Comment désactiver temporairement le pilote de filtre en mode noyau dans Windows

  • Article

Cet article explique comment désactiver le pilote de filtre en mode noyau sans supprimer le logiciel correspondant.

S’applique à : Windows Server 2012 R2, Windows 10 (toutes les éditions)
Numéro de la base de connaissances d’origine : 816071

Importante

Cet article contient des informations qui vous montrent comment réduire les paramètres de sécurité ou comment désactiver les fonctionnalités de sécurité sur un ordinateur. Vous pouvez apporter ces modifications pour contourner un problème spécifique. Avant d’apporter ces modifications, nous vous recommandons d’évaluer les risques associés à l’implémentation de cette solution de contournement dans votre environnement particulier. Si vous implémentez cette solution de contournement, prenez toutes les mesures supplémentaires appropriées pour protéger votre système.

Résumé

Vous pouvez désactiver le pilote de filtre lorsque vous résolvez les problèmes suivants :

Désactiver les pilotes de filtre

Lorsque vous résolvez l’un de ces problèmes, vous devez souvent faire plus que simplement arrêter ou désactiver les services associés au logiciel. Même si vous désactivez le composant logiciel, le pilote de filtre est toujours chargé lorsque vous redémarrez l’ordinateur. Vous pouvez être obligé de supprimer un composant logiciel pour trouver la cause d’un problème. Au lieu de supprimer le composant logiciel, vous pouvez arrêter les services appropriés et désactiver les pilotes de filtre correspondants dans le Registre. Par exemple, si vous empêchez un logiciel antivirus d’analyser ou de filtrer des fichiers sur votre ordinateur, vous devez également désactiver les pilotes de filtre correspondants.

Pour désactiver les pilotes de filtre, vous devez d’abord identifier les services tiers et leurs pilotes de filtre correspondants. Après cela, procédez comme suit.

Avertissement

Ce contournement peut rendre votre ordinateur ou réseau plus vulnérable aux attaques provenant d'utilisateurs ou de logiciels (virus, par exemple) malveillants. Nous ne recommandons pas cette solution de contournement, mais nous fournissons ces informations afin que vous puissiez implémenter cette solution de contournement à votre propre discrétion. Son utilisation relève de votre responsabilité.

Importante

Un programme antivirus est conçu pour protéger votre ordinateur contre les virus. Vous ne devez pas télécharger ou ouvrir des fichiers à partir de sources que vous n’avez pas confiance, visiter des sites Web auxquels vous ne faites pas confiance ou ouvrir des pièces jointes de courrier électronique lorsque votre programme antivirus est désactivé.

Pour plus d’informations sur les virus informatiques, consultez Comment prévenir et supprimer les virus et autres programmes malveillants.

  1. Arrêtez tous les services qui appartiennent au package logiciel.

  2. Définissez le type de démarrage sur Désactivé. Pour cela, procédez comme suit :

    1. Cliquez sur Démarrer, sur Panneau de configuration, double-cliquez sur Outils d’administration, puis double-cliquez sur Services.
    2. Dans le volet Détails , cliquez avec le bouton droit sur le service que vous souhaitez configurer, puis cliquez sur Propriétés.
    3. Sous l’onglet Général , cliquez sur Désactivé dans la zone Type de démarrage .

  3. Définissez la clé de Registre Démarrer des pilotes de filtre correspondants sur 0x4. La valeur 0x4 désactive le pilote de filtre. Pour cela, procédez comme suit.

    Importante

    Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le registre avant de le modifier. Vous pouvez alors le restaurer en cas de problème. Pour plus d’informations sur la procédure de sauvegarde et de restauration du Registre, consultez l’article Comment sauvegarder et restaurer le Registre dans Windows.

    1. Démarrez l’Éditeur du Registre.
    2. Créez une sauvegarde de la ruche du Registre HKEY_LOCAL_MACHINE\System.
    3. Recherchez, puis cliquez sur la sous-clé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servicesde Registre .
    4. Cliquez sur l’entrée du pilote de filtre que vous souhaitez désactiver.
    5. Double-cliquez sur le paramètre Démarrer le Registre, puis définissez-le sur la valeur 0x4.

    Remarque

    Cette entrée de Registre a généralement une valeur de 0x3.

  4. Redémarrez l'ordinateur.

La plupart des logiciels antivirus utilisent des pilotes de filtre qui fonctionnent avec un service pour rechercher les virus. Ces pilotes de filtre sont toujours chargés une fois le service désactivé. Ces pilotes de filtre analysent les fichiers à mesure qu’ils sont ouverts et fermés sur un disque dur. À des fins de résolution des problèmes, supprimez temporairement le logiciel antivirus ou contactez le fabricant du logiciel pour déterminer si une version plus récente est disponible.

Exemple de pilotes de filtre

Cette section décrit certains des noms de pilotes de filtre classiques par produit :

Antivirus

  • Inoculan : INO_FLPY et INO_FLTR
  • Norton : SYMEVENT, NAVAP, NAVEN et NAVEX
  • McAfee (NAI) : NaiFiltr et NaiFsRec
  • Trend Micro : Tmfilter.sys et Vsapint.sys

Agent de sauvegarde

  • Agent de sauvegarde pour les fichiers ouverts : Ofant.sys

  • Ouvrez le Gestionnaire de transactions à partir de Veritas BackupExec : Otman.sys (Otman4.sys ou Otman5.sys)

    Remarque

    Soyez prudent si vous désactivez ces pilotes de filtre à l’aide de la méthode décrite dans cet article. Si vous procédez ainsi, vous pouvez recevoir un message d’erreur d’arrêt 0x7b .

    Le message d’erreur stop 0x7b Inaccessible_Boot_Device peut se produire si les clés de Registre suivantes existent et contiennent des références au pilote Otman5 lorsque le pilote Otman5.sys n’existe pas sur le disque dur ou si le pilote est défini sur désactivé.

    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325 -11CE-BFC1-08002BE10318}\UpperFilters

    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A -11D0-BEC7-08002BE2092F}\UpperFilters

      Si vous rencontrez le message d’erreur Stop 0x7b, vous devez sauvegarder ces clés de Registre et supprimer la référence Otman5.

Paramètres du Registre des pilotes

Le tableau suivant répertorie les paramètres valides et leur description pour les paramètres de Registre Start et Type du pilote :

Nom de la valeur Paramètre de valeur Description du paramètre de valeur
Début 0 = SERVICE_BOOT_START Ntldr ou Osloader précharge le pilote afin qu’il soit en mémoire au démarrage de l’ordinateur.

Ces pilotes sont initialisés juste avant les pilotes SERVICE_SYSTEM_START.
Début 1 = SERVICE_SYSTEM_START Le pilote se charge et s’initialise une fois SERVICE_BOOT_START pilotes initialisés.
Début 2 = SERVICE_AUTO_START Service Control Manager (SCM) démarre le pilote ou le service.
Début 3 = SERVICE_DEMAND_START SCM doit démarrer le pilote ou le service à la demande.
Début 4 = SERVICE_DISABLED Le pilote ou le service ne se charge pas ni ne s’initialise.
Type 1 = SERVICE_KERNEL_DRIVER Pilote de périphérique.
Type 2 = SERVICE_FILE_SYSTEM_DRIVER Pilote de système de fichiers en mode noyau.
Type 8 = SERVICE_RECOGNIZER_DRIVER Pilote de module de reconnaissance du système de fichiers.

Exclusion de responsabilité de tiers

Les produits tiers mentionnés dans le présent article sont fabriqués par des sociétés indépendantes de Microsoft. Microsoft exclut toute garantie, implicite ou autre, concernant les performances ou la fiabilité de ces produits.

Collecte de données

Si vous avez besoin de l’aide du support Microsoft, nous vous recommandons de collecter les informations en suivant les étapes mentionnées dans Collecter des informations à l’aide de TSS pour les problèmes liés au déploiement.