Troubleshoot problems with detecting and removing malware

The troubleshooting info in this topic might help you if you’re experiencing any of the following problems when detecting and removing malware with Microsoft Defender Antivirus, Microsoft Security Essentials, or other Microsoft antimalware solutions:

If scans are taking too long or appear to be progressing very slowly, consider the following solutions:

Ensure you have sufficient disk space

Run scans while your PC is idle by closing all other programs

Microsoft Defender Antivirus requires disk space to remove and quarantine malware files. It might be prevented from completely removing a threat if there isn’t enough space on your PC, particularly on your system drive (commonly drive C). See the following to help free up space:

After you’ve freed up some space, update and then run a scan again.

In general, full scans can take a long time if you have a large disk with lots of files. Large files, especially archives such as ZIP files, take longer to scan.

If Microsoft Defender Antivirus continually encounters errors during scans or during malware removal, try the following solutions:

Please provide feedback to us, so we can deliver fixes as fast as possible. By default, Windows automatically collects error information, but describing the error on the Feedback Hub app can help us address the error more efficiently.

Tip: You can quickly launch the Windows Feedback Hub app in Windows 10 by pressing the Windows logo key + F.

Run Windows Update to apply any fixes and ensure you have the latest components.

If Microsoft Defender Antivirus continually encounters errors during updates, try installing the latest protection updates manually.

To detect the latest threats, use a robust antimalware product, like Microsoft Defender Antivirus, which is built into Windows 10 and Windows 8.1. Ensure that critical security features are turned on and that Microsoft Defender Antivirus is fully updated before scanning.

Use Microsoft Defender Antivirus with cloud-based protection

By default, the following advanced features are enabled. If you’ve turned them off, you should enable them for the best protection:

Automatic sample submission

To turn on these features:

Select Start > Settings > Update & Security > Windows Security > Virus & threat protection.

Under Virus & threat protection settings, select Manage settings.

Make sure the settings for Cloud-delivered protection and Automatic sample submission are turned On.

These settings significantly increase the chances of detecting never-before-seen malware and enable the automated creation of new protection updates that help immunize all other computers running Microsoft Defender Antivirus from the newly discovered threats.

Update Microsoft Defender Antivirus before scanning

By default, Microsoft Defender Antivirus updates definitions automatically at least once every day. You can also manually check for updates:

Select Start > Settings > Update & Security > Windows Security > Virus & threat protection.

Under Virus & threat protection updates, select Check for updates.

Under Threat definitions, select Check for updates.

If you continue to encounter suspicious files that are not detected by Microsoft Defender Antivirus, submit the files to Microsoft for analysis.

Even after a malware has been removed, it might come back if you visit the website that hosts it or receive it again by email. Avoid websites that might contain malware, such as sites that provide illegal downloads.

To block threats from malicious websites, use a modern browser like Microsoft Edge, which uses Microsoft Defender SmartScreen to identify sites with poor reputation. Upgrade to the latest version of Windows to benefit from a host of built-in security enhancements.

In some cases, redetection of the same malware is due to an undetected malware component constantly, quietly, reinstalling the detected malware. The malware is typically reinstalled, and redetected, right after you restart your PC. To resolve this, try scanning with Microsoft Defender Offline to catch hidden threats

Scan with Windows Defender Offline

If the same malware keeps infecting your PC, use Windows Defender Offline to look for and remove recurring malware. Microsoft Defender Offline is a scanning tool that works outside of Windows, allowing it to catch and clean infections that hide themselves when Windows is running.

Note: Before initiating a Microsoft Defender Offline scan, make sure you’ve saved your work. Your PC will restart before starting the scan.

To start an offline scan in Windows 10:

Select Start > Settings > Update & Security > Windows Security > Virus & threat protection.

Under Current threats, select Scan options.

Select Windows Defender Offline scan and then select Scan now.

On Windows 8.1 you will need to download Microsoft Defender Offline as a separate tool. For more information, see Help protect my PC with Microsoft Defender Offline.

If malware has caused irreversible changes to your PC, you can try to reset your PC. This might involve restoring data from backup.

Reset, restore, or reinstall your PC

Back up any files and settings you want to keep so that you can restore them later. Windows provides several options on how you can reset or refresh your PC. If you choose to manually reinstall, you will need to prepare installation discs, product keys, and setup files.

Note: Whenever possible, restore your files from backups generated before the infection and stored in an external location, such as OneDrive, which provides regular cloud-based backups with version histories. Backups that are on your PC during an infection might have already been modified by the malware.

See the following articles for more information about reinstalling or recovering Windows:

As soon as you restore your PC, make sure you have the latest software running. The latest versions of software include available fixes of known security issues. This will help ensure your PC is not infected by malware that exploit security vulnerabilities.

See the following articles for more information about updating Microsoft software and third-party applications:

Provide feedback to Microsoft

Microsoft continually works on enhancing the user experience on all current products, including Windows Defender Antivirus. We encourage all customers to make use of the following feedback channels included in Windows 10:

Set Windows to automatically prompt for your feedback. Windows is already configured to automatically prompt for feedback by default. To ensure this feature is turned on, select Start > Settings > Privacy > Diagnostics & feedback. Under Feedback frequency, make sure that Windows is set to ask for your feedback automatically.

Manually send feedback at any time through the Feedback Hub app. To send feedback, type Feedback Hub in the search box on the taskbar, then select it from the list of results to open the app. In the app, select Feedback > Add new feedback. Select Security, Privacy, and Accounts > Windows Defender Antivirus as the category.

Read Diagnostics, feedback, and privacy in Windows 10 for questions about privacy and feedback settings.

Как отключить процесс Antimalware Service Executable, не навредив системе

Порой ПК на базе «Виндовс» нагружают разные системные процессы и службы сторонних утилит. Одним из таких системных процессов может оказаться AntiMalware Service Executable. Что это за компонент «операционки»? Можно ли его благополучно деактивировать и продолжить работу на ПК без сбоев и торможения? Если да, то как это сделать?

Что такое процесс Antimalware Service Executable

Компонент Antimalware Service Executable — важная служба, необходимая для работы «Защитника Виндовс», встроенного антивируса «операционки», который работает по умолчанию. Благодаря этой программе на ПК вовремя обнаруживаются вредоносные программы, коды и файлы, которые способны нанести большой вред системе. «Защитник» может выполнять проверку по просьбе юзера или же самостоятельно — в фоновом режиме. И в том, и в другом случае задействован Antimalware Service Executable.

Antimalware Service Executable — один из процессов стандартного антивируса «Виндовс», поэтому он важен для защиты ПК

Исполняемый физический документ для этого процесса имеет название MsMpEng.exe — находится он, конечно же, в системной папке Windows Defender на том диске, где установлена «операционка».

Процессу Antimalware Service Executable соответствует исполняемый системный файл MsMpEng.exe

Почему этот процесс сильно грузит процессор или ОЗУ и можно ли его отключать

Рассматриваемый компонент может отбирать слишком много ресурсов (ОЗУ, ЦП, память жёсткого диска). При этом страдает весь компьютер и его пользователь: разные окна медленно, а то и вовсе не открываются, система тормозит и зависает, приходится постоянно перезагружать ПК даже с помощью кнопки питания (что не очень хорошо для системы).

Antimalware Service Executable может потреблять слишком много ОЗУ и ЦП

Описанное выше может происходить по следующим причинам:

1. Записи в реестре «Защитника» был повреждены либо имеют ошибки. В этом случае помогут специальные сторонние утилиты для очистки реестра от неправильных ключей. Две популярные программы — CCleaner и Zookware Cleaner. Обе они бесплатные и имеют довольно удобный и простой интерфейс. Также воспользуйтесь встроенной программой для обновления Windows Update Assistant. Его ярлык расположен на «Рабочем столе» либо на системном диске ПК в корневой папке Windows10Upgrade. Запустите файл Windows Update Assistant, чтобы проверить наличие обновлений для системы
2. ПК был подвержен вирусной атаке. Записи в реестре могут повреждены и по этой причине. Процесс Antimalware Service Executable может потреблять много «оперативки» и ЦП из-за того, что «Защитник» пытается обнаружить и обезвредить угрозу в фоновом режиме. Помогите ему — запустите расширенное сканирование и подождите, пока стандартный антивирус найдёт и удалит вредоносное ПО. Можете также воспользоваться сторонним лечащим приложением Dr.Web CureIt!, который способен работать одновременно с основной защитной программой.
3. В «Защитнике» Windows уже запущена проверка. В этом случае необходимо просто дождаться её окончания.

Если она долго не завершается или же такая загруженность у вас наблюдается постоянно во время работы ПК, а очистка реестра не помогает, отключите процесс Antimalware Service Executable. В «Диспетчере задач» вы не сможете этого сделать, так как «операционка» откажет вам в доступе к этому процессу. Деактивировать вам придётся весь «Защитник Windows» сразу, чтоб отключить рассматриваемый процесс.

В «Диспетчере задач» вы не сможете отключить процесс Antimalware Service Executable

Сама компания Microsoft не рекомендует деактивировать процесс, но всё же это сделать можно. Важное условие для отключения процесса Antimalware Service Executable — предварительная или же последующая срочная установка стороннего антивирусного ПО. Например, вы можете инсталлировать на ПК «Касперский», Avast, ESET NOD32, AVG, Avira или другие. Сторонние вирусы, кстати, потребляют меньше системных ресурсов, чем стандартный «Защитник».

Выберите один из сторонних вирусов и скачайте его на ПК

Если у вас уже ранее был установлен сторонний антивирус, который был сразу переведён в пассивный режим работы, так как главным антивирусом был «Защитник», а два антивируса не могут одновременно качественно работать на одном девайсе, просто активируйте стороннюю программу. Приложение будет работать на компьютере вместо стандартного антивируса. В любом случае ПК нуждается в защите — без антивируса он будет сильно уязвим и даже защитные опции браузеров не помогут.

На ПК должен всегда работать антивирус — встроенный или сторонний

Альтернативный метод решения проблемы — определение периода времени, в течение которого может работать «Защитник Windows» через «Планировщик заданий».

Как отключить Antimalware Service Executable через «Планировщик заданий»

С деактивацией процесса может помочь классическое приложение «Виндовс» под названием «Планировщик заданий», в котором можно создавать расписание для установленных на ПК программ:

1. Самый простой и быстрый способ открыть «Планировщик заданий» — запрос на панели «Поиск Windows» (вызывается кликом по иконке в виде лупы). Просто начинаем вводить первое слово — вы сразу увидите в результате нужную встроенную программу. Введите «планировщик» в «Поиске Windows»
2. Есть и другой путь к «Планировщику заданий», но более длинный: нажимаем на кнопки R и Win одновременно, чтобы вызвать на дисплее окошко «Выполнить». Печатаем в свободном поле слово control и кликаем по ОК. Таким образом мы откроем «Панель управления». Напишите слово control в поле «Открыть»
3. Запускаем раздел «Администрирование» (для удобства поиска устанавливаем режим показа «Крупные значки» в правом верхнем углу панели). Откройте на «Панели управления» раздел «Администрирование»
4. В «Проводнике» ищем в списке планировщик и открываем его двойным щелчком. Отыщите и запустите «Планировщик заданий»
5. В первой части окна раскрываем библиотеку, а затем каталоги Microsoft и Windows. Откройте папку Microsoft, а затем Windows на левой панели
6. Запускаем папку Windows Defender, посвящённую стандартному антивирусу системы. В средней части окна вы увидите содержимое этой папки — четыре параметра. Запускаем первый двойным кликом. В папке Windows Defender щёлкните два раза по первому пункту на средней панели
7. В диалоговом окне в разделе «Условия» снимаем отметки со всех пунктов — щёлкаем по ОК для сохранения изменений. Повторяем процедуру для трёх оставшихся записей в папке Windows Defender. Во вкладке «Условия» снимите галочки со всех пунктов и сохраните изменения
8. Теперь выделяем каждую запись по очереди и жмём на опцию «Отключить» в третьей части окна. Отключите все компоненты с помощью соответствующей опции на третьей панели
9. Если вы не хотите полностью деактивировать «Защитник Виндовс», создайте расписание, по которому он будет работать, не мешая вам заниматься своими делами на ПК. Открываем также диалоговое окно первой записи. Во вкладке «Триггеры» кликаем по клавише «Создать». Кликните по кнопке «Создать» под пустым полем
10. В новом сером окошке ставим период и частность выполнения задачи — проверки ПК на вирусы. Щёлкаем по ОК и повторяем действия для оставшихся записей в перечне. Установите нужное время и дни для работы «Защитника»
11. Вы можете также задать условный период для работы «Защитника» в той же вкладке «Условия», где мы отключали все пункты. С помощью первого пункта даём системе понять, что защитная программа должна работать только при простое ПК (когда вы на нём ничего не делаете). Вы можете указать, что «Защитник» должен работать только при простое ПК
12. Во вкладке «Общие» можете попробовать установить низкий приоритет для работы процессов «Защитника», в том числе и для компонента Antimalware Service Executable. Снимаем галочку с пункта внизу и кликаем по ОК. Снижаем приоритет работы процессов «Защитника»

Видео: выключаем Antimalware Service Executable через «Планировщик заданий»

Деактивация через «Редактор локальной групповой политики»

Ещё одна полезная утилита для включения тех или иных компонентов «операционки» — «Редактор локальной групповой политики». Рассмотрим, как деактивировать «Защитник» в нём:

1. Снова раскрываем уже знакомое нам окно «Выполнить» через комбинацию R и Win. Чтобы вызвать на экране нужный редактор, пишем или вставляем более сложную команду gpedit.msc — кликаем по ОК для её выполнения. Вставьте и выполните команду gpedit.msc в окне «Выполнить»
2. В окне редактора обращаем внимание сразу на первую панель — щёлкаем быстро два раза по большому разделу «Конфигурация компьютера». В нём раскрываем третий блок под названием «Административные шаблоны». В каталоге «Конфигурация ПК» откройте папку «Административные шаблоны»
3. Теперь открываем последовательно следующие каталоги с различными политиками (задачами): «Компоненты Windows», а затем «Антивирусная утилита «Защитник Windows». Найдите и откройте папку «Антивирусная программа «Защитник Windows»
4. Под перечнем с папками находим вторую политику для выключения стандартного защитного приложения — кликаем по пункту дважды. Раскройте второй пункт для выключения антивируса
5. Ставим отметку слева от значения «Включено». В правой нижней части серого окошка применяем внесённые изменения и кликаем по ОК, чтобы закрыть его. Перезагружаем ПК — антивирус работать перестанет. Задайте значение «Включено» и сохраните изменения

Видео: как отключить «Защитник» полностью в Windows 10

Выключение через «Редактора реестр»

Отключение «Защитника» и, соответственно, процесса Antimalware возможно за счёт правильного редактирования реестра. Данный способ рекомендуется использовать только уже уверенным юзерам, так как неправильное изменение записей может повлиять на работу ПК. Строго следуйте инструкции:

1. Жмём сразу на R и Win на клавиатуре — на панели со строкой «Открыть» пишем ключ regedit. Теперь щёлкаем по ОК — ждём, когда команда выполнится. В поле «Открыть» вставьте команду regedit и кликните по ОК
2. Система откроет окошко, в котором попросит дать разрешение редактору менять что-либо в «операционке». Разрешаем — кликаем по «Да». Разрешите редактору вносить изменения на ПК
3. В интерфейсе редактора сначала поработаем в левой части с папками — открываем третий раздел HKEY_LOCAL_MACHINE, а в нём пятый каталог SOFTWARE. Откройте папку SOFTWARE в каталоге HKEY_LOCAL_MACHINE
4. После этого запускаем двойным щелчком блок за блоком: Policies — Microsoft — Windows Defender. В каталоге «Защитника» кликаем правой клавишей мышки по любому свободному месту в правой части экрана. Переводим курсор на опцию «Создать», а в контекстном меню кликаем по третьей строке с параметром DWORD. Так мы создадим новую запись в папке Windows Defender. Создайте с помощью контекстного меню параметр DWORD
5. Называем новую запись DisableAntiSpyware. Запускаем её диалоговое окошко двойным щелчком. Назовите новый параметр DisableAntiSpyware
6. В поле для значения ставим единицу — щёлкаем по ОК. В качестве значения поставьте единицу и кликните по ОК
7. Чтобы все изменения вступили в силу, необходимо перезагрузить ПК. После этого проверяем нагрузку на систему.

Провести деактивацию процесса Antimalware Service Executable, когда он постоянно отнимает много ресурсов у системы, можно, но только в том случае, если у вас будет стоять сторонний антивирус, который будет выполнять защитные функции вместо стандартной программы «Виндовс». Отключить отдельно процесс нельзя — возможна только деактивация «Защитника» в целом. Выполнить её можно через «Редактор реестра», «Редактор локальной групповой политики», а также в «Планировщике заданий».