Comment supprimer WinRing0 de Windows et déterminer s'il s'agit réellement d'un virus

Actualités du gadget » Généralités » Tutoriels » Comment supprimer WinRing0 de Windows et déterminer s'il s'agit réellement d'un virus

Si vous utilisez Windows 10 ou Windows 11 et que vous recevez soudainement une alerte de Microsoft Defender concernant un élément appelé Outil de piratage : Win32/WinRing0 ou pilote vulnérable : WinNT/Winring0.GIl est normal d'avoir peur et de penser qu'un cheval de Troie dangereux s'est installé sur votre PC. Pire encore, vos outils de surveillance, vos ventilateurs ou votre éclairage RGB peuvent avoir cessé de fonctionner subitement.

La première chose à savoir est que, dans la plupart des cas, Il ne s'agit pas d'un virus classique qui infecte les fichiers ou chiffre votre disque.Il s'agit plutôt d'un pilote présentant une vulnérabilité connue que Windows bloque systématiquement. Cela ne signifie pas qu'il est totalement inoffensif, mais cela change considérablement la façon de l'aborder et de décider s'il est judicieux de le maintenir actif ou non.

Qu’est-ce que WinRing0 et pourquoi Windows Defender le détecte-t-il comme une menace ?

WinRing0 est un contrôleur d'accès matériel de bas niveau Utilisé depuis des années dans de nombreuses applications de surveillance et de contrôle de PC, ce logiciel est une bibliothèque/un pilote permettant à un programme de communiquer quasiment directement avec le noyau Windows et certains composants de la carte mère, en contournant la plupart des mécanismes de protection habituels.

Grâce à cet accès approfondi, WinRing0 est devenu très populaire parmi les applications tierces Ils ont besoin de lire les données des capteurs, de gérer la vitesse des ventilateurs, de contrôler l'éclairage RGB ou d'ajuster les paramètres système. C'est l'une des rares solutions libres et open source permettant une interaction aussi poussée avec le matériel.

Le problème est qu'en 2020, le pilote WinRing0 était répertorié comme Vulnérabilité de sécurité CVE-2020-14979Cette vulnérabilité permet à n'importe quelle application (même sans privilèges d'administrateur) de demander l'autorisation de lire ou d'écrire dans des zones protégées de la mémoire système une fois le pilote chargé dans le système, ouvrant ainsi la porte à une élévation de privilèges ou à la manipulation de processus critiques.

Pour cette raison, Microsoft a décidé que Les pilotes WinRing0 non signés ou non sécurisés sont signalés dans Defender. Ces logiciels potentiellement dangereux apparaissent dans les détections telles que Hacktool:Win32/Winring0 ou VulnerableDriver:WinNT/Winring0.G. D'un point de vue technique, cette détection est légitime : le pilote présente une réelle vulnérabilité et peut être exploité par des logiciels malveillants.

Cela ne signifie pas que votre copie spécifique de WinRing0 est un virus, mais plutôt que Il possède des fonctionnalités que des logiciels malveillants pourraient exploiter.D'où la confusion : le même nom est utilisé à la fois par le conducteur légitime et par certaines menaces qui se camouflent derrière lui pour passer inaperçues.

Applications et outils qui dépendent de WinRing0

L'une des raisons pour lesquelles cette question a suscité autant de bruit est que De nombreuses applications populaires dépendent de WinRing0 pour fonctionner correctement. Avec le durcissement des politiques de Microsoft Defender, tous ces outils ont été confrontés à des détections, des blocages et des comportements étranges sur les PC des utilisateurs.

Parmi les outils les plus touchés figurent de nombreux programmes de surveillance matérielle, des jeux et des utilitaires de gestion RGB ou de ventilateurs. Divers rapports et témoignages mentionnent, par exemple : CapFrameX, EVGA Precision X1 (versions antérieures), FanCtrl, HWiNFO, Libre Hardware Monitor, MSI Afterburner, Open Hardware Monitor, OpenRGB, OmenMon, Panorama9, SteelSeries Engine ou ZenTimings, Parmi beaucoup d'autres.

Aussi quelques suites de fabricants WinRing0 a déjà été utilisé pour gérer des périphériques et du matériel de jeu. Un exemple concret, trouvé sur des forums, concerne un utilisateur dont le pilote était intégré à une application Razer Synapse fonctionnant en arrière-plan, empêchant ainsi Windows Defender de le supprimer directement car le fichier était constamment marqué comme « en cours d'utilisation ».

Dans un autre scénario, un autre utilisateur a expliqué que WinRing0 était essentiel pour une application d'accessibilité Il devait désactiver temporairement le tramage pour préserver sa vue. Sans ce pilote, son ordinateur portable était tout simplement inutilisable, et Windows Defender le supprimait ou le bloquait sans lui permettre de le restaurer facilement.

Tout cela provoque un problème soudain, après une mise à jour des définitions de Defender, De nombreux utilisateurs ont constaté que leurs outils préférés ne démarrent plus.Ses ventilateurs se mettent à tourner à pleine vitesse de manière incontrôlable, ou l'éclairage RGB se dérègle, car le pilote central qui orchestre tout cela a été mis en quarantaine.

Risques réels en matière de sécurité : vulnérabilité ou virus ?

Il est pratique de bien séparer les concepts : WinRing0 n'est pas un ransomware ni un cheval de Troie bancaire classique.Cependant, il s'agit d'un contrôleur vulnérable qui peut être exploité par des logiciels malveillants pour prendre le contrôle du système plus facilement qu'il ne devrait l'être.

Une fois chargé dans le système, WinRing0 offre un accès sans restriction aux ressources protégéesCela permet à n'importe quel processus d'ordonner au pilote de lire ou d'écrire à des adresses mémoire critiques, y compris des zones où résident d'autres processus, des secrets, des mots de passe temporaires, ou même des structures internes du noyau Windows.

Du point de vue de la sécurité, c'est particulièrement inquiétant car Cela brise l'une des barrières fondamentales qui protègent WindowsLa séparation entre l'espace utilisateur et l'espace noyau. Une faille exploitant WinRing0 peut contourner de nombreuses défenses standard sans compromettre le système d'exploitation lui-même.

C’est pourquoi Microsoft a choisi de traiter les versions non signées ou vulnérables de WinRing0 comme « outil de piratage » ou conducteur dangereuxC’est pourquoi de nombreux experts recommandent de l’éviter autant que possible, ou du moins de la limiter à des situations très spécifiques et contrôlées, comme dans les machines de laboratoire ou les environnements où le risque est assumé.

Cependant, le fait que Defender marque WinRing0 ne signifie pas automatiquement que Vos mots de passe ont été volés, un enregistreur de frappe a été installé ou vos fichiers ont été cryptés.Dans la plupart des cas, la détection a lieu parce qu'une application légitime déjà installée utilise ce pilote, et ce qui a changé, ce sont les critères de Microsoft, pas votre comportement.

Pourquoi Windows le bloque-t-il maintenant, et quel est le rôle de CrowdStrike dans tout cela ?

Beaucoup de gens se sont demandés pourquoi, si WinRing0 est vulnérable depuis des années, Defender a commencé à le bloquer de manière très agressive en ce moment.Il n'existe pas de réponse officielle et définitive, mais plusieurs indices permettent de comprendre le contexte.

D'une part, Microsoft a renforcé son contrôle politiques de sécurité pour les pilotes de noyauSuite à des incidents majeurs tels que la faille de sécurité de CrowdStrike, qui a paralysé des systèmes dans le monde entier en raison d'un problème de mise à jour de sécurité, la pression s'est accrue pour limiter le type de logiciels pouvant fonctionner avec des privilèges aussi étendus.

De plus, depuis quelques années, Microsoft exige que les pilotes qui accèdent au noyau sont signés numériquement via un certificat de signature de noyau spécifique. L'obtention de ce certificat nécessite d'être une entreprise reconnue et de payer pour la signature, ce qui représente un coût récurrent ; une solution gérable pour les grandes entreprises, mais complexe pour de nombreux projets open source.

WinRing0, étant une bibliothèque de logiciel libre et largement utiliséCe pilote a bénéficié de correctifs et d'améliorations, mais chaque nouvelle version doit être examinée et signée par Windows pour être considérée comme fiable. Selon plusieurs développeurs, il a été corrigé à plusieurs reprises ces dernières années, mais la situation devient intenable si Microsoft décide de ne plus signer les nouvelles versions ou juge la philosophie sous-jacente du pilote trop risquée.

En fait, Microsoft elle-même a reconnu que est au courant des rapports sur les applications de jeux et la surveillance L'utilisation de versions non signées de WinRing0 a été signalée comme une menace. Bien qu'ils indiquent poursuivre l'enquête, ils ont également précisé que Defender continuera de considérer les pilotes non signés comme une menace et qu'ils revoient la logique de détection afin d'éviter les faux positifs, sans pour autant renoncer à la protection à long terme.

Conséquences pour les utilisateurs : ventilateurs défaillants, éclairage RGB défectueux et applications qui ne se lancent pas.

L'effet le plus visible pour l'utilisateur moyen est que, du jour au lendemain, De nombreux outils de contrôle matériels cessent de fonctionnerDefender détecte WinRing0, le met en quarantaine ou le supprime, et ce faisant, il neutralise une partie essentielle du fonctionnement de ces programmes.

Sur certains systèmes, dès que WinRing0 disparaît, les ventilateurs passent en mode rotation à vitesse maximale sans régulationL'application qui les gérait ne parvient plus à communiquer avec les capteurs ni avec le contrôleur de la carte mère. Dans d'autres cas, l'éclairage RGB se fige ou se déconfigure, ou encore les applications concernées se ferment dès leur ouverture.

Il existe également des cas d'utilisateurs qui, en voyant l'avertissement de Defender avec des noms aussi alarmants que VulnerableDriver:WinNT/Winring0.G ou Hacktool:Win32/WinRing0, ont pensé que Son ordinateur a été infecté par un cheval de Troie particulièrement sophistiqué.Certains ont même envisagé de réinstaller Windows à partir de zéro par crainte d'accès à distance, d'enregistreurs de frappe et autres cauchemars.

Dans un cas signalé sur des forums, un utilisateur a constaté la présence d'une détection dans un fichier lié au logiciel Razer, a tenté de le supprimer, mais Windows l'en a empêché car le fichier était « utilisé » par un autre programme. Windows Defender a essayé de le supprimer à plusieurs reprises sans succès. Ce n'est que lorsque J'ai fermé manuellement le processus concerné depuis le Gestionnaire des tâches.L'antivirus a réussi à supprimer le fichier, et le problème a disparu.

Dans un autre témoignage, après une tentative d'accès à distance apparemment bloquée, un utilisateur a constaté la présence de WinRing0 et a pensé qu'il était infecté par un cheval de Troie de haut niveau. Il a démarré l'ordinateur en mode sans échec et a effectué une analyse complète.Ils ont même sérieusement envisagé de formater le système. Bien que la prudence soit toujours de mise dans ce genre de cas, il n'était pas forcément nécessaire d'aller aussi loin si la cause réelle était un pilote d'un outil courant.

Options pour continuer à utiliser vos programmes : exclusions et alternatives

Si vous avez absolument besoin de l'une des applications concernées (par exemple, un outil de surveillance avancé, un contrôleur de ventilateur, un logiciel RGB ou même une application d'accessibilité essentielle), vous disposez de plusieurs options, chacune ayant ses propres implications. Il n'existe pas de solution parfaitemais différentes manières d'équilibrer risque et confort.

La première option est vérifier les mises à jour de l'application elle-mêmeCertains développeurs ont commencé à publier de nouvelles versions qui suppriment WinRing0 ou le remplacent par un pilote propriétaire ou différent, bien que dans de nombreux cas cela implique des mois de travail et un coût considérable.

Par exemple, SignalRGB a expliqué que Ils ont cessé d'utiliser WinRing0 en 2023. Ils ont développé leur propre contrôleur SMBus précisément pour éviter de dépendre d'un pilote système potentiellement vulnérable ou incompatible avec d'autres versions logicielles. Ils reconnaissent eux-mêmes que le processus a été complexe et a nécessité d'importantes ressources d'ingénierie.

Une autre possibilité est passer à d'autres outils qui ne dépendent plus de WinRing0. Certains utilitaires de surveillance et de gestion du matériel se sont adaptés aux nouvelles exigences de signature du noyau et ont migré vers d'autres pilotes, même s'ils perdent parfois certaines fonctionnalités avancées au cours de cette migration.

Troisièmement, certains développeurs et utilisateurs recommandent, avec de nombreuses réserves, Ajouter une exclusion dans Microsoft Defender Pour permettre à WinRing0 de continuer à fonctionner, vous pouvez choisir cette option. Cette dernière implique d'accepter le risque de maintenir un pilote vulnérable sur le système ; elle doit donc être mûrement réfléchie, notamment sur les ordinateurs contenant des informations sensibles ou ceux constamment connectés à Internet.

Comment ajouter une exclusion WinRing0 dans Microsoft Defender (à vos risques et périls)

Avant d'entrer dans les détails, il est important de souligner ce que Microsoft déclare officiellement : Toute modification qui réduit la sécurité ou désactive les protections doit être soigneusement évaluée.Ces mesures peuvent s'avérer utiles comme solution temporaire à un problème spécifique, mais elles impliquent toujours une prise de risque supplémentaire.

Si vous décidez de poursuivre parce que vous avez absolument besoin d'une application utilisant WinRing0 (par exemple, pour contrôler les ventilateurs d'un ordinateur qui surchauffe ou en raison d'une exigence d'accessibilité), vous pouvez Ajouter une exclusion dans Microsoft Defender Antivirus afin qu'il cesse de bloquer le fichier ou le dossier associé.

Les étapes générales sous Windows 10 et Windows 11 sont les suivantes :

• Ouvrez l'application Sécurité Windows Vous pouvez le trouver en cliquant sur Démarrer > Paramètres > Mise à jour et sécurité > Sécurité Windows, ou en le recherchant dans le menu Démarrer.
• Sur le panneau principal, entrez dans la section Protection contre les virus et les menaces.
• Dans la section Paramètres de protection contre les virus et les menaces, cliquez sur Gérer les paramètres.
• Défilez vers le bas jusqu'à atteindre le bloc Les exclusions et sélectionnez « Ajouter ou supprimer des exclusions ».
• Appuyez sur Ajouter une exclusion Choisissez ensuite si vous souhaitez exclure un fichier spécifique, un dossier entier ou un processus. Sélectionnez ensuite l'élément lié à WinRing0 ou à l'application concernée.

À partir de ce moment-là, Defender cessera d'analyser et de bloquer Ce que vous avez ajouté à la liste d'exclusions peut résoudre des problèmes de fonctionnement avec vos outils matériels, mais cela crée également une faille de sécurité. Par conséquent, cette opération ne doit être effectuée que si vous savez précisément ce que vous excluez et pourquoi.

Si vous avez des doutes quant à savoir si la menace détectée se limite réellement au pilote vulnérable ou s'il pourrait y avoir autre chose dans votre système, la chose prudente à faire est s'appuyer sur des analyses supplémentaires En plus des autres solutions anti-malware, examinez les programmes récemment installés et, si nécessaire, demandez de l'aide sur des forums spécialisés avant d'ouvrir physiquement la porte à d'éventuels logiciels malveillants.

Que faire si Defender ne supprime pas WinRing0 ou le détecte en permanence ?

Dans certains cas, Windows Defender peut J'ai tenté à plusieurs reprises de supprimer WinRing0 sans succès. Le fichier est utilisé par un programme en arrière-plan, ce qui provoque une boucle d'avertissements et de tentatives de suppression infructueuses, tandis que l'utilisateur voit sans cesse l'alerte de menace active.

La cause la plus fréquente est que l'application utilisant le pilote est actuellement ouverte ou dispose d'un service résident. Dans ce cas, Le programme et ses processus associés doivent être fermés manuellement. avant que l'antivirus puisse agir. Vous pouvez le faire à l'aide du Gestionnaire des tâches :

• Ouvrez le Le Gestionnaire des tâches (Ctrl+Maj+Échap ou clic droit sur la barre des tâches > Gestionnaire des tâches).
• Trouvez le processus principal de l'application concernée (par exemple, le logiciel Razer, les outils RGB, etc.) et terminez-le.
• Vérifiez également l'onglet des processus en arrière-plan au cas où des services seraient liés au même programme.

Une fois que vous avez arrêté tout ce qui dépend de WinRing0, retournez à Lancez l'analyse et la suppression depuis DefenderDans plusieurs témoignages, cette méthode a permis à l'antivirus de lever la détection sans qu'il soit nécessaire de réinstaller Windows ni de prendre des mesures plus radicales.

Si la détection se répète, l'application peut revenir à réinstaller ou régénérer le pilote À chaque démarrage, vous devrez choisir entre désinstaller complètement le programme, rechercher une version mise à jour n'utilisant pas WinRing0, ou recourir à l'exclusion (à vos risques et périls) pour éviter ce conflit persistant.

Commentaires à Microsoft et position des développeurs

La modification du traitement de WinRing0 a suscité un malaise considérable parmi les développeurs et les utilisateurs avancés, car Cela a un impact direct sur la quasi-totalité de l'écosystème de surveillance et de contrôle du matériel. des tiers, notamment des projets open source qui utilisent des pilotes de ce type.

Les développeurs d'outils tels que HWiNFO ou Fan Control ont expliqué que Changer les pilotes n'est pas une simple mise à jour mineure.mais cela implique de refaire une grande partie du programme, avec un coût important en temps et en argent, après des années de travail et une réputation bâtie autour de ces outils.

Microsoft a seulement commenté que Ils sont au courant des rapports faisant état de faux positifs. Ils réévaluent la logique de détection afin de l'affiner, mais insistent en même temps sur le fait que les conducteurs non signés ou potentiellement vulnérables continueront d'être traités comme une menace afin de réduire les risques à long terme.

Face à cette situation, un acteur inattendu a fait son apparition : iBuyPower, une entreprise connue pour ses PC de jeu pré-assemblés. Selon son directeur produit, Ils tentent d'obtenir une version mise à jour de WinRing0 signée numériquement par Microsoft.Leur idée est que, s'ils réussissent, ils partageront cette bibliothèque signée avec la communauté des développeurs afin que ceux-ci puissent distribuer des versions de leurs applications avec un pilote validé.

Même si cette version signée arrive, le problème sous-jacent persisterait : WinRing0 conserverait sa conception de base, à savoir un accès très étendu au noyau.Par conséquent, même si un logiciel malveillant parvenait à usurper son identité ou à l'utiliser, cela représenterait toujours un risque. De nombreux experts estiment que la seule solution efficace consiste à migrer vers de nouveaux pilotes conçus de A à Z, avec des limites plus strictes et un modèle de sécurité plus moderne.

Comment envoyer des commentaires et contrôler leur niveau sous Windows

Si vous êtes concerné par ces détections et pensez que Microsoft devrait revoir son approche, vous pouvez Envoyez vos commentaires directement depuis WindowsL'entreprise encourage elle-même l'utilisation des outils intégrés pour signaler les problèmes rencontrés avec Defender et d'autres composants du système.

D’une part, Windows est configuré pour vous demander automatiquement et périodiquement vos commentaires. Si vous souhaitez consulter ou modifier ce paramètre de retour d’information automatique, vous pouvez procéder comme suit :

• Aller à Accueil > Paramètres > Confidentialité et sécurité > Diagnostics et commentaires.
• Dans la section Fréquence des commentaires, assurez-vous que l'option « Automatiquement (recommandé) » est sélectionnée si vous souhaitez que Windows vous demande périodiquement vos commentaires.

D'autre part, vous pouvez également soumettre vos opinions manuellement via le Centre d'opinion (Centre de commentaires) quand vous le souhaitez, sans attendre que le système vous le demande :

• Tapez « Centre de commentaires » dans la zone de recherche de la barre des tâches et ouvrez-le.
• Dans l'application, accédez à la section Commentaires et sélectionnez « Ajouter un nouveau commentaire ».
• Choisissez une catégorie pertinente, par exemple « Sécurité, confidentialité et comptes > Microsoft Defender Antivirus pour Windows ».

Ainsi, votre expérience avec WinRing0, les faux positifs ou les difficultés rencontrées dans la gestion des pilotes légitimes sont enregistrés et peuvent être utilisés par Microsoft. Ajustez vos outils de politique et de détection dans les versions futures, du moins en théorie.

Les paramètres de diagnostic et de retour d'information vous permettent également de contrôler Quelles données sont envoyées à Microsoft ? Et avec quel niveau de détail, ce qui est important si la confidentialité vous préoccupe. Dans cette même section des paramètres, vous pouvez consulter les options disponibles et les ajuster selon vos préférences.

La situation actuelle de WinRing0 est le résultat d'années de compromis entre fonctionnalité et sécurité : Un pilote très utile pour accéder au matériel de bas niveau.Cette vulnérabilité, potentiellement exploitable, est désormais surveillée par Microsoft Defender. Si vous avez reçu une alerte, cela est probablement dû à un logiciel de surveillance, de contrôle des ventilateurs ou un outil RGB que vous avez installé, et non pas nécessairement à un nouveau cheval de Troie agressif. Vous pouvez alors décider de mettre à jour ou de changer de logiciel si possible, d'évaluer s'il est préférable de conserver WinRing0 en l'excluant et en acceptant le risque, ou de le supprimer afin de renforcer la sécurité de votre ordinateur.