Hostsファイルの変更？　　困っています・・

Question

ご確認
Hostsファイルは変更されました。
ＵＲＬ情報（Hostsファイル）は変更されました。ネット詐欺（ファーミング）の可能性があります。
ヒント：変更していなければ、拒否を選択してください。

127.0.0.1へlocalhostは接続します（変更）


と出てきます。
で、[ブロックする]を選択クリックすると、
今度は、「Windows Defender　の警告」とのウンドウが開き、

害を及ぼす、または望ましくない可能性のあるソフトウェアを確認する
危険な可能性のあるプログラムが検出されました。
名前                                                            　 警告レベル
SettingsModifire:Win32/PossibleHostsFileHijack　　中

との表示が出てきて、
[すべて削除]をクリックすると、


Windows Defender　でシステムを保護するために、コンピュータを再起動する必要があります、今すぐ再起動しますか？

と出て、

[はい]をクリックします。

でも、

再起動後、また同じことが繰り返されます。



今現在、ネットが使えてこちらを利用できているわけではあるのですが、
この現象は何度やっても変わらず繰り返されるし、正常な状態ではないと思われます。

ちなみに、マイクロソフトのアップデートで、Definition Update for Windows Defender - KB915597(Definition1.53.256.0)　の更新インストール、再起動後から、この現象が始まりました。
更新履歴を見ると、このプログラムの更新は成功のチェックが記録されています。


ネットやメール程度しかＰＣの利用をしない私には、どうしたらいいのかさっぱりわかりません。
どなたか、解決法をお教えいただけませんでしょうか。

ＰＣは、ＶＡＩＯ　PCG-GRX_1で、ＸＰ Professipnal Version 2002  Service Pack3 です。

どうぞ、よろしくお願いいたします。

T-200 · Accepted Answer

私は詳しい人ではありませんので参考程度でお願いします。
WindowsDefenderで3/9の定義バージョン1.53.256.0にてHostsファイルをSettingsModifire:Win32/PossibleHostsFileHijackで誤検出する問題がありました。
WindowsDefenderの処理をで「取り除く」を選択した場合はHostsファイルの127.0.0.1　localhostの記述が消去されるようです。
「無視」を選択した場合は何もないでしょう。
既に修正版1.53.288.0が公開済みです。

noname#147176 · Answer

No.5です。

以下に、総合セキュリティ対策ソフトと、Windows Defender　の同居について、
色々と書かれています。
http://ziddy.japan.zdnet.com/qa4576854.html
http://www1.tcnet.ne.jp/k-saku/vista/person/page_16.htm

また、ここ(ソースネクスト)にも、↓
http://sec.sourcenext.info/products/zero/
同種のセキュリティ対策ソフトとの併用は出来ませんと。
(ウイルスセキュリティにもスパイウェア対策が入っています)
Windows Defender の常駐監視をOFFに出来れば、問題ないと思いますが。
それでは、意味が無くなりますね?。


最近よく似た状況が、相談されてます。
いずれもウイルスセキュリティ(K7 Computing)がらみです。
Windows Defender との競合と思われる例↓
http://bbs.higaitaisaku.com/cbbs.cgi?mode=one&number=102906&type=0&space=0&no=0
(普通の日本語として読める部分のみ飛ばして読んでね)

悪質なマルウェアに感染したと思われる例↓(マルウェアが駆除の妨害までしている)
http://bbs.higaitaisaku.com/cbbs.cgi?mode=one&number=102737&type=0&space=0&no=0

WEBを調べてみても、自分は競合していないとか、逆に、PCが起動しなくなったとか、色々ですが、
私としては、使うにしても、要注意ですね。

それで、結局ですが、Windows Defender は当然、サポートはありませんよね。
ウイルスセキュリティは、有償で当然サポートもありますので、その辺のことも含めて、
ここに聞いてみられることをおすすめします。↓
http://www.sourcenext.com/support/customer.html

※やはり、広い意味での競合では?。

Niwatori-Sanpo · Answer

またまた No.3 です。


＞既に修正版1.53.288.0が公開済みです。

　いつものことながら詳しい人以上に詳しい、詳しい人ではない人の
No.6 さん、有益な情報をありがとうございます。

　他人の質問に横恋慕するかたちになってしまいますが、折角だから
さっそく適用させていただくことにします。


　回答番号：No.6の「参考になった」にも一票入れておきます。

Niwatori-Sanpo · Answer

再び No.3 です。

　最初の回答で、Vista(A)SP1 マシン方の Windows Defender では何も
検知されなかったとコメントしましたが、念のために履歴を開いてみた
ところ、しっかり同じトロイのブロックが記録されていました。
　どうやらバックグラウンドで処理されていたために気がつかなかった
ようです。　常駐させてはいないはずなのに、定刻スキャンはしっかり
実行されているんですね。

　本当は検出されたとき変更を許可して hostsファイルがどんなふうに
書き換えられるのか確かめたいのですが、そんな人柱に使えるマシンは
持ち合わせていないので、実験したい衝動を抑えているところです。


　いずれにしても、併用ソフトはウィルスバスターでも McAfee でも、
同じだったようです。
　しかし度々検出してしまう質問者さんの環境とどう違っているのかは
分かりません。
　ハッキリしていることは、共に他社のウェルス対策ソフトと併用して
いて、同じく最近の Windows Defender 用のデータ更新があった時から
発生している現象であるということです。


回答No.3に対する補足＞
hosts ファイル１行目＞127.0.0.1 ininja

　第１行目以外は正常でしょう。　しかし１行目が書き換えられている
ようです。　先頭に半角「♯」のない行は実行されるのです。

　しかし、不思議ですね。 Windows Defender がブロックしているはず
だから変更は反映されていないはずなのですが…。
　もし本当なら、何かに感染している疑いがあります。

　例えば、紹介したオンラインスキャンのサイトにはアクセス出来るの
でしょうか？
　「ininja」に関連している場所に飛ばされたりはしませんか？

　とにかく最初の行は普通じゃないので、削除できれば削除して上書き
保存した方が良いでしょう。
　もっとも、以前から存在していたものが Windows Defender の更新に
よって検出されるようになったということも無視するわけにはいかない
のですが、その辺がよく分かりません。


　なお、当該XPマシンは先ほど F-Secure のオンラインスキャナを異常
なく終了し、現在は Panda の ActiveScanで検索中です。
　これで何事もなかったら Windows Defender による誤検出の可能性が
高いでしょう。

noname#147176 · Answer

肝心なことが書かれていないので、

あなたはどんなセキュリティ対策ソフトを使用していますか。
出来ればすべて教えて下さい。

〉〉Hostsファイルは変更されました。
〉〉ＵＲＬ情報（Hostsファイル）は変更されました。ネット詐欺（ファーミング）の可能性があります。
〉〉ヒント：変更していなければ、拒否を選択してください。

どんな、ソフトが返してきたメッセージでしょうか。

取りあえず、Windows Defender　↓
http://www.microsoft.com/japan/athome/security/spyware/software/about/productcomparisons.mspx

常駐型の、監視ソフトですので、他のセキュリティ対策ソフトを同居させると、
何かと不具合が出るかもしれませんし。

Niwatori-Sanpo · Answer

すいません、No.3の自己レスです。

>　とりあえず、他社のオンラインスキャンによる検索をお勧めします。

　うっかりしていました。　トロイによって hostsファイルを書き換え
られていたらオンラインスキャン提供サイトにはアクセス出来ないはず
なので、ファイルの中味を戻しておかなければいけませんね。

　参考までに、汚染されていない（…と思われる）の一般的？な hosts
ファイル（拡張子のないテキストファイル）をアップしておきます。
　メモ帳などのテキストエディタで編集して、もし可能なら上書き保存
してみてください。
　場所は「C:\WINDOWS\system32\drivers\etc\」フォルダのはずです。

　内容は波線内のみ（コピー＆ペースト可）
------------------------------------------------------------------------
# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host

127.0.0.1       localhost

------------------------------------------------------------------------

　ただし、マルウェアの類に感染している場合は上書き保存が出来ない
可能性があります。　セーフモードでも無理かも知れません。
　不審な常駐プログラム（それが何かは不明）を止めて編集することが
可能ならその手もあるでしょう。

　あるいは、KNOPPIX CD で起動して編集するとか…。


　※今回のアドバイスは、書き換えの経験がないので「一般人」として
　投稿しておきます。

Niwatori-Sanpo · Answer

＞SettingsModifire:Win32/PossibleHostsFileHijack　　中

　そういえばオイラの WinXP-Prp SP3 マシンでも Windows Defenderが
昨夜同じようなメッセージを表示してきたので検出されたもの？を削除
したことを思い出しました。
　メインのセキュリティソフトは McAffeeですが、そのときに再起動は
要求されなかったなかったような気がします。
　しかしウィルスバスターの入っている Vista(A)SP1マシンで併用して
いる同じ Windows Defender では何も検知されませんでした。

　XPマシンの方では、念のために Spybot S&D の最新パターンで検索を
かけましたが、特に問題はなかったようです。


　因みに、リンクされていたマイクロソフト社の情報を機械翻訳すると
以下の如き文章になりました。
----------------------------------------------------------------
説明:
このプログラムは、望ましくない動作をする可能性があります。
file:
C:\WINDOWS\system32\drivers\etc\hosts

トロイです。
Win32.Qhost(Kaspersky)
Qhosts.apd(マカフィー)
要約
Win32/PossibleHostsFileHijackの検知は指標です、あなたのHOSTSファイルは悪意があるか、潜在的に望まれないソフトウェアによって修正されたかもしれません。
HOSTSファイルへの修正は、あるインターネット・ドメインへのアクセスを転送する場合があるか否定されます。
これは、コンピューターがあるウェブサイトへ接続するのを防ぐかもしれません。
徴候
下記のような状況はあなたのHOSTSファイルがあなたの同意なしで修正されたというサインかもしれません:
*あなたのコンピューターを安全にしておくのを支援するプログラムを提供するサイトのように、運転中であると信じる、あるウェブサイトにアクセスすることができません。
*あなたのブラウザは、適切で、入ったウェブ・アドレスを与えられるように見えないウェブサイトへ接続します。

分析
予防回復さらに次のように知られていたトロイです。
Win32.Qhost(Kaspersky)
Qhosts.apd(マカフィー)
要約
Win32/PossibleHostsFileHijackの検知は指標です、あなたのHOSTSファイルは悪意があるか、潜在的に望まれないソフトウェアによって修正されたかもしれません。
HOSTSファイルへの修正は、あるインターネット・ドメインへのアクセスを転送するか否定します。
これは、コンピューターがあるウェブサイトへ接続するのを防ぐかもしれません。
徴候
下記のような状況はあなたのHOSTSファイルがあなたの同意なしで修正されたというサインかもしれません:
*あなたのコンピューターを安全にしておくのを支援するプログラムを提供するサイトのようなオペレーション中であると信じる、あるウェブサイトにアクセスすることができません。
*あなたのブラウザーは、適切で、入ったウェブ・アドレスを与えられるように見えないウェブサイトへ接続します。
技術情報
Win32/PossibleHostsFileHijackは、HOSTSファイルが悪意があるか、潜在的に望まれないソフトウェアによって修正されたかもしれないことを示します。
HOSTSファイルは<システムフォルダ>￥ドライバ￥などに位置します
￥ホスト、あるいは使用されているウインドウズ・オペレーティング・システムに依存するウインドウズ・フォルダー中で。ローカルのHOSTSファイルは、IPアドレスへのウェブサイトURLのDNS解決を無視します。
悪意のあるソフトウェアは、DNSサーバーを回避し、かつ異なるIPアドレスへのURLを解決するためにHOSTSファイルへの修正を行なうかもしれません。
これは、あなたのコンピューターがあなたのコンピューターを安全にしておくのを支援するプログラムを提供するサイトのようなあるウェブサイトにアクセスするのを防ぐかもしれません。
----------------------------------------------------------------
　（↑フォルダ名までむりやり日本語にしているので結構笑える）

　結局、今回の件のホストファイル改変が安全なものなのか危険なもの
なのかは何とも言えないように読み取れるのですが、よく分かりません。

　トロイ(？)を削除した後の当該 hostsファイルをテキストエディタで
開いてみると、全ての行で「＃」記号のコメント行になっていました。
　ファイルの更新日時が古いので、初期設定のファイルに戻っているの
かも知れません。

　因みに、Vista マシンの方の hostsファイルは、最終行の…、
------------------------------
::1             localhost
------------------------------
という項目だけが有効になっているようです。

一般的には…、
------------------------------
127.0.0.1       localhost
------------------------------
という行だけは活かしているらしいのですが、有名な「アダルトサイト
被害対策の部屋」の某解説によると、hosts ファイルが存在しなくても
通常の PC の動作には問題がないということなので、我が Vista PC の
例がどういう意味になるのかよく分かりません。
　単なるダミーでは無いようです。

　さて、オイラの場合は深く考えもせず速攻で削除してしまいましたが
果たしてそれで良かったのどうかは謎です。
　まぁ、その XP マシンの挙動にも特に変な動きは見られないようだし
ローカルエリア接続の設定では DNSを手動設定でルータのIPに固定して
いるしということで、現在は様子見というところです。
　ひとつ気になることは、当該マシンにおいて LAN内に DNSサーバーを
立てるときに不具合が出るかも知れないということでしょうか。
　現在は運用していないので、検証するのはメンドいです。


　と言う訳で、質問者さんの場合、問題のスパイウェア対策ソフトたる
Windows Defender以外のセキュリティソフトが何なのか分からないので
何がアレなんですが、hosts ファイルを改変する何らかのプログラムが
常駐することに原因があるような気がします。

　一度 C:\WINDOWS\system32\drivers\etcの中にある hostsファイルを
メモ帳などのテキストエディタで開いてみては如何でしょう？
　自機の IPアドレスを指定する「127.0.0.1」以外が登録されていたら
ちょっとヤバいかも知れません。
　とりあえず、他社のオンラインスキャンによる検索をお勧めします。

　F-Secure オンラインスキャナ（Kasperskyと同じエンジンらしい）
http://www.f-secure.co.jp/v-descs/disinfestation.html

　Symantec Security Check（ノートン）
http://security.symantec.com/sscv6/home.asp?langid=jp&venid=sym&plfid=24&pkj=MIGJRWLPITSMJUIVFHP

　McAfee FreeScan
http://security.biglobe.ne.jp/mfs/McFreeScan.html?checkdate=2009125&version=2,2,0,5505

　Trend Micro 無料ウイルスチェック（ウィルスバスター）
http://www.trendflexsecurity.jp/security_solutions/housecall_free_scan.php?Homeclick=threat_onlinescan

Panda ActiveScan（スパイウェアの検出に強いらしい）
http://www.pandasoftware.jp/activescan/index.html

参考URL：http://www.higaitaisaku.com/hosts.html

goold-man · Answer

参考URLをご覧ください。

参考URL：http://okwave.jp/qa3846697.html

M2452 · Answer

localhost -> 127.0.0.1
の設定は本来標準でされている筈ですが、何故か書き直そうとしている訳ですね。問題ないので許可しても差し支えないと思われます。これは、自分自身のコンピュータの別名を指定しているだけです。

SettingsModifire:Win32/PossibleHostsFileHijack　　中
とは、おそらくhostsファイルを書き換えるプログラム全般の事です。今回の場合はWindows Defenderのアップデートで発生した現象ですので、問題ないと思われます。

何故警告が表示されるかというと、このhostsファイルを書き換える悪質なプログラムが存在するからです。
oshiete.goo.ne.jp -> (悪質なウェブサイト)
等に設定を書き換えられたら、大変ですよね。ですから警告された訳です。今回のは無害ですので、許可して貰っても大丈夫だと思われますよ。

Hostsファイルの変更？ 困っています・・

私は詳しい人ではありませんので参考程度でお願いします。

No.5です。

またまた No.3 です。

再び No.3 です。

肝心なことが書かれていないので、

この回答への補足

すいません、No.3の自己レスです。

この回答への補足

＞SettingsModifire:Win32/PossibleHostsFileHijack 中

この回答への補足

参考URLをご覧ください。

この回答への補足

localhost -> 127.0.0.1

この回答への補足

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング

Hostsファイルの変更？　　困っています・・

　またまた No.3 です。

　再び No.3 です。

　すいません、No.3の自己レスです。

＞SettingsModifire:Win32/PossibleHostsFileHijack　　中