What is mpksldrv.sys?
mpksldrv.sys is part of Microsoft Malware Protection and developed by Microsoft Corporation according to the mpksldrv.sys version information.
mpksldrv.sys’s description is «KSLDriver«
mpksldrv.sys is digitally signed by Microsoft Windows.
mpksldrv.sys is usually located in the ‘c:\programdata\microsoft\windows defender\definition updates\<5fec0018-4d22-4b71-973f-1c44278f0f3d>\’ folder.
None of the anti-virus scanners at VirusTotal reports anything malicious about mpksldrv.sys.
If you have additional information about the file, please share it with the FreeFixer users by posting a comment at the bottom of this page.
Vendor and version information [?]
The following is the available information on mpksldrv.sys:
| Property | Value |
|---|---|
| Product name | Microsoft Malware Protection |
| Company name | Microsoft Corporation |
| File description | KSLDriver |
| Internal name | KSLDriver |
| Original filename | KSLDriver.sys |
| Legal copyright | © Microsoft Corporation. All rights reserved. |
| Product version | 1.1.16540.0 |
| File version | 1.1.16540.0 |
Here’s a screenshot of the file properties when displayed by Windows Explorer:
| Product name | Microsoft Malware Protection |
| Company name | Microsoft Corporation |
| File description | KSLDriver |
| Internal name | KSLDriver |
| Original filename | KSLDriver.sys |
| Legal copyright | © Microsoft Corporation. All rights.. |
| Product version | 1.1.16540.0 |
| File version | 1.1.16540.0 |
Digital signatures [?]
mpksldrv.sys has a valid digital signature.
| Property | Value |
|---|---|
| Signer name | Microsoft Windows |
| Certificate issuer name | Microsoft Windows Production PCA 2011 |
| Certificate serial number | 33000002313234cbafa8ab9a4d000000000231 |
VirusTotal report
None of the 73 anti-virus programs at VirusTotal detected the mpksldrv.sys file.
Sandbox Report
The following information was gathered by executing the file inside Cuckoo Sandbox.
Summary
ERROR: Failed to execute process.
Generic
Signatures
Network
Hashes [?]
| Property | Value |
|---|---|
| MD5 | 15745ca06b38006f451c6817fef086db |
| SHA256 | dd83cdf2560426bc0caa0b7210b313d8d0a3a633430a1fba340fae0ce5e3891b |
What will you do with mpksldrv.sys?
To help other users, please let us know what you will do with mpksldrv.sys:
What did other users do?
The poll result listed below shows what users chose to do with mpksldrv.sys. 64% have voted for removal. Based on votes from 42 users.
NOTE: Please do not use this poll as the only source of input to determine what you will do with mpksldrv.sys.
Malware or legitimate?
If you feel that you need more information to determine if your should keep this file or remove it, please read this guide.
And now some shameless self promotion 😉
Hi, my name is Roger Karlsson. I’ve been running this website since 2006. I want to let you know about the FreeFixer program. FreeFixer is a freeware tool that analyzes your system and let you manually identify unwanted programs. Once you’ve identified some malware files, FreeFixer is pretty good at removing them. You can download FreeFixer here. It runs on Windows 2000/XP/2003/2008/2016/2019/Vista/7/8/8.1/10. Supports both 32- and 64-bit Windows.
If you have questions, feedback on FreeFixer or the freefixer.com website, need help analyzing FreeFixer’s scan result or just want to say hello, please contact me. You can find my email address at the contact page.
Comments
Please share with the other users what you think about this file. What does this file do? Is it legitimate or something that your computer is better without? Do you know how it was installed on your system? Did you install it yourself or did it come bundled with some other software? Is it running smoothly or do you get some error message? Any information that will help to document this file is welcome. Thank you for your contributions.
I’m reading all new comments so don’t hesitate to post a question about the file. If I don’t have the answer perhaps another user can help you.
Разбираемся с ошибкой загрузки из-за отсутствующей цифровой подписи драйвера в x64 системе
Если вернуться к предыстории вопроса, то вспомним, что Microsoft приняла решение о том, что в 64-битных системах, начиная с Windows Vista, Windows загружает драйвера в режим ядра только в том случае, если драйвер имеет цифровую подпись. Если же цифровая подпись драйвера отсутствует, то при загрузке системы случается критическая ошибка (зависит от типа драйвера, загрузка которого заблокирована) и появляется экран BSOD. Конкретная ошибка и ее код зависят от конкретного драйвера, который заблокирован в процессе загрузки. Некоторые ошибок прямо на экране BSOD могут указывать на файл неподписанного драйвера.
В моем случае после обновления драйверов на сервере Windows 2008 r2 при обычной загрузки машины появился синий экран смерти с текстом:
STOP: c000021a (fatal System Error)
The initial session process or system process terminated unexpectedly with a status of 0x00000000 (0xc000428 0x00100448). The system has been shut down
Попробуем выяснить что это за ошибка, какой драйвер ее вызывает т определим по драйверу конкретное устройство.
Для декодирования ошибки нам нужен второй параметр (он выделен жирным) — 0xc000428.
Преобразуем hex код ошибки в более удобочитаемую форму. Для этого можно воспользоваться встроенной в Windows утилитой SLUI.EXE или же сопоставить код этой ошибки в файле ntstatus.h, найти который можно в Windows SDK. Воспользуемся первым способом, для чего в командной строке выполним:
Как вы видите на скриншоте, мы убедились в том, что BSOD вызвана невозможностью проверить цифровую подпись драйвера (“Windows cannot verify digital signature for this file”)
В том случае, если в таком режиме сервер загрузиться, мы точно уверены в том, что некий неподписанный модуль или драйвер не позволяет системе нормально загрузиться.
Примечание: если при доступе к логам в этой ветке появляется ошибка “access denied”, создайте на диске c: каталог, предоставив группе Everyone полный доступ. Затем измените путь к файлу ETL на новый каталог, и отключите и заново включите логирование.
В моем случае, в журнале есть событие EventID 3001 с текстом «Code Integrity determined an unsigned kernel module \Device\HarddiskVolume1\Windows\System32\win32k.sys is loaded into the system. Check with the publisher to see if a signed version of the kernel module is available». Вот мы и нашли проблемный драйвер!
Данный драйвер может быть как родным драйвером Microsoft, так и драйвером стороннего разработчика. Удостоверимся, что данный драйвер действительно не имеет цифровой подписи. Для этого нам понадобится утилита от Sysinternals под названием SIGCHECK.EXE (взять ее можно тут http://technet.microsoft.com/en-us/sysinternals/bb897441).
Проверку наличия цифровой подписи выполним командой:
Если подпись отсутствует, то в поле Verified будет указано Unsigned (в противном случае, соответственно Signed).
Перед нами есть два варианта решения проблемы невозможности нормальной загруки системы с неподписанным драйвером:
Как же определить устройство, зная лишь имя sys-файла? Я использую следующую методику (пусть нам нужно определить устройство, драйвер которого имеет имя HpCISSs2.sys):
1) Открываем редактор реестра и поиском по ветке HKEY_LOAL_MACHINE\SYSTEM\ControlSet001 ищем ключ со значением HpCISSs2.sys
2) В моем случае он нашелся в ветке HKEY_LOAL_MACHINE\SYSTEM\ControlSet001\services\HpCISSs2
3) Разворачиваем вложенную ветку с названием ENUM, нас интересует значение ключа 0, в моем случае это PCI\VEN_103C&DEV_3230&SUBSYS_3235103C&REV_01\4&3b416f2c&0&0018
4) Определяем, что производитель устройства имеет ID 103C, а код устройства 3230
5) Далее на сайте указываем в полях Vendor Search и Device Search найденные нами коды.
6) Получаем что искомое нами устройство контроллер жестких дисков HP Smart Array P400 Controller.
Нам осталось лишь найти новую версию драйвера на сайте производителя оборудования (внимательно смотрите для каких версий ОС подходит нужный вам драйвер) и обновить драйвер на компьютере.
Цифровая подпись драйверов. Отключение проверки цифровой подписи
Содержание
Введение
В большинстве случаев драйверы поставляются вместе с Windows, или их можно найти, перейдя в центр обновления Windows на панели управления и проверив наличие обновлений. Если в Windows отсутствует нужный драйвер, то обычно его можно найти на веб-сайте производителя
При подключении к компьютеру нового устройства ОС Windows пытается найти и установить драйвер для этого устройства. Иногда можно увидеть уведомление, что драйвер не подписан, был изменен после подписывания или не может быть установлен ОС Windows. Всегда можно решить, следует ли устанавливать неподписанный или измененный драйвер.
Примечание: 64-разрядные версии ОС Windows блокируют установку драйверов без действительной цифровой подписи (или измененных после ее нанесения). Это сообщение появляется только при попытке установить такой драйвер на 64-разрядную версию Windows. Если при установке драйвера появляются подобные сообщения, посетите веб-сайт изготовителя устройства для получения драйвера устройства с цифровой подписью.
Устанавливать драйвера без цифровой подписи или нет
Невозможно с уверенностью определить, что файл без действительной цифровой подписи получен из указанного источника и не был подделан (возможно, с помощью вируса) после его публикации. Желательно избегать открытия файла, если нет уверенности в достоверности источника и безопасности содержимого файла. Даже действительная цифровая подпись не гарантирует, что содержимое файла является безопасным. На основе удостоверения издателя файла и данных об источнике его загрузки следует решить, можно ли доверять содержимому файла
Выбор действия при установке драйвера
При установке нового драйвера Windows отобразит одно из предупреждений:
К сожалению, не существует надежных источников сведений, которые могут указать, кто опубликовал неподписанный драйвер. Любой может изменить содержимое неподписанного драйвера. Первоначальная версия неподписанного драйвера действительно могла прийти от изготовителя устройства, но если драйвер не подписан, то возможно, что кто-то его изменил. Нет способа узнать, был ли драйвер изменен злоумышленником. В настоящее время большинство изготовителей подписывают созданные ими драйверы перед их реализацией
Следует устанавливать неподписанный драйвер только в том случае, если он получен с лицензионного диска изготовителя.
Отключение проверки цифровой подписи драйвера
Если вы приняли решение отключить проверку цифровой подписи, то это делается так.
В правой половине окна находим Цифровая подпись драйвера устройств. Два раза кликаем или правой клавишей на этом пункте и выбираем Изменить.
В этом окне выбираем пункт Отключить. Применить и ОК. Если выбрать Включить, то дополнительно можно выбрать как системе реагировать на драйвер без цифровой подписи
Конечно выбор всегда за вами, но не так часто приходиться переустановливать драйвера, поэтому лучше лишний раз прочитать предупреждение и подумать, чем потом искать проблему.
What is MpKslDrv?
MpKslDrv.sys is a Windows driver. A driver is a small software program that allows your computer to communicate with hardware or connected devices. This means that a driver has direct access to the internals of the operating system, hardware etc. The free file information forum can help you determine if MpKslDrv.sys is a Windows system file or if it belongs to an application that you can trust.
MpKslDrv.sys file information
The process known as KSLDriver or KSLD belongs to software Microsoft Malware Protection by Microsoft (www.microsoft.com).
Important: Some malware camouflages itself as MpKslDrv.sys. Therefore, you should check the MpKslDrv.sys process on your PC to see if it is a threat. We recommend Security Task Manager for verifying your computer’s security. This was one of the Top Download Picks of The Washington Post and PC World.
Score
User Comments
There are no user opinions yet. Why not be the first to write a short comment?
Best practices for resolving MpKslDrv issues
A clean and tidy computer is the key requirement for avoiding problems with MpKslDrv. This means running a scan for malware, cleaning your hard drive using 1 cleanmgr and 2 sfc /scannow, 3 uninstalling programs that you no longer need, checking for Autostart programs (using 4 msconfig) and enabling Windows’ 5 Automatic Update. Always remember to perform periodic backups, or at least to set restore points.
[FIX] Не удается включить целостность памяти с изоляцией ядра
Интеграция памяти с изоляцией ядра — отличная функция безопасности, но вы можете не включить ее, если драйвер WD препятствует механизму изоляции ядра. Полное сообщение об ошибке:
Не удается включить целостность памяти с изоляцией ядра из-за несовместимого драйвера ‘WDCSAM64_PREWIN8.SYS’
Проблема возникает, когда пользователь пытается включить интеграцию памяти с изоляцией ядра, но терпит неудачу, и когда он просматривает несовместимые драйверы, он обнаруживает, что проблема создана драйвером WD. Проблема не ограничивается конкретным производителем системы, и упоминается следующее сообщение:
wdcsam64_prewin8.sys Дата драйвера: 29.11.2017 Версия драйвера: 1.2.0.0 Опубликованное имя: oem16.inf
Прежде чем переходить к решению для включения изоляции ядра, убедитесь, что виртуализация включена в BIOS вашей системы (возможно, вам придется включить SVM на странице разгона в BIOS, если она доступна).
Решение: удалите проблемный драйвер WD и удалите его из DriverStore.
Проблема может быть результатом поврежденного драйвера вашего запоминающего устройства WD (в основном внешнего). В этом случае удаление поврежденного драйвера может решить проблему.
Если проблема возникла снова, попробуйте удалить все скрытые устройства WD из диспетчера устройств, и, надеюсь, вы сможете без проблем включить изоляцию ядра.
Если проблема все еще существует, вы можете использовать автозапуск, чтобы определить, создает ли какой-либо из элементов автозагрузки проблему. Помните, что после включения изоляции ядра вы сможете использовать устройство WD после переустановки его драйвера.
