DOMANDA Winring0x64.sys \ Eliminare driver .sys possibile?

[USBstick]

Volevo sapere se si possono eliminare questi 7 file system. (se non di piu se vedete qualcosa di male in altri) Ma che io sappia non ci dovrebbe essere male in altri.
(che sappia il pen testing si basa su drivers\versioni della scheda ethernet... quindi forse anche quelli relativi a ciò sono da controllare.

Questo WinRing è un file verificato che mi è salatato all'occhio guardando l'autorun64 che ora uso far partire così per divertimento per cercare "cose"... C'è addirittura un sito (malwaretips) che
si butta a capofitto dicendo che è un coin miner.

Spoiler: brevi altri discorsi

Ho controllato e non è così a meno che non vediate usare tutta la CPU e GPU tra task manager e altro ... dal nulla.
Ad ogni modo volevo sapere cosa ne pensate.. pare che sia un file in realtà di un programma RGB forse per delle tastiere con luci... o qualcos altro..

ma prima di andare a toccare file sys in sezione drivers del system 32... beh ci penso 100 volte. (è proprio questo genere di cose che fanno i sistemi che iniettano problemi, ti mettono file che sembrano leciti in zone dove non li devi avere: ho trovato molto utile nelle risposte online, dire dove certi file devono essere...

Fatto sta che ora pare ci siano metodi di inserire i file bacati anche li dove devono stare e non far accorgere o usare false positive come arma a doppio taglio.
Se ne inventeranno sempre una...

Solo loro lo danno come problematico...



ma magari è una roba che si può eliminare?

Post unito automaticamente: 15 Novembre 2023

In realtà fatemi aggiungere: credo siano da eliminare

-i due di PUBG corporation (un'azienda indiana che si fa i cavoli nostri)
ACE BASE
ACE GAME
(2)

-e poi i files di screaming bee inc e virtual cable WDM - tentativi di usare dei sistemi per modificare l'audio visto che volevo creare degli effetti particolari in gioco.
(3)

-e anche xhunter (che è collegato a PUBG) ho notato che era collegato in una ricerca tempo fa.
non giocando piu a PUBG da tempo...
(1)

I primi 2 e gli ultimi 5 nella lista.. in totale 7 file sys(tem?)
La domanda è : si possono prendere e rimuovere?
Qualche esperto\a?

Grazie

 

[sp3ctrum]

Non è un virus, ma un file che lavora a basso livello usato da programmi come Driverbooster, EVGA ecc...
ovviamente potrebbero esserci delle varianti malevoli o falsi positivi

WinRing0x64.sys Windows process - What is it?

WinRing0x64.sys is not essential for Windows 10/11/7 and will often cause problems. Click here to see what WinRing0x64 is doing, and how to remove WinRing0x64.sys.

www.file.net

 

[USBstick]

Non è un virus, ma un file che lavora a basso livello usato da programmi come Driverbooster, EVGA ecc...
ovviamente potrebbero esserci delle varianti malevoli o falsi positivi

WinRing0x64.sys Windows process - What is it?

WinRing0x64.sys is not essential for Windows 10/11/7 and will often cause problems. Click here to see what WinRing0x64 is doing, and how to remove WinRing0x64.sys.

www.file.net

Riguardo a Winring come fare a capirlo?
Noto che la stessa cosa per asusgio o almeno GLCKIO .. si tratta sempre di robe legate a "RGB" o cose simili almeno da ciò che è spiegato in siti che fanno queste spiegazioni a volte con AI typer e completano descrizioni di cataloghi di file in modo robotico... quindi a meno che non leggo cose scritte da umani non posso avere basi solide per capire.

Ok e riguardo agli altri 7 anzi piu di sette perché noto anche GLCKIO2
E anche Asusgio2 e Asusgio3.
Forse quindi sono 10 in totale che eliminerei.. ma potrei fare danni, allora forse si potrebbero eliminare se non tutti almeno quelli di applicazioni che non uso piu?

E poi come fare se una volta deciso quali fare, come eliminare tutto, bisogna solo eliminare il file o anche andare nel registro o altrove? E poi per evitare casini, cosa si potrebbe fare?
Salvare i file in una cartella a parte (copiarli)?
In alcuni casi sono certo che PUBG è il gioco tipo i due ACE e anche l'xhunter1.
Ma anche in altri casi tipo il Virtual cable era un pezzo di un tentativo di installzzione di un voiche changer per motivi spiegati sopra che poi non ho piu seguito perché erano programmi terribili.

Eliminare un file di sistema "di troppo" potrebbe creare casino tipo BSOD (mai avuti) giusto?
O anche tenermi fuori dal pc completamente?

Post unito automaticamente: 15 Novembre 2023

la cosa che mi domando.. a cosa serve quel benedetto Win Ring o come altri.

Certo potrebbe anche essere cessata l'attività malevola in certi casi o potrebbe essere riesumata in futuro se non faccio un format entro un certo tempo... (a meno che non si sia già sparso altrove e torni in altri modi.. come per tutti questo vale, non solo per me).

Ma dico gli altri (gli altri messi in evidenza in questa altra foto) . altri certamente legati a programmi che non uso forse si potrebbero eliminare ??
Pare che asusgio2 e 3 siano riferiti a Armoury Crate, programma che ho rimosso. (così come altri che ho spiegato sopra)
Ma potrebbero essere anche impostazioni delle ventole rimaste li nel sistema a segnare quello che io ho impostato... e quindi rimuovendoli.. magari se ne va il profilo che avevo impostato (che ne so, è una supposizione .. vabbe che posso impostarmelo anche dal bios... in altro modo)

Post unito automaticamente: 15 Novembre 2023

In poche parole la paranoia o la voglia di pulizia può fare danni grossi e fare parecchio male.
Quindi forse conviene lasciarli e accettarli come strascichi di programmi installati in passato, normale che rimangano tracce e se il pc non le elimina, non dovrebbero fare danni.
Forse esistono modi per evitare questo o fare pulizia con programmi adatti a questo forse tipo roba come Unrevo PC o altro?

O magari consigliate altro o semplicemente sto tranquillo avendo il pc davvero molto controllato e non facendo assolutamente minchiate con esso da .. sempre.

 

[USBstick]

Da Malwarebytes ho visto che si può fare una lista di tutti i file system... e poi farli controllare... ma non mi va di iscrivermi a quel sito...
Qui è spiegato come si fa il log in un attimo.

Possible advanced Rootkit/bootkit Infection

Story Spoiler I've had a lot of personal things that have gone on in my life recently that I will not share too much of. Yet some of this seems to coincide with recent events (Or it could be random). I was once friends with some "Hacker/s" years ago whom I met from Skype, who then added me on Fac...

forums.malwarebytes.com

in cmd prompt in modalità amministratore si scrive: dir C:\Windows\system32\drivers > 0 & notepad 0
Quindi ho la lista.
Forse esistono dei programmi per pulire i file sistema .. ma ho notato che in internet quasi il 90% delle cose che vengono scritte riguardo ai file systema è che provocano BSOD, quindi se tocco qualcosa può andarmi "alla meglio" così.
FOrse però alcuni file sistema specifici di alcuni giochi o programmi o robe che non ho si possono eliminare tranquillamente.
Il punto è che "sto eliminando tutto ciò che è relativo a loro"? se elimino il file .sys o rimane altro?
Ecco forse un programma che faccia pulizia di roba vecchai e mi permetta di scegliere manualmente cosa togliere .. può aiutare...

Ma sto cercando forse l'ago nel pagliaio.. non ho problemi, sto cercando problemi

 

[DispatchCode]

Raramente ho visto così tante paranoie, le conto sulle dita di una mano. Superano anche (alcune delle mie)...😜

In primis, se hai così forti dubbi e ti si generano così tanto problemi, formatta. Così non ci pensi più.

Ad ogni modo non è un file malevolo, come fatto notare dal mio collega.

Considera che è un driver, trattandosi di un file SYS. Se sono driver in kernel mode (con più privilegi dei software normali, così come ciò che riguarda componenti del sistema operativo) e fai qualche danno, lo BSOD è sicuro.

Noryiuki non è certamente uno sconosciuto comunque:

Microsoft Most Valuable Professionals

The Microsoft MVP Program connects technical community leaders with Microsoft to promote engagement, advocacy, and knowledge sharing on Microsoft Products & Services.

mvp.microsoft.com

hiyohiyo - Overview

Microsoft MVP (2014/1-). hiyohiyo has 11 repositories available. Follow their code on GitHub.

github.com

Anche perché firmare un driver non è una cosa che si può fare come se nulla fosse.

Se vuoi capire cosa togliere e cosa no, c'è questo tool di Sysinternals, Autoruns https://learn.microsoft.com/en-us/sysinternals/downloads/autoruns

 

[USBstick]

Raramente ho visto così tante paranoie, le conto sulle dita di una mano. Superano anche (alcune delle mie)...😜

In primis, se hai così forti dubbi e ti si generano così tanto problemi, formatta. Così non ci pensi più.

Ad ogni modo non è un file malevolo, come fatto notare dal mio collega.

Considera che è un driver, trattandosi di un file SYS. Se sono driver in kernel mode (con più privilegi dei software normali, così come ciò che riguarda componenti del sistema operativo) e fai qualche danno, lo BSOD è sicuro.

Noryiuki non è certamente uno sconosciuto comunque:

Microsoft Most Valuable Professionals

The Microsoft MVP Program connects technical community leaders with Microsoft to promote engagement, advocacy, and knowledge sharing on Microsoft Products & Services.

mvp.microsoft.com

hiyohiyo - Overview

Microsoft MVP (2014/1-). hiyohiyo has 11 repositories available. Follow their code on GitHub.

github.com

Anche perché firmare un driver non è una cosa che si può fare come se nulla fosse.

Se vuoi capire cosa togliere e cosa no, c'è questo tool di Sysinternals, Autoruns https://learn.microsoft.com/en-us/sysinternals/downloads/autoruns

Grazie!

Non capire qualcosa o avere dubbi è normale.
Io stesso ho parlato piu volte di paranoie. (credo di farmi troppo problemi l'ho detto ovunque su questo discorso: stupidi trojans...)

(alla caccia e al fine di pulire, mi sono lanciato in un lungo processo che ha dato i suoi frutti, solo che non mi fermo mai perché cerco di imparare qualche piccola cosetta ogni volta, ma forse è un male?)
E' proprio tramite l'uso piu volte di autoruns che ho notato drivers di cose vecchie che non uso e che si sono innestati nel sistema.Non voglio toccare quei file per evitare errori critici, però è un peccato che dopo una disinistallazione di un programma questi rimangano installati o presenti nel pc.
Questo non te lo spiega nessuno: non sapevo che rimanessero scartoffie di file di qualsiasi tipo di un prodotto installato.
In questo caso c'era un voice changer, PUBG e relativi anti cheat, altre cose segnalate che piu o meno capisco a cosa si riferiscono.

Lo capite anche voi che suggerire una formattazione semplificando con "sei paranoico\a" è inaccettabile.
Chiunque lo faccia. Si tratta di una spiegazione che non ho mai letto da nessuna parte: se disinistalli un programma i file sys e drivers e altre "scartoffie" rimangono innestati nel sistema e non c'è modo di pulirli (senza potenzialmente fare danni).

Le foto le ho fatte, è chiarissimo a cosa mi riferisco.

https://forum.tomshw.it/attachments/1700077669656-png.468949/

Ripeto è incredibile che certi software di questa gente lascino tracce nel sistema, ma ormai e lo dico da ignorante che rimango, ormai il development è in mano a chiunque, e si potrà dire lo stesso di chi usa il pc, "non sai usarlo" ma se installo un programma e poi lo disinstallo, cosa ho fatto di male per avere dei file system che rimangono dentro?
Immagino non sia un male: al prossimo format, non ci saranno quei file \ drivers immagino.

Nessuna paranoia, sapere non dovrebbe costare nulla.

 

[DispatchCode]

Grazie!

Non capire qualcosa o avere dubbi è normale.
Io stesso ho parlato piu volte di paranoie. (credo di farmi troppo problemi l'ho detto ovunque su questo discorso: stupidi trojans...)

Voler capire e avere dubbi così come essere curiosi è una buonissima cosa, non mi fraintendere. Anzi, è anche bello leggere domande di questo e altri tipi. Ma un conto è porre domande e voler capire, un altro è raccogliere tantissime info "a metà" e dargli già un'interpretazione, che ti porta poi a quella che definivo sopra "farti paranoie". 😁

Anyhow, provo a risponderti.

(alla caccia e al fine di pulire, mi sono lanciato in un lungo processo che ha dato i suoi frutti, solo che non mi fermo mai perché cerco di imparare qualche piccola cosetta ogni volta, ma forse è un male?)
E' proprio tramite l'uso piu volte di autoruns che ho notato drivers di cose vecchie che non uso e che si sono innestati nel sistema.Non voglio toccare quei file per evitare errori critici, però è un peccato che dopo una disinistallazione di un programma questi rimangano installati o presenti nel pc.
Questo non te lo spiega nessuno: non sapevo che rimanessero scartoffie di file di qualsiasi tipo di un prodotto installato.
In questo caso c'era un voice changer, PUBG e relativi anti cheat, altre cose segnalate che piu o meno capisco a cosa si riferiscono.

Si, purtroppo molti software lasciano in giro librerie (le DLL), specie se vengono installate nella directory di sistema.
La gran parte dei software lascerà anche delle configurazioni salvate in AppData (non solo configurazioni, diciamo in generale dati che il programma ha salvato).
Alcune tornano comodo poichè se installi di nuovo quel programma, vengono usate quelle informazioni: per farti un esempio stupido, diciamo che usi un particolare editor di testo, dove configuri il font e la grafica. Questo software potrebbe voler salvare queste scelte, e quando disinstalli il programma, mantenerle senza rimuoverle; quando lo reinstalli avrai quelle configurazioni applicate.,

I file SYS sono più delicati del resto di solito, ma se rimuovi un driver che non è in uso, non è un problema; puoi farlo tramite Autoruns, che probabilmente è lo strumento più comodo: meglio prima creare un punto di ripristino però.

Nel caso delle DLL rischi che più programmi la utilizzino, quindi in tal caso avresti un programma che non si avvia e/o crasha.

Lo capite anche voi che suggerire una formattazione semplificando con "sei paranoico\a" è inaccettabile.
Chiunque lo faccia. Si tratta di una spiegazione che non ho mai letto da nessuna parte: se disinistalli un programma i file sys e drivers e altre "scartoffie" rimangono innestati nel sistema e non c'è modo di pulirli (senza potenzialmente fare danni).

Dipende, non tutti lasciano in giro le loro cose.

Le foto le ho fatte, è chiarissimo a cosa mi riferisco.

https://forum.tomshw.it/attachments/1700077669656-png.468949/

Ripeto è incredibile che certi software di questa gente lascino tracce nel sistema, ma ormai e lo dico da ignorante che rimango, ormai il development è in mano a chiunque, e si potrà dire lo stesso di chi usa il pc, "non sai usarlo" ma se installo un programma e poi lo disinstallo, cosa ho fatto di male per avere dei file system che rimangono dentro?
Immagino non sia un male: al prossimo format, non ci saranno quei file \ drivers immagino.

Nessuna paranoia, sapere non dovrebbe costare nulla.

Concordo, dovrebbero rimuovere ciò che installano. Detto ciò, purtroppo nel mondo del software è anche difficile non commettere errori e non introdurre bug.

In merito a PUBG ne parlano ad esempio anche qui:

https://www.reddit.com/r/BloodHunt/comments/pjof7l/_/hbyx8il

 

[USBstick]

Grazie.
Ho provveduto a documentarmi e ho scoperto che in realtà si possono innestare file exe esattamente identici a quelli veri e si possono mettere anche nella directory di appartenenza, non solo in altre (da cui si potrebbe dedurre non siano quelli ufficiali... insomma si può camuffare tutto).

Si, questo è un altro discorso.
Lo vedevo in un video che parlava di un sito con files exe etc che servono per fare test, per un programma tipo Aurora, dove esistono questi files listati sotto un elenco come living of the land (lol)files e altri per altri sistemi operativi (anche attaccanti linux).

Ovviamente servono per fare test voluti.
In ogni caso la regola che si capisce è CONOSCERE cosa c'è nel pc, sapere (un po' come funziona il meccanismo di verifica di accesso a servizi che alcuni hanno certamente incontrato, e che in una domanda si può riassumere: "sei stato tu?".

Conoscere quindi meglio il sistema operativo mettere dei firewall leggeri, aiuta a capire se chi ha acceso cosa siamo noi, il sistema automatico etc, sapere che impostazioni abbiamo dato all'account etc..

Tutto aiuta a capire, ma ci vuole tempo.
A volte il firewall mi dice che il file non ha signature ad esempio ma si trova in effetti nella stessa directory dove dovrebbe stare.

Ma ripeto, il discorso è che alla fine è sempre meglio sapere se è normale qualcosa si sia attivato in seguito ad una nostra azione.
Sarebbe bello ci fossero guide che indicano come conoscere meglio tutti gli angoli del pc e il vario funzionamento di ciò che c'è nel background, dall'Event Viewer, al funzionamnento di File System 32, ai drivers e file vari, al Reg Edit, alle regole impostate, il Task manager etc... Spiegazioni\guida orientata allo scopo di gestire la sicurezza\trovare intrusi (certo senza dimenticare che ci sono dei programmi che se aggiornati ci aiutano a fare il 90+% del lavoro).

Ritornando al file: ad esempio del redirect-quote che hai cortesemente condiviso
Un user dice:

cursecat

The *.sys drivers stay loaded until reboot. This does not mean they can extract data, since there is no user-mode process anymore to control them.

Drivers are perfectly capable of operating without a usermode service to "control" them. Running drivers can scan files via minifilters, processes can be scanned via callbacks, files can be created and networking can occur all without the need for a usermode service to be running.

 

[DispatchCode]

Ma ripeto, il discorso è che alla fine è sempre meglio sapere se è normale qualcosa si sia attivato in seguito ad una nostra azione.
Sarebbe bello ci fossero guide che indicano come conoscere meglio tutti gli angoli del pc e il vario funzionamento di ciò che c'è nel background, dall'Event Viewer, al funzionamnento di File System 32, ai drivers e file vari, al Reg Edit, alle regole impostate, il Task manager etc... Spiegazioni\guida orientata allo scopo di gestire la sicurezza\trovare intrusi (certo senza dimenticare che ci sono dei programmi che se aggiornati ci aiutano a fare il 90+% del lavoro).

Ritornando al file: ad esempio del redirect-quote che hai cortesemente condiviso
Un user dice:

Bhe, non sono argomenti che si apprendono perchè "arrivano dall'alto". Voglio dire, il modo per imparare queste cose c'è, e anche per andare un pò più in profondità.
Sotto windows probabilmente tra le risorse migliori ci sono i libri Windows internals. Non sono testi base e richiedono conoscenze di altro tipo per essere approcciati meglio; per esempio, aver letto un testo sull'architettura del PC e uno sui sistemi operativi (che di solito sono testi "generici" e non specifici).

Per altre cose c'è la rete: certo, si deve cercare ogni specifico driver, non ci sono molte strade.
Non esistono guide esaustive e che ti consentono di "scoprire gli intrusi nella rete" (o nel PC)... non è esattamente così che funziona.
Una cosa che aiuta è anche saper programmare, specialmente se si hanno competenze a livello più di sistema, come lo sviluppo di driver. 😉 Il testo migliore qui è senz'altro quello di Yosifovich, "Windows kernel programming".

In merito a:

Drivers are perfectly capable of operating without a usermode service to "control" them. Running drivers can scan files via minifilters, processes can be scanned via callbacks, files can be created and networking can occur all without the need for a usermode service to be running.

Si, è così. La gran parte dei driver non ha un'interfaccia esposta e in generale un programma utente con cui interagire.
Per altro anche le applicazioni in "user space" non è detto debbano per forza richiedere l'intervento dell'utente; molti task sono in background.

 

[USBstick]

Grazie, è pazzesco quanto fuori dal controllo del 99.9% delle persone siano le cose che "abbiamo in mano", "in tasca" etc.