Файл lock в Windows Defender

**Microman** · 11.03.2021, 00:25

Здравствуйте. Недавно обнаружил файл IMpService77BDAF73-B396-481F-9042-AD358843EC24.lock в папке Windows Defender, которого там явно быть не должно. Файл не удаляется ни в безопасном режиме ни Unlockeroм. Что этот файл из себя представляет и возможно ли его удалить?
Прилагаю логи

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 11.03.2021, 00:26

Уважаемый(ая) Microman, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Sandor** · 11.03.2021, 10:26

Здравствуйте!

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям.

После перезагрузки системы соберите новый CollectionLog Автологером.

**Microman** · 11.03.2021, 15:46

Всё сделал по инструкции, выключил Windows Defender, запустил программу и выполнил перезагрузку. Но при повторном включении Windows Defender файл снова появился.
Прилагаю новые логи

**Sandor** · 11.03.2021, 16:08

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

DriverPack Solution Updater
Unity Web Player

Затем:

Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
Прикрепите отчет к своему следующему сообщению.

**Microman** · 11.03.2021, 16:54

При удалении программ появляется сообщение "Не удается найти файл. Проверьте, правильно ли указано имя и повторите попытку".
Прикрепляю отчет

**Sandor** · 11.03.2021, 16:58

Значит удалите принудительно через Geek Uninstaller

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

**Microman** · 11.03.2021, 17:26

Удалил принудительно.
Прикрепляю отчеты

**Sandor** · 11.03.2021, 17:39

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код:

Start::
SystemRestore: On
CreateRestorePoint:
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
File: C:\Users\1\Documents\IMpService77BDAF73-B396-481F-9042-AD358843EC24.lock
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [926]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [926]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [926]
AlternateDataStreams: C:\Users\1\Application Data:NT [40]
AlternateDataStreams: C:\Users\1\Application Data:NT2 [926]
AlternateDataStreams: C:\Users\1\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\1\AppData\Roaming:NT2 [926]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [926]
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

**Microman** · 11.03.2021, 18:36

В документах файла lock не обнаружено, я изменил путь на C:\ProgramData\Microsoft\Windows Defender\IMpService77BDAF73-B396-481F-9042-AD358843EC24.lock. При отключенном антивирусе от не обнаруживается, а при включенном сообщается что файл используется.
Прилагаю лог

**Sandor** · 12.03.2021, 09:05

Нет-нет, зачем же вы так делаете?
Менять скрипт не нужно было. И выполнять его нужно было только один раз, а не четыре.

Сообщение от Microman

При отключенном антивирусе от не обнаруживается, а при включенном сообщается что файл используется.

То есть, вы заходите в эту папку (кстати, в какую?) и видите (или не видите) этот файл, так?

**Microman** · 12.03.2021, 11:08

Файл IMpService77BDAF73-B396-481F-9042-AD358843EC24.lock находится в C:\ProgramData\Microsoft\Windows Defender который нужно удалить. В папке "документы" был только текстовой файл с таким же именем. Но в C:\ProgramData\Microsoft\Windows Defender он так и остался. Я уже говорил что файл lock исчезает при отключении антивируса и появляется при включении и его не получается удалить. Он всегда занят и используется службой антивирусной программы Microsoft Defender.
Я выполнил скрипт который был указан изначально.

**Sandor** · 12.03.2021, 11:20

Какой размер у этого файла?

**Microman** · 12.03.2021, 13:14

0 кб.

**Sandor** · 12.03.2021, 13:29

Соответственно никакого вреда он принести не может. Оставьте его в покое.

1.

Пожалуйста, запустите adwcleaner.exe
В меню Параметры прокрутите вниз и выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

**Microman** · 12.03.2021, 14:38

Я читал про этот файл что он может быть меткой для блокировки антивируса и его настроек.
Сделал указанное.
Прикрепляю лог

**Sandor** · 12.03.2021, 14:46

Блокировку вызывало то, что мы очистили/исправили с помощью AVbr в самом начале.

Закрывайте уязвимые места:
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.5.2 v.4.5.51209 Внимание! Скачать обновления
Microsoft OneDrive v.21.016.0124.0003 Внимание! Скачать обновления
Microsoft Office Enterprise 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Home and Student 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office 2007 Service Pack 3 (SP3) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Python 2.7.6 v.2.7.6150 Внимание! Скачать обновления
Microsoft .NET Framework 1.1 v.1.1.4322 Данная программа больше не поддерживается разработчиком.
------------------------------- [ Imaging ] -------------------------------
paint.net v.4.2.10 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45852 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 101 v.8.0.1010.13 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u281-windows-i586.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 21 NPAPI v.21.0.0.213 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Shockwave Player 12.1 v.12.1.6.156 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
swMSM v.12.0.0.1 << Скрыта Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Acrobat Reader DC - Russian v.17.012.20098 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^

Читайте Советы и рекомендации после лечения компьютера.