SettingsModifier:Win32/PossibleHostsFileHijack - mozem ignorovat?

Záleží přece co v tom hosts máš.
hosts je textový soubor s nastavením pro lokální překlad domény na ip
Zkopíruj sem obsah toho hosts nebo jej někam upni.
A taky napiš jestli jsi jej upravoval chtěně nebo to udělalo něco bez tvého vědomí.

noo, tu telemetriu a taaak som vymazaval naschval, resp. to za mna urobil program stop windows spy, ten aj windowsacke programy odmazal a taak, to uz som mal aj na starom PC a bez problemov.
co sa toho hosts tyka, neviem, ak idem tou cestou C:\Windows\System32\drivers\etc tak su tam len imhost.sam, networks, protocols a service. to netusim co su za zlozky. pripony mam nastavene, ze sa zobrazuju, ale tam to je len takto.

ak ten imhost.sam rozkliknem v pozn. bloku, tak tam je toto:

# This file is compatible with Microsoft LAN Manager 2.x TCP/IP lmhosts
# files and offers the following extensions:
#
# #PRE
# #DOM:<domain>
# #INCLUDE <filename>
# #BEGIN_ALTERNATE
# #END_ALTERNATE
# \0xnn (non-printing character support)
#
# Following any entry in the file with the characters "#PRE" will cause
# the entry to be preloaded into the name cache. By default, entries are
# not preloaded, but are parsed only after dynamic name resolution fails.
#
# Following an entry with the "#DOM:<domain>" tag will associate the
# entry with the domain specified by <domain>. This affects how the
# browser and logon services behave in TCP/IP environments. To preload
# the host name associated with #DOM entry, it is necessary to also add a
# #PRE to the line. The <domain> is always preloaded although it will not
# be shown when the name cache is viewed.
#
# Specifying "#INCLUDE <filename>" will force the RFC NetBIOS (NBT)
# software to seek the specified <filename> and parse it as if it were
# local. <filename> is generally a UNC-based name, allowing a
# centralized lmhosts file to be maintained on a server.
# It is ALWAYS necessary to provide a mapping for the IP address of the
# server prior to the #INCLUDE. This mapping must use the #PRE directive.
# In addtion the share "public" in the example below must be in the
# LanManServer list of "NullSessionShares" in order for client machines to
# be able to read the lmhosts file successfully. This key is under
# \machine\system\currentcontrolset\services\lanmanserver\parameters\nullsessionshares
# in the registry. Simply add "public" to the list found there.
#
# The #BEGIN_ and #END_ALTERNATE keywords allow multiple #INCLUDE
# statements to be grouped together. Any single successful include
# will cause the group to succeed.
#
# Finally, non-printing characters can be embedded in mappings by
# first surrounding the NetBIOS name in quotations, then using the
# \0xnn notation to specify a hex value for a non-printing character.
#
# The following example illustrates all of these extensions:
#
# 102.54.94.97 rhino #PRE #DOM:networking #net group's DC
# 102.54.94.102 "appname \0x14" #special app server
# 102.54.94.123 popular #PRE #source server
# 102.54.94.117 localsrv #PRE #needed for the include
#
# #BEGIN_ALTERNATE
# #INCLUDE \\localsrv\public\lmhosts
# #INCLUDE \\rhino\public\lmhosts
# #END_ALTERNATE
#
# In the above example, the "appname" server contains a special
# character in its name, the "popular" and "localsrv" server names are
# preloaded, and the "rhino" server name is specified so it can be used
# to later #INCLUDE a centrally maintained lmhosts file if the "localsrv"
# system is unavailable.
#
# Note that the whole file is parsed including comments on each lookup,
# so keeping the number of comments to a minimum will improve performance.
# Therefore it is not advisable to simply add lmhosts file entries onto the
# end of this file.

Já se ptal na hosts
hosts tam defaultně je a defaultně je prázdný (pominu-li zamřížkovaný # text, což jsou poznámky).
Podívej se do logu Defenderu co o tom píše a jestli vykonává nějakou akci.
Pokud je problém v tom, že tam není žádný hosts , tak hosts (bez přípony) normálně v poznámkovém bloku vytvoř nebo jej zkopni z instalačky.
Pokud tam něco permanentně mění hosts a Defender ho maže, tak zjisti co ten hosts mění.
Jako víc ti neporadím z těch info, co jsi dodal.

aaach, ja som lama, treba ma presne navigovat. neviem kde najst ten log.
podla internetu ked idem
Open Event Viewer.
In the console tree, expand Applications and Services Logs > Microsoft > Windows > Windows Defender.
Double-click on Operational.
tak tam je toho vela. neviem co presne treba, ani v akej forme.
info dam viac rad, len netusim ake.

Tím logem jsem myslel "Historie ochrany", kde najít máš i na obrázku co máš v prvním příspěvku.
Prostě se tam podívat jestli u toho hosts není u Stavu mimo Aktivní i V karanténě, Odebráno nebo tak něco, prostě jestli ten hosts nemaže Defender, když tam není.
Protože je zvláštní, že tam ten hosts nemáš a přitom ho Defender označoval jako hrozbu a navíc uvedený stav jako Aktivní.
A neuvedl jsi proč ho tam nemáš.
A jak jsem psal, můžeš zkusit ho tam dát, vytvořit hosts (bez přípony) v poznámkovém bloku na ploše a přesunout ho tam, co to udělá (jestli třeba zas nezmizí...).
Ještě mě napadla další možnost, jestli ti hosts něco neoznačilo jako skrytý.

pozeral som aj skryte subory a nic.
asi to povolim a bude

co ti zobrazí příkaz:

notepad.exe C:\WINDOWS\system32\drivers\etc\hosts

když nic, tak neexistuje a musíš ho založit "jako administrator", i kdyby obsahoval jen prázdný komentář:

# ip domena

same adresy zacinajuce 0.0.0.0

A celý obsah toho hosts je teda jaký?
Když budu mít bujnou fantazii tak i "adresy zacinajuce 0.0.0.0" můžou být škodlivé, např. když tam malware hodí překlad domény nějaké banky, do kořenových certifikátů přidá svůj kořenový certifikát, rozjede na localhostu https proxy pro web té banky, tak uživatel jako ty nemá šanci poznat že se nejedná o web té banky.

same adresy zacinajuce 0.0.0.0

to není normální.
pak by tě mohlo zajímat z jakého data pochází změna tvého "hosts" souboru, a jestli tomu čirou náhodou neodpovídá instalace nějakého jakože "hlídače" v programfiles.

ještě k těm adresám "0.0.0.0" - neinstaloval jsi nějaký vlastní zvláštní "antivir"? pokud jo, můžeš říct jaký a odkud byla ta instalačka?

U blokovacích skriptů a programů pro lamičky třeba na blokování telemetrie pomocí hosts je normální, že do hosts přesměrovávají blokované domény na 0.0.0.0. A on psal, že takový program použil.

opět čuráčí sloh "lamičky". pak se divíš, že musíš místo živě onanovat kdekoli jinde, že tě nikde nechcou číst.

kuku tu psal, že je lama 🦙
Používá program pro lamičky... 🦙 🦙 🦙
To jsou prostě fakta.
Ty si běž tu alergii na slovo lama 🦙 nebo lamička 🦙 už léčit. 😋

až to přestaneš používat v každém druhém komentáři, ty zakomplexovaný elo blbečku.

Že si necháš hrabat do systému kdovíjak udělaným programem, o kterém nic nevíš ... hlavně, že tam "nebude telemetrie"

tam bolo jednym vrzom aj odstranenie tych win aplikacii, cloudu a taaak. uz som to pouzil predtym, tak som necakal ziadnu zradu.

Ty "win aplikace" včetně OneDrive se dají odinstalovat ručně nebo "original" PS příkazy (skriptem).

a poradis ako?
idem to radsej cele preinstalovat, win ma dokopal k prihlasovaniu PINom, teraz to neviem zrusit, ani cez netplwiz..tie hrozby mi tam stale vyskakuju...
ale blbosti ako cortana, hello, vsakovakych predinstalovanych veci by som sa zbavil rad. az na WMP
tak ked je na to nejake "udelatko" co nerozhasi cely system, rad sa necham poucit.

Get-AppxPackage -AllUsers *CandyCrushSaga* | Remove-AppxPackage -AllUsers
Get-AppxProvisionedPackage –OnLine | Where-Object {$_.packagename –Like '*CandyCrushSaga*'} | Remove-AppxProvisionedPackage –OnLine

V tomhle stylu ... v PowerShelu. Cortanu klidně nech, jen ji vypni.

HOSTS ještě někdo používá?

Já blokuji na routeru, takže i kdyby windows používsl, by si takhle neqičely

Ano, používá. Ono je to určené přimárně pro jiné věci, než je blokování.