Impservice77bdaf73 b396 481f 9042 ad358843ec24 lock что это
This forum has migrated to Microsoft Q&A. Visit Microsoft Q&A to post new questions.
Answered by:
Question
I have a small domain with multiple Win10 Enterprise machines and one Win10 Pro machine. WSUS is running on the single domain controller and distributes most updates, but I’ve set group policy to tell the clients to get Windows Defender updates first from Microsoft, then from WSUS.
All Win10 machines get into a state where they stop downloading updates. Sometimes the UI shows one or more updates «Pending download»; other times it shows failure. This becomes evident first when Windows Defender gets out of date.
If I restart the Win10 machine, updates complete immediately, but they soon get stuck again.
I’ve run the Windows Update Troubleshooter as well as manually resetting the Windows Update store. It doesn’t solve it.
Win7 machines on the network have no update issues.
The common I’ll post some sections from the extracted Windows Update log. The common issue, whether pulling from Microsoft or WSUS, seems to be the «transient errors» when downloading.
Файл lock в Windows Defender (заявка № 226534)
Опции темы
Здравствуйте. Недавно обнаружил файл IMpService77BDAF73-B396-481F-9042-AD358843EC24.lock в папке Windows Defender, которого там явно быть не должно. Файл не удаляется ни в безопасном режиме ни Unlockeroм. Что этот файл из себя представляет и возможно ли его удалить?
Прилагаю логи
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Microman, спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям.
После перезагрузки системы соберите новый CollectionLog Автологером.
Всё сделал по инструкции, выключил Windows Defender, запустил программу и выполнил перезагрузку. Но при повторном включении Windows Defender файл снова появился.
Прилагаю новые логи
При удалении программ появляется сообщение «Не удается найти файл. Проверьте, правильно ли указано имя и повторите попытку».
Прикрепляю отчет
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Удалил принудительно.
Прикрепляю отчеты
В документах файла lock не обнаружено, я изменил путь на C:\ProgramData\Microsoft\Windows Defender\IMpService77BDAF73-B396-481F-9042-AD358843EC24.lock. При отключенном антивирусе от не обнаруживается, а при включенном сообщается что файл используется.
Прилагаю лог
Нет-нет, зачем же вы так делаете?
Менять скрипт не нужно было. И выполнять его нужно было только один раз, а не четыре.
То есть, вы заходите в эту папку (кстати, в какую?) и видите (или не видите) этот файл, так?
Файл IMpService77BDAF73-B396-481F-9042-AD358843EC24.lock находится в C:\ProgramData\Microsoft\Windows Defender который нужно удалить. В папке «документы» был только текстовой файл с таким же именем. Но в C:\ProgramData\Microsoft\Windows Defender он так и остался. Я уже говорил что файл lock исчезает при отключении антивируса и появляется при включении и его не получается удалить. Он всегда занят и используется службой антивирусной программы Microsoft Defender.
Я выполнил скрипт который был указан изначально.
Соответственно никакого вреда он принести не может. Оставьте его в покое.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
Я читал про этот файл что он может быть меткой для блокировки антивируса и его настроек.
Сделал указанное.
Прикрепляю лог
Блокировку вызывало то, что мы очистили/исправили с помощью AVbr в самом начале.
Троян использует «режим Бога» Windows, чтобы спрятаться в системе
Как известно, в операционной системе Windows Vista, 7, 8 и 10 есть своеобразная пасхалка — GodMode (режим Бога). Начиная с версии Vista можно создать папку со специфическим именем, которая перенаправляет на настройки Windows или служебные папки, такие как «Панель управления», «Компьютер», «Принтеры» и проч.
Например, если создать на рабочем столе папку с названием GodMode. (вместо GodMode можно указать любые символы), то внутри будут отображаться все настройки, в том числе и те, которые не включены в меню «Панели управления» или «Параметры»: скриншот.
Очень удобная фича для управления настройками в системе и для системного администрирования.
К сожалению, режим Бога используют не только сисадмины, но и авторы вирусов.
Специалисты из антивирусной компании McAfee Labs рассказывают о трояне Dynamer, который использует режим Бога, чтобы скрыться от обнаружения в системе.
Dynamer при установке записывает свои файлы в одну из таких папок внутри %AppData%. В реестре создаётся ключ, который сохраняется после перезагрузки, запуская каждый раз бинарник зловреда.
Таким образом, исполняемый файл нормально запускается по команде из реестра, но вручную зайти в эту папку нельзя: как указано в списке выше, папка <241D7C96-F8BF-4F85-B01F-E2B043341A4B>работает как ярлык на настройки «Подключение к компьютерам и программам на рабочем месте» (RemoteApp and Desktop Connections).
Вот содержимое папки, если открыть её в проводнике.
Более того, авторы трояна добавили к названию папки «com4.», так что Windows считает папку аппаратным устройством. Проводник Windows не может удалить папку с таким названием.
Аналогично, удаление невозможно из консоли.
Нормальные антивирусы обходят этот трюк вирусописателей. Чтобы удалить папку вручную, нужно запустить из консоли следующую команду.
Троян Dynamer впервые обнаружен несколько лет назад, но Microsoft до сих пор считает его «серьёзной угрозой» для пользователей Windows.
Список имён папок (GUID) в режиме Бога для быстрого доступа к отдельным настройкам Windows
Идентификатор корреляции SharePoint в сообщениях об ошибке: что это такое и для чего он используется
Примечание: Мы стараемся как можно оперативнее обеспечивать вас актуальными справочными материалами на вашем языке. Эта страница переведена автоматически, поэтому ее текст может содержать неточности и грамматические ошибки. Для нас важно, чтобы эта статья была вам полезна. Просим вас уделить пару секунд и сообщить, помогла ли она вам, с помощью кнопок внизу страницы. Для удобства также приводим ссылку на оригинал (на английском языке).
Если у вас возникают проблемы с общедоступным веб-сайтом или опросом, электронной почтой или другим приложением, позвоните в компанию, которой принадлежит веб-сайт. Обычно контактные данные можно найти в нижней части страницы или в разделе «О нас» либо «Контакты».
Если ошибки возникают на веб-сайте организации, обратитесь к человеку, который им управляет. Чаще всего подобные проблемы может устранить только веб-мастер (администратор SharePoint) или другой специалист компании.
Что такое идентификатор корреляции?
Идентификатор корреляции не является номером ошибки или кодом. Просто это GUID (глобальный уникальный идентификатор), который автоматически создается для каждого запроса, который получает сервер SharePoint. Они уникальны для каждого запроса, а не для каждой ошибки. Однако при возникновении ошибки сообщение об ошибке содержит идентификатор корреляции, который был действителен для запроса.
Идентификатор корреляции помогает администратору SharePoint определить, что происходило во время ошибки. Он полезен только для выявления ошибки. Идентификатор корреляции позволяет найти предыдущие запросы или процессы в журнале ULS SharePoint, чтобы выяснить, что вызвало проблему и привело к ней. Если возникает ошибка SharePoint, которую не удается определить, регистрируется сообщение «Произошла непредвиденная ошибка», в которое включается идентификатор корреляции. Идентификатор корреляции позволяет узнать, что произошло, но не указывает это.
Идентификатор корреляции есть как у сбойных, так и у успешных запросов. Он уникален для каждого нового запроса и действует только во время его выполнения. Он не похож на ошибки Windows, для которых выдается номер 80xxxxxx, точно определяющий проблему. Нет смысла искать определенный идентификатор корреляции Интернете, так как он уникален для вашего сервера и данного момента времени.
Тем не менее идентификатор корреляции полезен для трассировки процесса. Все действия, выполняемые SharePoint во время обработки запросов, регистрируются в журнале ULS и группируются по идентификаторам корреляции. Поскольку SharePoint одновременно обрабатывает тысячи запросов, с помощью идентификатора корреляции можно отфильтровать действия, которые SharePoint выполнял для определенного запроса.
Администраторы могут применять идентификатор корреляции для трассировки ошибок, проблем с производительностью и других неполадок. Используя идентификаторы корреляции запросов, которые вызывают проблемы, можно более глубоко изучить ситуацию. Если ошибка не произошла и сообщение об ошибке не было создано, для просмотра идентификатора корреляции, созданного процессом, можно использовать панель разработчика.
Если вы пользователь, у вас, вероятно, нет доступа к журналам, в которых могут пригодиться идентификаторы корреляции. Если это так, обратитесь в справочную службу или к администратору. Объясните свою ситуацию и помогите диагностировать проблему. При необходимости сообщите идентификатор корреляции, который был указан в сообщении об ошибке.
Если вы ИТ-специалист или администратор, чтобы разобраться в ситуации, вам может потребоваться найти нужный идентификатор корреляции в журнале ULS для времени проблемного события. Возможно, вам придется поискать веб-интерфейс с необходимым идентификатором. Идентификатор корреляции не устранит ошибку, но он поможет выполнить трассировку запроса и выяснить ее причину. Найдя его, вы сможете понять, что произошло до ошибки, какое сообщение об ошибке отобразилось и какие события были инициированы сбоем. Для облегчения поиска необходимого номера и фильтрации запросов можно использовать дополнительные средства, такие как программа ULSViewer. Другие идеи и советы см. в записи блога Ведение журнала и устранение неполадок SharePoint с помощью ULSViewer.
Вот типичный сценарий использования идентификатора корреляции.
Пользователь получает сообщение об ошибке при открытии файла в Excel и сообщает администратору идентификатор корреляции, а также дату и время инцидента.
Найдите каталог журнала и необходимые данные, а затем откройте в Excel этот файл:
Найдите идентификатор корреляции. Вы также можете отфильтровать данные на уровне событий, чтобы понять, что происходит:
Если вы не сможете найти идентификатор корреляции, попробуйте поискать в данных для других веб-серверов, которые использовались во время сбоя.
Вот несколько дополнительных ресурсов для администраторов, которые помогут вам в отладке SharePoint ных ошибок. Помимо этих ссылок, попробуйте искать в Интернете многие сторонние сайты и сообщества, которые предлагают поддержку и средства для работы с SharePoint. Так как SharePoint — платформа, у вас есть сообщество тысяч разработчиков, ИТ-специалистов и пользователей, занимающихся разработкой инструментов, приложений и документации.
Impservice77bdaf73 b396 481f 9042 ad358843ec24 lock что это
This forum has migrated to Microsoft Q&A. Visit Microsoft Q&A to post new questions.
Answered by:
Question
My WSUS installation on my Windows Server 2012 R2 VM has stopped providing updates for Windows 8.1 and Windows 10 PCs within my active directory domain, with updates initiated by the client PCs producing an 8024407 error. These PCs can update directly from Microsoft, but no from the local WSUS. My Windows Server 2012 R2 VMs all receive updates without errors.
I’ve seen a number of posts suggesting deleting and disabling target groups, but that doesn’t seem impact anything. I’ve tried with no groups, new groups, moving the machines into the server group, with no success.
The log file below is of a client PC where I’ve restarted the Windows Update Service, run wuauclt.exe /resetauthorization /detectnow from the command line, and then attempted to initiate windows update from the control panel.
The client PC successfully downloads an update directly from Microsoft, but then fails to get updates from WSUS. Thing were all working ok until the error appear two days ago.
