17 ответов в этой теме

[ЛСергей]

Сегодня сканер обнаружил Tool.VulnDriver.23 в софте GIGABYTE, 

Mon 05 08 2019  14:26            14,544 WinRing0x64.sys
Wed 04 11 2020  22:16       129,561,472 setup.exe
Софт был на DVD диске, ко мне попал при покупке компьютера. 
Хотел узнать, действительно вирус или ложное срабатывание.

Больше часа пытаюсь выслать на https://my.drweb.ru/home/support/wizard/ эти2 файла, не уходят .

Несколько раз отменял и нажимал "начать заново"
Архивируются плохо, эти 2 файла в архиве получаются 124 метра.

Сделал архив всей папки GIGABYTE и залил на яндекс диск, даже линк не могу отправить 

Другой способ отправить сообщение подскажите, пожалуйста? 

Хотел бы просто узнать, если это ложное срабатывание, могу эти файлы в исключения добавить. 

 

[Alexander007]

Архивируйте файлы и отправь в ЛС , Я сегодня попробую узнать .

[ЛСергей]

Архивируйте файлы и отправь в ЛС , Я сегодня попробую узнать .

Спасибо! С миллионого раза линк на яндекс диск с архивом ушёл на https://my.drweb.ru/home/support/wizard/ 

 

[B.Chugunov]

Не ложное и не вирус. Уязвимый драйвер WinRing0. 

[ЛСергей]

Не ложное и не вирус. Уязвимый драйвер WinRing0. 

Скажите, что я должен с этим сделать? 

Сканер предложил: переместить в карантин неизлечимые";"C:\Program Files (x86)\GIGABYTE\AORUS ENGINE\GvTemp\setup.exe"

WinRing0x64.sys;"Tool.VulnDriver.23";"";""

[Afalin]

Скажите, что я должен с этим сделать?

На Ваше усмотрение. Но этим драйвером злоумышленники действительно пользуются в своих корыстных целях.

Лично я бы такое держал от винды подальше. Как и любой софт от вендоров материнок и прочего железа, кроме непосредственно дров на это железо, когда это действительно необходимо.

[ЛСергей]

 

Скажите, что я должен с этим сделать?

На Ваше усмотрение. Но этим драйвером злоумышленники действительно пользуются в своих корыстных целях.

Лично я бы такое держал от винды подальше. Как и любой софт от вендоров материнок и прочего железа, кроме непосредственно дров на это железо, когда это действительно необходимо.

 

Я правильно понял, что этот драйвер можно удалить и виндоус будет работать?
Сейчас пытался обновить: ошибка, в настоящее время недоступно. Предлагают позднее зайти. 
 

[Alexander007]

Afalin,

WinRing0x64.sys - злоумышленник , часто впихают туда в состав инсталлятора , предназначена для разработки и обхода антивируса в скрытом системе , их цели заработать на майнере .

Сообщение было изменено Alexander007: 08 Июль 2025 - 11:20

[Severnyj]

ЛСергей, можете ознакомиться со статьей. Так как производитель драйвера не спешит его обновлять, некоторые производители по стали обновлять свои продукты, не используя этот драйвер. 

[ЛСергей]

Всем спасибо! Всё прочёл. Нашёл строчку:
WinRing0x64.sys НЕ обязателен для текущей версии AORUS ENGINE при работе с видеокартой. AORUS ENGINE работает с видеокартой через стандартные NVIDIA API, а не через уязвимый драйвер, переименование и даже удаление файла безопасно, по крайней мере для функциональности, связанной с видеокартой. Для проверки ненужности WinRing0x64.sys, отсадить его из это папки C:\Program Files (x86)\GIGABYTE\AORUS ENGINE\ и перезагрузить компьютер. Если после перезагрузки в AORUS ENGINE удаётся изменить скорость вращения вентилятора, значит 100% WinRing0x64.sys можно похоронить с музыкой. 

 

Проверил, вентилятор работает. 

[Shman]

Сегодня Dr Web 12.5 Beta обнаружил заражение Tool.VulnDriver.23 в утилите “Gaming APP” для мать. платы MSI Z170A KRAIT GAMING. Этот установщик у меня на харде лежит с 2020 года, а антивирус на него заругался только сегодня.

Перекачал утилиту с официального сайта, такая же ерунда.

А ещё обнаружено заражение Tool.VulnDriver.25 в файле GPU-Z.dll в приложении Futuremark SystemInfo, который ставиться вместе с 3DMark (куплен в Стиме много лет назад).

И тот же Tool.VulnDriver.25 в файле GPU-Z.dll в софтине TechPowerUp GPU-Z, чего ранее не было никогда.

Как мне к этому всему относиться?

 

Прикрепленные файлы:

•  dwscanner_2025-08-23_07-24-07.png   35,17К   0 Скачано раз
•  dwscanner_2025-08-23_07-48-16.png   32,43К   0 Скачано раз
•  dwscanner_2025-08-23_07-42-32.png   31,79К   0 Скачано раз

[VVS]

Сегодня Dr Web 12.5 Beta обнаружил заражение Tool.VulnDriver.23 в утилите “Gaming APP” для мать. платы MSI Z170A KRAIT GAMING. Этот установщик у меня на харде лежит с 2020 года, а антивирус на него заругался только сегодня.

Перекачал утилиту с официального сайта, такая же ерунда.

А ещё обнаружено заражение Tool.VulnDriver.25 в файле GPU-Z.dll в приложении Futuremark SystemInfo, который ставиться вместе с 3DMark (куплен в Стиме много лет назад).

И тот же Tool.VulnDriver.25 в файле GPU-Z.dll в софтине TechPowerUp GPU-Z, чего ранее не было никогда.

Как мне к этому всему относиться?

Прочитать всё, написанное выше, и принять решение.

[Shman]

Прочитать всё, написанное выше, и принять решение.

По прочитанному понял, что ситуация с GPU-Z это баг (раз никогда такого не было, а теперь реагирует). Как и куда о нём сообщить?

Сообщение было изменено Shman: Сегодня, 10:09

[Shman]

Точнее про GPU-Z.dll, выше ни слова. Похоже это баг.

 

 

 

можете ознакомиться со статьей. Так как производитель драйвера не спешит его обновлять, некоторые производители по стали обновлять свои продукты, не используя этот драйвер.

Прочитал статью. Там речь идет про MS Defender. У меня Defender не ругается на эти файлы (проверил временно удалив Dr Web). Ругается Dr Web.

Сообщение было изменено Shman: Сегодня, 10:17

[Dolmatov]

Дополнительно, к написанному выше.

https://vms.drweb.ru/virus/?i=30304714

 

 

чего ранее не было никогда.

Как мне к этому всему относиться?

 

Как в тому, что ранее хакеры и вирусописатели ранее не использовали этот драйвер, поэтому детального исследования на наличие уязвимости не производилось. Затем было обнаружено подозрительное использование, подтверждённое дальнейшими исследованиями и внесение в список известных угроз.

 

Допустимо привести аналогию с исследованием Windows и других известных ПО. Порой целенаправленно устраиваются мероприятия по поиску уязвимостей. Как в рамках исследований различными специалистами, так и публичные мероприятия с целью взлома/поиска уязвимостей, за найдены уязвимости выплачивают вознаграждения. Не редко находят уязвимости нулевого дня (Day0), которые когда-нибудь могли бы быть найдены хакерами и вирусописателями.

 

Такие уязвимые драйвера не являются сами по себе вредоносными, как и различные скрипты, самораспаковывающиеся архивы. Они могут использоваться как в официальных легальных программах, так и злоумышленниками.

Обычному пользователю такое обнаружение может мало что говорить. Зато системный администратор (подобная должность) сможет вовремя среагировать, чтобы понять есть попытка атаки или запущенна программа с одобрения политикой организации.

[Shman]

Дополнительно, к написанному выше.

https://vms.drweb.ru/virus/?i=30304714

Понятно.. А за что GPU-Z.dll прилетело?

[Alexander007]

 

Дополнительно, к написанному выше.

https://vms.drweb.ru/virus/?i=30304714

Понятно.. А за что GPU-Z.dll прилетело?

 

Драйвер для ОС Windows с низкоуровневым доступом нулевого кольца (WinRing0), который позволяет работать с аппаратным обеспечением и применяется в приложениях для мониторинга состояния компьютеров. Трояны-майнеры часто используют его в своей работе, при этом эксплуатация в нем уязвимостей (например, CVE-2020-14979, CVE-2021-41285 и других) может привести к повышению привилегий.

 

 

 

Это отвечает вместе вшитую майнер , по этому такой детект .

[Dolmatov]

Тут не могу подсказать. В актуальной версии вижу извлечения файла "GPU-Z-v3.sys". Гугл пишет, что ранее был файл "GPU-Z.sys". Не исключено, DLL на самом деле SYS (драйвер), только расширение файла другое. Некоторые разработчики не сильно придают этому внимание, если файл фактически не устанавливается в систему, а подгружается в формате динамической библиотеки.