Bedrohung: VulnerableDriver:WinNT/Winring0.G

[cyberpirate]

Moin,

hat noch jemand dieses Problem? mit dem Defender erkannt:



Microsoft Defender kennzeichnet WinRing0x64.sys als Hacktool und sorgt damit bei Nutzern von MSI Afterburner, OpenRGB und anderen Überwachungstools für Panik. Doch handelt es sich um eine echte Bedrohung oder nur um einen Fehlalarm? In diesem Video analysieren wir das Problem, untersuchen Reddit-Nutzerberichte und zeigen, wie Sie es beheben können!

Was würdet Ihr machen? zb IMAGE zurück? Oder ignorieren und so weiter laufen lassen und hoffen das es nicht bösartig ist? Oder gleich neu installieren.

Kam soeben direkt rein die Meldung. Hängt wohl mit dem Update zusammen was auch gerade rein kam. Aber dennoch wurde es ja auch schon zuvor gemeldet. Hatte den Gamer PC angemacht zum zocken und jetzt wieder sowas.

Aber dennoch spiele Ich erst mal zur Beruhigung.

MfG

 

[Mojo1987]

Es gibt doch wahrlich genug Threads und Erklärungen im Forum zu dem Thema...

 

[midwed]

Vermutlich ähnliche/gleiche Thematik wie kürzlich.

# Win11 Defender seit heute am Durchdrehen (Thread)
# Aquacomputer Aquasuite plötzlich gefährlich für Defender? (Thread)
# Defender Blockiert Fan Control (Thread)
# Windows Defender meldet 'FanControl' als Quelle von 'Win32/Vigorf.A' Trojaner (Thread)
# unw.

# Rem0o / FanControl.Releases
# Rem0o / FanControl.Releases - Warning
# Microsoft Defender Antiviruswarnung – VulnerableDriver:WinNT/Winring0
# Threats detected: Trojan:Win32/Vigorf.A
# Windows stuft beliebte Tools plötzlich als Bedrohung ein
# Informationen zu Windows Defender Warnung "HackTool:Win32/Winring0" (AquaComputerService.sys)
# LibreHardwareMonitor.sys flagged as trojan:Win32/Vigorf.A on Windows 10
# usw. usf.

 

[till69]

Gamer PC, gleich neu installieren

Genau das ... nicht, dass was bösartiges ein Spiel klaut

 

[Marco01_809]

WinRing0 ist kein Virus, deswegen steht da ja auch "VulnerableDriver", also ein Treiber der eine Sicherheitslücke hat. Du bist also mit nichts infiziert, nur einem größeren Risiko ausgesetzt solange du den Treiber drauf hast. Der wird genutzt von diversen Monitoring-, Overclocking- & ähnlichen Tools.

Genauer gesagt hat der auch keine Sicherheitslücke, sondern IST eine Sicherheitslücke. Programmen direkten Zugriff auf Kernel-Speicher und die Hardware zu geben ist genau der Zweck dieses Treibers. Dadurch wird logischerweise die Sicherheitsbarriere zwischen Programmen und Kernel komplett ausgehebelt, was Viren sich zu Nutze machen können.

Diese Treiber vor die Tür zu setzen war aus Sicht der Sicherheit längst überfällig. Leider ist der Treiber alternativlos für viele Tools: Ein Treiber der die notwendigen Funktionen zum Auslesen von Sensoren, Fan-Control u.s.w. bereitstellt und dabei sicher ist, ist erheblich aufwändiger und neue Treiber müssen mit einem teuren Zertifikat signiert werden. Für viele Hobby-Projekte in dem Bereich ist das sicherlich das Ende wenn sie nicht mehr auf WinRing0 zurückgreifen können.

 

[PC69]

Moin,

hat noch jemand dieses Problem? mit dem Defender erkannt:

Anhang anzeigen 1656222

Microsoft Defender kennzeichnet WinRing0x64.sys als Hacktool und sorgt damit bei Nutzern von MSI Afterburner, OpenRGB und anderen Überwachungstools für Panik. Doch handelt es sich um eine echte Bedrohung oder nur um einen Fehlalarm? In diesem Video analysieren wir das Problem, untersuchen Reddit-Nutzerberichte und zeigen, wie Sie es beheben können!

Was würdet Ihr machen? zb IMAGE zurück? Oder ignorieren und so weiter laufen lassen und hoffen das es nicht bösartig ist? Oder gleich neu installieren.

Kam soeben direkt rein die Meldung. Hängt wohl mit dem Update zusammen was auch gerade rein kam. Aber dennoch wurde es ja auch schon zuvor gemeldet. Hatte den Gamer PC angemacht zum zocken und jetzt wieder sowas.

Aber dennoch spiele Ich erst mal zur Beruhigung.

MfG

Kam bei mir wegen OpenRGB. False positive, in dem Sinne, dass es das mit einer neuen Version nicht mehr gab.

 

[Robo32]

Genauer gesagt hat der auch keine Sicherheitslücke, sondern IST eine Sicherheitslücke.

War auch eine Schnapsidee das überhaupt zuzulassen, trifft aber leider auch auf andere Sachen zu.

 

[Luftgucker]

Hier die lange Geschichte dazu. Ist übrigens vom selben Entwickler wie Crystaldiskmark/info.

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

 

[CoMo]

Nach winring0 googlen dauert zwei Sekunden. Du machst aber lieber einen Thread hier auf. Fühlst du dich einsam und möchtest nur reden? Da gibt es andere Anlaufstellen. Hier verschwendet das nur Zeit von freiwilligen Helfern.

 

[PC295]

Was würdet Ihr machen?

Welches Programm kommt den infrage?
Eventuell gibt es das Programm nicht mehr oder verwendet den Treiber nicht mehr.
Dann kannst du die Datei einfach löschen.

Ansonsten lege eine Ausnahme im Defender fest.
Die Datei ist weder gefährlich, noch gibt es Berichte, dass Sicherheitslücken ausgenutzt werden.

 

[cyberpirate]

Keine Ahnung welches der vielen Programm da in Frage kommt? Eine Ausnahmen kann Ich nicht erstellen. Es wird nur angezeigt das der Vorgang nicht zu Ende geführt werden kann. Und wenn Ich das lese:

Bei Bedarf können Nutzer betroffener Tools natürlich auch im Windows Defender eine Ausnahme hinzufügen und die Warnung vorerst ignorieren. Damit bleibt die Angriffsfläche, die Winring0 bietet, allerdings bestehen. Insofern ist diese Option mit Vorsicht zu genießen

beruhigt mich das auch nicht. Aber warum kommt es erst jetzt bei mir? Wenn doch schon im März erste Meldungen dazu kamen?

Nach winring0 googlen dauert zwei Sekunden. Du machst aber lieber einen Thread hier auf.

Wenn Du geschaut hät5test würdest Du ja sehen das ich gegoogelt habe. Und wenn Du auch geschaut hättest wollte ich Meinungen wie Ihr vorgehen würdet.

Fühlst du dich einsam und möchtest nur reden?

Wenn sicher nicht mit Dir.

Da gibt es andere Anlaufstellen. Hier verschwendet das nur Zeit von freiwilligen Helfern.

Möchtest du nur eine sinnlose Meinung posten? da gibt es ebenfalls andere Anlaufstellen. Anscheinend hast Du ja viel zeit übrig.

Genau das ... nicht, dass was bösartiges ein Spiel klaut

Witzig. Aber darum mache Ich mir keine Sorgen. Denn schließlich werden hier auch Passwortlisten etc geöffnet.

 

[PC295]

Du kannst die Datei erstmal unter Quarantäne lassen und schauen, ob ein Programm wegen der fehlenden Datei meckert.

Aber warum kommt es erst jetzt bei mir?

Es gab zwar im März diese Fundmeldung, wurde aber dann wieder rausgenommen, weil es eben die Nutzer verunsicherte.

 

[isiprimax]

Bei mir hat es heute auch zugeschlagen, ich nutze Fan Control.

 

[BobHB]

@isiprimax Bei mir auch. PBO2.

 

[Turr1caN]

Gleiche Meldung bei mir heute. Lag an OpenRGB. Hab heute die aktuelle Version installiert und bislang keine Warnung mehr erhalten.

 

[TigerNationDE]

EA FC 26 startet auch nicht wenn du das Ding nicht zulässt

Wahrlich eine schöne Zeit mit diesen Kernel Anti-Cheat Tools

 

[Tulol]

Bei mir hat es heute auch zugeschlagen, ich nutze Fan Control.

Habs das Update installiert mit dem "neuen" Treiber, btw ploppte halt ach ein erklärungsfenster auf.

Läuft wieder.

 

[DeeZeeBee]

Danke für Tipp mit openRGB und Fan Control. Habe beides auf die neuesten Releases gebracht.
Beide nutzten WinRing0 und beide nutzen nun PawnIO kernel driver.

Neuer signierter Treiber, der beliebigen Bytecode im Ring 0 ausführen kann.

openRGB

Fan Control

 

[FohlenBoy]

gibt es auch eine aktualisierte Version oder Alternative zum Tool Open Hardware Monitor?

 

[isiprimax]

Bei mir läuft es auch wieder. Fan Control Entwickler hat schnell reagiert.