например. Ну это так, умозрительно.

Кто мешал вирусу еще и сертификат подкинуть в root ca? Заодно чтоб и всякие пароли потырить...

Это не работает, сертификаты для подписи системных файлов прошиты глубоко где-то в файлах.
Я еще понимаю, если реагирует на 127.0.0.1 — можно локально веб сервер поднять чтобы всякую ерунду подсовывать. Но 0.0.0.0 каким боком может помешать?
А все от того, что кто-то очень заботится о своей телеметрии.
И упорно не хочет дать возможность ее отключить.
И пользователям приходится извращаться.
Оно реагирует на домен, не на IP. Причины я описал — вместо 0.0.0.0 там может быть адрес сервера, контролируемого злоумышленником. На IP Защитник не смотрит при проверке. Вы можете вписать туда хоть IP-адреса Microsoft, всё равно это будет расценено, как угроза.

Лет 10 назад был мощный вой «Microsoft начала бороться с нелегальным активатором Windows 7», распространяемый пользователями, не владеющими матчастью. На самом же деле, Microsoft синхронно пропатчила уязвимости в ядре и окружении. И те рукожопы, у которых стояли чудовищные активаторы а-ля «копируем ядро в другой файл, патчим и прописываем это кастомное ядро в загрузчик» (мне даже писать такое больно, это даже не костыль, это втыкание себе кривого ржавого протеза вместо отпиленной ноги) резко обломались, потому что новое окружение со старым ядром бсодилось. Претензий к Microsoft не могло быть никаких, потому что официально такие выкрутасы не поддерживаются и никто, естественно, не тестирует обновления на совместимость с этим ужасом. Но вместо того, чтобы разбираться, гораздо проще оказалось распространять выдумки о том, что это было сделано именно ради борьбы с «пиратами».

С телеметрией вышло аналогично. Такой способ её контроля не поддерживается, поэтому Защитник обнаруживает в hosts «microsoft.com» и бьёт тревогу, полагая, что это проделки вирусни. Если бы такой способ контроля телеметрии поддерживался официально, то добавили бы проверку на IP-адрес (если там 0.0.0.0 microsoft.com или 127.0.0.1 microsoft.com, то это, вероятно, дело рук пользователя, а если что-то иное, то злоумышленника).

Пользователю никто не обещает, что используемые им недокументированные и неподдерживаемые практики будут работать всегда. Впрочем, у пользователя остаётся масса других способов выстрелить себе в ногу, например, заблокировать те же самые IP-адреса через брандмауэр, либо прописав маршруты вникуда, либо воспользовавшись файерволлом на маршрутизаторе, и т.д.
Пираты они такие — их хлебом не корми, дай ядрами пожонглировать. В этом плане я немного удивляюсь майкрософту-они иногда любители «позакручивать гайки», а иногда словно живут в стране розовых пони-умудряются выпустить патч для ХР, который проверяет пиратскую активацию, но легко блокируется штатной командой не устанавливать конкретный патч. А по поводу реакции антивируса на хост файл — как всегда забыли сделать one more thing и сделать проверку на адрес, куда их сайт перенаправляется. Или опять живут в стране розовых пони, и не знают (или знают, но игнорируют) что пользователи так блокируют ненавистную им телеметрию. А затем вдруг узнают, и винда начнет БСОДиться, если ее адреса будут блокирваться на роутере.

Попытка блокировать потенциально нежелательное поведение (слежку) — признана «потенциально нежелательным поведением». Иронично.

«Все в мире относительно». С позиции microsoft, слежка — желательное поведение, блокировка — нежелательное. С позиции юзера, слежка — нежелательное поведение, блокировка — желательное.
Это произошло только при последнем обновлении. Ну и ничего страшного — «Разрешить» и все.
Вангую, что в следующем обновлении файл host для телеметрии учитываться не будет.
на 6 машинах стоит W7
файл host… стоит пустой ибо всё там удалил.
четыре года уже так.
На какой именно скриншот смотреть или куда? У меня он выглядит вот так (т.е. одни комментарии):

# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host

# localhost name resolution is handled within DNS itself.
#	127.0.0.1       localhost
#	::1             localhost
Спасибо за «официальный» перечень адресов для блокировки телеметрии от Майкрософт.
Некоторые программы типа Spybot Search and Destroy так вообще себе имя на рынке сделали только благодаря тому, что активно «иммунизировали» файл hosts, пихая в него всё что не попадя… И что теперь если Майкрософт изменила политику пользователи должны перестать пользоваться Spybot Search and Destroy?
Компонент: «Кортана и живые плитки», Destination: «www.bing.com», Используемый протокол: «TLSv1.2»

Компонент: «Автоматическое обновление корневых сертификатов», Destination: «ctldl.windowsupdate.com», Используемый протокол: «HTTP»

Чудесно.
А точно в Defender'e дело? Может они только Блокнот обновили (на скриншоте всплывающее окно с заголовком Notepad, а не Windows Defender)?
Раз такая пьянка пошла, позволю себе у вас поинтересоваться. Утечки какой именно информации с вашей машины вы боитесь? Мне просто любопытно.
Тут дело принципа. Либо кто-то смотрит мне через плечо, либо нет.
Если это дело принципа, то, как по мне, давно можно и нужно было перейти на свободные ос.
Но ежели человек продолжает пользоваться виндой, то всё же любопытно, что конкретно он хочет уберечь от майкрософта.
Мне в голову приходят только реквизиты банковских карт, которые с тем же успехом может у меня увести не майкрософт, но гугль, потому что я ввожу их в браузере и работаю с банковскими приложениями на андроиде. Но гугль этого делать не будет, потому что ему его репутация дороже, чем мои копейки.
Так же, вряд ли какая-то из крупных корпораций захочет у меня украсть домашнюю эротику или стим аккаунт. А если и украдут, то чёрт с ними.

Может у меня оплата интернета по трафику, и я не хочу оплачивать причуды которые мне не нужны.

Объявите сетевое соединение тарифицируемым (metered) — телеметрия отправляться не будет. Правда, много чего другого полезного происходить автоматически тоже не будет.


Есть много вариантов отключить телеметрию. Зачем корячить hosts?

а еще вроде бы винда по ощущениям быстрее работает без телеметрии, возможно потому, что на это шуршание в системе может реагировать сторонний антивирус и фаервол. да и вообще, это какой-то аналог денуво в системе, который пользователю пользы не несет, но ресурсы системы на себя оттягивает.
Любой. Не хочу, чтобы кто-то знал, какими программами я пользуюсь. А то ещё объявят террористом за то, что у меня TOR стоит.
Не только системный файл, но и, похоже, любой другой hosts (или как минимум которые находятся в системных папках). Я на выходных прогнал дефендер в полном режиме, и он выдал такую же угрозу («SettingsModifier:Win32/HostsFileHijack») на hosts в папке ПрограмФайлс/Гит, положив его в карантин. Открыть файл, чтобы посмотреть что там такого, я не смог (видимо из-за карантина доступ был закрыт), разбираться в чем дело было неохота. Теперь понятно в чем причина.

Добавляем в конфиг dnsmasq'а на роутере


address=/www.microsoft.com/127.127.127.127
address=/microsoft.com/127.127.127.127
address=/telemetry.microsoft.com/127.127.127.127
address=/wns.notify.windows.com.akadns.net/127.127.127.127
address=/v10-win.vortex.data.microsoft.com.akadns.net/127.127.127.127
address=/us.vortex-win.data.microsoft.com/127.127.127.127
address=/us-v10.events.data.microsoft.com/127.127.127.127
address=/urs.microsoft.com.nsatc.net/127.127.127.127
address=/watson.telemetry.microsoft.com/127.127.127.127
address=/watson.ppe.telemetry.microsoft.com/127.127.127.127
address=/vsgallery.com/127.127.127.127
address=/watson.live.com/127.127.127.127
address=/watson.microsoft.com/127.127.127.127
address=/telemetry.remoteapp.windowsazure.com/127.127.127.127
address=/telemetry.urs.microsoft.com/127.127.127.127

рестартим dnsmasq и наслаждаемся жизнью
При чем если дома больше одного виндового компа это и проще, чем на каждом менять hosts все равно.

Как хорошо, что я вырубил дефендер (и любой другой антивирус). На ядре NT резидентные антивирусы не нужны, не пользуюсь ими со времён XP.
Добавил файл c:\Windows\SYSTEM32\drivers\etc\hosts в исключения (в Defender). Сработало! Больше не напоминает.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.