Kltdi sys что за драйвер

Обновлено: 04.07.2024

Нужна помощь. Подозрение на руткит.

Нужна помощь в излечении компьютера.

А всё началось вот как. Давно, уже где-то год или больше пропала возможность делать chkdsk на диске C. Там, вместо синего экрана chkdsk теперь чёрный с белыми буквами экран, на котором chkdsk пишет, что её нельзя сделать. Но, до начала декабря этого года странностей больше чем это не было.
А в начале декабря (конце ноября) этого года случилось вот что. Я лазил через браузер Opera Next в интернете и, в какой-то момент, открылась новая вкладка, там что-то загрузилось что-ли, мелькнуло какое-то окошко прямо рядом со вкладкой. Или не мелькнуло))) Я так запомнил. Я не стал особо заморачиваться, тянуться закрыть её, а надо было. Затем, примерно через пару дней Антивирус Касперского начал что-то фиксировать, а именно что программа AdMuncher попыталась сделать что-то нехорошее:

not-a-virus:HEUR:AdWare.Script.Generic - так Каспер это назвал.

04.12.2016 22.11.38;Обнаружена вредоносная программа;PDM:Trojan.Win32.Generic;Skype;globalroo t\device\fancyrdrawport0target0\totalcmd\utils\sky pe\phone\skype.exe;12/04/2016 22:11:38

04.12.2016 22.11.44;Завершена активность вредоносной программы;PDM:Trojan.Win32.Generic;Skype;\\?\GLOBA LROOT\Device\FancyRdRawPort0Target0\totalcmd\UTILS \Skype\Phone\Skype.exe;12/04/2016 22:11:44

04.12.2016 22.11.49;Удалена вредоносная программа;PDM:Trojan.Win32.Generic;Skype;globalroo t\device\fancyrdrawport0target0\totalcmd\utils\sky pe\phone\skype.exe;12/04/2016 22:11:49

04.12.2016 22.13.41;Файл удален при откате действий вредоносной программы;c:\users\hedin\appdata\local\microsoft\w indows\temporary internet files\content.ie5\2f489j0w\jquery-1.11.0.min[1].js;c:\users\hedin\appdata\local\microsoft\windows \temporary internet files\content.ie5\2f489j0w\jquery-1.11.0.min[1].js;Skype;globalroot\device\fancyrdrawport0target0 \totalcmd\utils\skype\phone\skype.exe;12/04/2016 22:13:41

04.12.2016 22.13.41;Файл восстановлен при откате действий вредоносной программы;\\?\globalroot\device\fancyrdrawport0tar get0\totalcmd\utils\skype\phone\data\rakot.007\qik db\qik_main.db-journal;\\?\globalroot\device\fancyrdrawport0targe t0\totalcmd\utils\skype\phone\data\rakot.007\qikdb \qik_main.db-journal;Skype;globalroot\device\fancyrdrawport0tar get0\totalcmd\utils\skype\phone\skype.exe;12/04/2016 22:13:41

04.12.2016 22.13.41;Выполнен откат действий вредоносной программы;PDM:Trojan.Win32.Generic;Skype;globalroo t\device\fancyrdrawport0target0\totalcmd\utils\sky pe\phone\skype.exe;12/04/2016 22:13:41

В таком духе, а потом вот что:

04.12.2016 22.31.34;Обнаружена вредоносная программа;PDM:Trojan.Win32.Generic;Skype;globalroo t\device\fancyrdrawport0target0\totalcmd\utils\sky pe\phone\skype.exe;12/04/2016 22:31:34

И далее, так же, удалена, обезврежена, выполнен откат.

Далее Каспер заподозрил, что TOTALCMD.EXE делает что-то такое, что явно указывает, что это какая-то вредоносная программа. И предложил лечить либо без перезагрузки, либо с перезагрузкой. Не помню что я там нажал и нажал ли вообще.
Не помню, потому что далее я использовал программу GMER и словил синие экраны (BSODы). А программа GMER написала мне на экране кучу всяких строк, что толи радоваться теперь, толи горевать, я не знаю.
Самое интересное как я думаю в этом логе вот это:

SSDT \SystemRoot\system32\DRIVERS\klhk.sys
.text ntkrnlpa.exe!ZwRollbackEnlistment + 142D 83655A15 1 Byte [06]
.text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 8368F212 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, . ]
.text ntkrnlpa.exe!KeRemoveQueueEx + 116F 83696504 4 Bytes [60, C0, B1, 92]
.text ntkrnlpa.exe!KeRemoveQueueEx + 11F7 8369658C 4 Bytes [00, C0, B1, 92]
.text ntkrnlpa.exe!KeRemoveQueueEx + 11FF 83696594 12 Bytes [30, C1, B1, 92, B0, C0, B1, . ]
.text ntkrnlpa.exe!KeRemoveQueueEx + 1253 836965E8 4 Bytes [70, C1, B1, 92]
.text ntkrnlpa.exe!KeRemoveQueueEx + 1263 836965F8 4 Bytes [00, C1, B1, 92]
.text .
? C:\Temp\gkernel.sys

И ещё куча моих программ, память которых, как я понял заражена пока они запущены. Сами эти файлы, если их проверить на Virustotal ничем не примечательны, т.е. ничего не детектится.

В общем лог GMER'а тоже прилагаю.

После того, как я проделал восстановление правой кнопкой мыши в GMER на этих строках (понажимал Restore Code и Restore SSDT), то система стала работать по другому, а именно тормозила и не реагировала. И начались некоторые процессы, которых раньше не было, а именно:

В папке TEMP начали создаваться файлы. Сначала один и тот же файл с разными именами, текстовый, размером 1,3мб. Назывались эти файлы ioc66E9.tmp и т.п., однотипно. Файл с кодом, похожим на Java и кучей указанных сайтов, среди которых упомянутый otherwaydo.top. Потом, когда я начал более активно бороться с вирусом, папка Temp стала заполняться непрерывно файлами .tmp разного размера. Я посмотрел, а это она копирует разные системные файлы в папку Temp и называет их по типу tmpD41D.tmp. Я не проверил, заражены ли эти файлы или они такие же, как и в папках, откуда они были скопированы… В общем место на диске С закончилось, его там мало у меня вообще, около 1Гб. Я эти файлы поудалял, вроде остановилось. А также, кроме файлов из папки Windows туда попадали файлы Касперского и SpyBot'а, файлы программы Mem Reduct. Их там много она накопировала в папку Temp, около 2-3 тыс .tmp-файлов, пока место на C не закончилось.

Потом ещё одна странность, программа Malwarebytes Anti-Malware стала показывать, что программа AdMuncher пытается как я понял выйти в интернет на адреc pic.su или как-то так, точно не помню. Через гугл это был хостинг картинок, на который зайти я не решился. Такое ощущение, что кто-то шпионит, делает скриншоты и смотрит, что у меня на экране сейчас. Причём, когда это происходило, служба программы Malwarebytes Anti-Malware постоянно вываливалась и запускалась по новой.

Что ещё было. Давно, год или два назад стал вываливаться драйвер видеокарты. А вчера вывалился драйвер 3G-модема. И стала перезапускаться Opera примерно сегодня. Как раз в тот момент, когда решился зарегистрироваться на Вашем сайте и написать просьбу о помощи!

В общем на этом симптомы пока заканчиваются.

Что ещё предпринимал:

Что это за два вопросительных знака? Где это место? Может ли это быть ещё один раздел на моём жёстком диске, который я не вижу? Если да, то как это увидеть? Кстати GMER выдаёт строки:
AttachedDevice\Driver\volmgr \Device\HarddiskVolume1klbackupdisk.sys
AttachedDevice\Driver\volmgr \Device\HarddiskVolume2klbackupdisk.sys
AttachedDevice\Driver\volmgr \Device\HarddiskVolume3klbackupdisk.sys
AttachedDevice\Driver\volmgr \Device\HarddiskVolume4klbackupdisk.sys
AttachedDevice\Driver\volmgr \Device\HarddiskVolume5klbackupdisk.sys
AttachedDevice\Driver\volmgr \Device\HarddiskVolume6klbackupdisk.sys

Но если по ним кликать правой кнопкой мыши, то, хм, ничего там я не увидел для того, чтобы воздействовать на это…

Утилита TDSSKiller, запущенная из-под системы ничего не находит. Даже если поставить ей галку «объекты для проверки – загруженные модули» и перезагрузить компьютер как она просит, чтобы установился драйвер расширенного мониторинга.

Поставил галку "лечить" в AVZ, и прогнал ещё раз, она написала в конце, что перехваченные функции восстановлены и надо перезагрузить комп, т.к. многие программы могут работать после этого лечения некорректно. После перезагрузки AVZ снова нашёл и снова восстановил все эти перехваченные функции и так без конца.

Пробовал программы типа KVRT, Zelmana, HitmanPro, ESET Online Scanner, Reason Core Security, средство удаления вредоносных программ от Майкрософт (KB890830), MB Anti-Malware. Они толком ничего не дали.

Пробовал загрузочные диски:
Kaspersky Rescue Disk – тоже не преуспел. Он кажется (уже не помню) толи досканировав до конца, говорит, что всё чисто, толи закрывается, не окончив сканирование. Проводник в этом загрузочном диске тоже не видит некоторые файлы, толи есть там gkernel.sys в папке Temp, толи его там нет.
Пробовал загрузить компьютер в Безопасном режиме - не получилось, долго висело на какой-то строчке и потом пошла перезагрузка.

Есть ещё файлы, которые я надыбал в окошке «модули пространства ядра» в AVZ. А именно:
C:\Windows\System32\Drivers\dump_diskdump.sys
C:\Windows\System32\Drivers\dump_dumpfve.sys
C:\Windows\System32\Drivers\dump_iaStorA.sys
Эти строки в AVZ не красные и не зелёные. Описания и производителя у них нет. Проводник эти три файла не видит.

Больше пока не знаю, что предпринять, надеюсь на Вашу помощь. Логи работы программы AutoLogger прикрепляю.

Опа! После запуска программы AutoLogger и прогона всех скриптов и всего, что в ней, у меня на диске C:\ освободилось место! Сейчас 3,4Гб, а было около 1Гб. Раньше, около года или больше назад припоминаю, место куда-то пропадало самым мистическим образом. Никакие Ccleaner'ы не могли помочь. Хотелось бы знать, как именно вернулось место и чем оно было занято, вирусами, которые удалились или моими файлами. Которые удалил вирус? Ещё после прогона AutoLogger вроде стала шустрее работать система. Но драйвер gkernel всё равно как написано в программе ProcessHacker стоит и работает.

В нашей базе содержится 1826 разных файлов с именем kltdi.sys . You can also check most distributed file variants with name kltdi.sys. Чаще всего эти файлы принадлежат продукту Kaspersky™ Anti-Virus ®. Наиболее частый разработчик - компания Kaspersky Lab ZAO. Самое частое описание этих файлов - Network filtering component. Совокупная оценка - 5( 5 ) (комментариев: 10 ). Этот файл содержит драйвер. Вы можете найти его в разделе драйверов в System Explorer.

Подробности о наиболее часто используемом файле с именем "kltdi.sys"

Продукт: Kaspersky™ Anti-Virus ® Компания: Kaspersky Lab ZAO Описание: Network filtering component Версия: 1.2.0.10 MD5: 50965746a05fe99565a0fbe0b5bfb666 SHA1: 06824cae496ccf47a38f6fae66f28dbddfd6029c SHA256: 7f1f866d6841dfb88a7f229b0f01f42f46266b192e4ad937e55c13901a7a3b7c Размер: 54104 Папка: C:\Windows\System32\DRIVERS ОС: Windows 7 Частота: Высокая Цифровая подпись: Kaspersky Lab

Проверьте свой ПК с помощью нашей бесплатной программы

Драйвер "kltdi.sys" безопасный или опасный?

Последний новый вариант файла "kltdi.sys" был обнаружен 3163 дн. назад. В нашей базе содержится 12 шт. вариантов файла "kltdi.sys" с окончательной оценкой Безопасный и ноль вариантов с окончательной оценкой Опасный . Окончательные оценки основаны на комментариях, дате обнаружения, частоте инцидентов и результатах антивирусных проверок.

Комментарии пользователей для "kltdi.sys"

Текущим параметрам фильтрации удовлетворяют несколько файлов. Будут показаны комментарии ко всем файлам.

Комментарии ко всем файлам с именем "kltdi.sys"

БЕЗОПАСНЫЙ оценка пользователя loki26 для файла C:\Windows\System32\DRIVERS\kltdi.sys

ОПАСНЫЙ оценка пользователя cg03026 для файла C:\Windows\System32\DRIVERS\kltdi.sys

БЕЗОПАСНЫЙ оценка пользователя MikeOne для файла C:\Windows\System32\DRIVERS\kltdi.sys

Добавить комментарий для "kltdi.sys"

Для добавления комментария требуется дополнительная информация об этом файле. Если вам известны размер, контрольные суммы md5/sha1/sha256 или другие атрибуты файла, который вы хотите прокомментировать, то вы можете воспользоваться расширенным поиском на главной странице .

Если подробности о файле вам неизвестны, вы можете быстро проверить этот файл с помощью нашей бесплатной утилиты. Загрузить System Explorer.

Проверьте свой ПК с помощью нашей бесплатной программы

System Explorer это наша бесплатная, удостоенная наград программа для быстрой проверки всех работающих процессов с помощью нашей базы данных. Эта программа поможет вам держать систему под контролем. Программа действительно бесплатная, без рекламы и дополнительных включений, она доступна в виде установщика и как переносное приложение. Её рекомендуют много пользователей.

Вы можете столкнуться с этой проблемой после успешного обновления до последней версии Windows 10.

Если вы столкнулись с этой ошибкой SYSTEM_SERVICE_EXCEPTION, вы можете попробовать наши рекомендуемые ниже решения в произвольном порядке и посмотреть, поможет ли это решить проблему.

Запустите онлайн-средство устранения неполадок синего экрана
Обновите драйверы сетевой карты
Переименуйте и замените файл Ndu.sys
Откат к предыдущей версии Windows 10
Переключить режим подключения к Интернету
Сбросить Windows 10
Чистая установка Windows 10

Давайте посмотрим на описание процесса, связанного с каждым из перечисленных решений.

Если вы можете войти в систему как обычно, хорошо; в противном случае вам придется загрузиться в безопасном режиме, перейти на экран дополнительных параметров запуска или использовать установочный носитель для загрузки, чтобы выполнить эти инструкции.

1]Запустите онлайн-средство устранения неполадок синего экрана

В некоторых случаях онлайн-средство устранения неполадок синего экрана от Microsoft устраняет ошибки BSOD.

2]Обновите драйверы сетевой карты.

Ndu.sys известен как Драйвер мониторинга использования сетевых данных Windows. Таким образом, вы можете столкнуться с этой ошибкой из-за устаревших или поврежденных драйверов сетевой карты. В этом случае вы можете обновить драйверы вручную через Диспетчер устройств или получить обновления драйверов в разделе «Дополнительные обновления» в Центре обновления Windows. Вы также можете автоматически обновить драйверы или загрузить последнюю версию драйвера с веб-сайта производителя сетевой карты.

3]Переименуйте и замените файл Ndu.sys

В этом месте щелкните правой кнопкой мыши файл Ndu.sys и выберите Переименовать.
Назовите файл Ndu.sys как Ndu.sys1.

Примечание: Если вы не можете изменить имя файла, убедитесь, что вы вошли в систему с учетной записью администратора, или просто измените права, которые у вас есть для этого конкретного файла, на администратора.

Затем снова откройте раздел C :, у которого установлена Windows 10.
Найдите в разделе C: папку Windows.old. В этой папке находится старая версия Windows 10, с которой вы обновились.
Найдите и откройте System32 папку, которая у вас есть в папке Windows.old.
Теперь найдите и дважды щелкните, чтобы открыть папку с драйверами.
Найдите в папке с драйверами файл Ndu.sys.
Щелкните его правой кнопкой мыши и выберите Копировать вариант.
Теперь вставьте его в папку драйверов текущей обновленной установки Windows 10.
Закройте проводник.
Перезагрузите компьютер с Windows 10.

При загрузке проверьте, сохраняется ли ошибка BSOD. Если да, попробуйте следующее решение.

4]Откат к предыдущей версии Windows 10

Это решение требует отката к предыдущей версии Windows 10.

5]Переключить режим подключения к Интернету

Это решение требует, чтобы вы переключили режим подключения к Интернету. Итак, если вы используете режим проводного (Ethernet) подключения для доступа в Интернет на своем компьютере с Windows 10, вы можете переключиться в режим беспроводного подключения или наоборот и посмотреть, сохраняется ли ошибка.

6]Сбросить Windows 10

Это решение требует, чтобы вы сбросили Windows 10 и посмотрите, поможет ли это.

7]Чистая установка Windows 10

На этом этапе, если ни одно из вышеперечисленных решений не помогло устранить ошибку BSOD, скорее всего, это связано с каким-то повреждением системы, которое нельзя решить традиционным способом. В этом случае вы можете сделать резервную копию файлов на внешний USB-накопитель; если вы не можете загрузиться на рабочий стол, используйте Linux Live USB, а затем выполните чистую установку Windows 10.

Когда вы загружаете или перезагружаете устройство с Windows 10, вы можете столкнуться с Klif.sys ошибка синего экрана. Если да, то этот пост призван помочь вам. В этом посте предлагаются наиболее подходящие решения, которые вы можете попробовать решить эту проблему.

Многие пользователи сообщают, что Windows 10 становится очень медленной до появления ошибки, и даже они не могут нормально изменить настройки Kaspersky.

Ошибка может отображаться как префикс:

Если вы столкнулись с этой проблемой, вы можете попробовать наши рекомендуемые решения ниже в произвольном порядке и посмотреть, поможет ли это решить проблему.

Удалить Klif.sys
Удалите программное обеспечение Касперского.
Удалите любое другое стороннее программное обеспечение безопасности.
Перейти с бета-версии на стабильную версию программы Kaspersky
Выполните восстановление системы

Давайте посмотрим на описание процесса, связанного с каждым из перечисленных решений.

1]Удалить Klif.sys

Нажмите Клавиша Windows + R для вызова диалогового окна «Выполнить».
В диалоговом окне «Выполнить» введите или скопируйте и вставьте путь, указанный ниже, и нажмите Enter.

Прокрутите местоположение и найдите Cliff.sys файл и удалите его.
Перезагрузите вашу систему.

Если Klif.sys ошибка синего экрана появляется снова, попробуйте следующее решение.

2]Удалите программу Касперского.

Дважды щелкните на kavremvr.exe для запуска приложения.
Нажмите да в командной строке UAC.
В окне инструментов щелкните на Удалять.

3]Удалите все сторонние программы безопасности.

Это решение требует, чтобы вы удалили со своего компьютера все сторонние антивирусные программы с помощью специального средства удаления антивируса, чтобы удалить все файлы, связанные с вашей антивирусной программой.

4]Переключитесь с бета-версии на стабильную версию Kaspersky.

Если вы используете бета-версию какого-либо программного обеспечения «Лаборатории Касперского», переключитесь на его стабильную версию. Если вы используете стабильную версию Kaspersky в сборках Windows Insider, то тоже может возникнуть эта ошибка.

5]Выполните восстановление системы

Если вы недавно установили программное обеспечение Kaspersky или не знаете, какие изменения могут вызывать ошибку, вы можете выполнить восстановление системы и выбрать точку восстановления перед установкой программного обеспечения.

Читайте также: