Revisar registros de sucesos y códigos de error para solucionar problemas del Antivirus de Windows Defender

  • Artículo
  • Tiempo de lectura: 44 minutos

Se aplica a:

Plataformas

  • Windows

Si encuentra un problema con Microsoft Defender Antivirus, puede buscar en las tablas de este tema para encontrar un problema coincidente y una posible solución.

La lista de tablas:

identificadores de eventos Microsoft Defender Antivirus

Microsoft Defender Antivirus registra los identificadores de evento en el registro de eventos de Windows.

Puede ver directamente el registro de eventos o, si tiene una herramienta de administración de eventos e información de seguridad (SIEM) de terceros, también puede usar Microsoft Defender identificadores de eventos de cliente antivirus para revisar eventos y errores específicos de los puntos de conexión.

En la tabla de esta sección se enumeran los principales identificadores de eventos Microsoft Defender Antivirus y, siempre que sea posible, se proporcionan soluciones sugeridas para corregir o resolver el error.

Para ver un evento antivirus de Microsoft Defender

  1. Abra Visor de eventos.
  2. En el árbol de consola, expanda Registros de aplicaciones y servicios, Microsoft, Windows y, a continuación, Windows Defender.
  3. Haga doble clic en Operativo.
  4. En el panel de detalles, vea la lista de eventos individuales para buscar el evento.
  5. Haga clic en el evento para ver detalles específicos sobre un evento en el panel inferior, en las pestañas General y Detalles .
Identificador de evento: 1000
Nombre simbólico: MALWAREPROTECTION_SCAN_STARTED
Mensaje: Se inició un examen antimalware.
Descripción:
Id. de examen: <número de id. del examen correspondiente.>
Tipo de examen: <tipo> de examen, por ejemplo:
  • Antivirus
  • Antiespía
  • Antimalware
Parámetros de examen: <parámetros> de examen, por ejemplo:
  • Examen completo
  • Examen rápido
  • Examen del cliente
Recursos de examen: <recursos (como archivos, directorios o BHO) que se examinaron.>
Usuario: <Dominio>\<Usuario>
Identificador de evento: 1001
Nombre simbólico: MALWAREPROTECTION_SCAN_COMPLETED
Mensaje: Finalizó un examen antimalware.
Descripción:
Id. de examen: <número de id. del examen correspondiente.>
Tipo de examen: <tipo> de examen, por ejemplo:
  • Antivirus
  • Antiespía
  • Antimalware
Parámetros de examen: <parámetros> de examen, por ejemplo:
  • Examen completo
  • Examen rápido
  • Examen del cliente
Usuario: <Dominio>\<Usuario>
Tiempo de examen: <duración de un examen.>
Identificador de evento: 1002
Nombre simbólico: MALWAREPROTECTION_SCAN_CANCELLED
Mensaje: Se detuvo un examen antimalware antes de que finalizara.
Descripción:
Id. de examen: <número de id. del examen correspondiente.>
Tipo de examen: <tipo> de examen, por ejemplo:
  • Antivirus
  • Antiespía
  • Antimalware
Parámetros de examen: <parámetros> de examen, por ejemplo:
  • Examen completo
  • Examen rápido
  • Examen del cliente
Usuario: <Dominio>&lt; Usuario>
Tiempo de examen: <duración de un examen.>
Id. de evento: 1003
Nombre simbólico: MALWAREPROTECTION_SCAN_PAUSED
Mensaje: Se ha pausado un examen antimalware.
Descripción:
Id. de examen: <número de id. del examen correspondiente.>
Tipo de examen: <tipo> de examen, por ejemplo:
  • Antivirus
  • Antiespía
  • Antimalware
Parámetros de examen: <parámetros> de examen, por ejemplo:
  • Examen completo
  • Examen rápido
  • Examen del cliente
Usuario: <Dominio>\<Usuario>
Identificador de evento: 1004
Nombre simbólico: MALWAREPROTECTION_SCAN_RESUMED
Mensaje: Se reanudó un examen antimalware.
Descripción:
Id. de examen: <número de id. del examen correspondiente.>
Tipo de examen: <tipo> de examen, por ejemplo:
  • Antivirus
  • Antiespía
  • Antimalware
Parámetros de examen: <parámetros> de examen, por ejemplo:
  • Examen completo
  • Examen rápido
  • Examen del cliente
Usuario: <Dominio>\<Usuario>
Identificador de evento: 1005
Nombre simbólico: MALWAREPROTECTION_SCAN_FAILED
Mensaje: Error en un examen antimalware.
Descripción:
Id. de examen: <número de id. del examen correspondiente.>
Tipo de examen: <tipo> de examen, por ejemplo:
  • Antivirus
  • Antiespía
  • Antimalware
Parámetros de examen: <parámetros> de examen, por ejemplo:
  • Examen completo
  • Examen rápido
  • Examen del cliente
Usuario: <Dominio>\<Usuario>
Código de error: <código de error Código> de resultado asociado al estado de la amenaza. Valores HRESULT estándar.
Descripción del error: <descripción> del error Descripción del error.
Acción del usuario: El cliente antivirus encontró un error y el examen actual se ha detenido. Es posible que se produzca un error en el examen debido a un problema del lado cliente. Este registro de eventos incluye el identificador de examen, el tipo de examen (Microsoft Defender Antivirus, antispyware, antimalware), los parámetros de examen, el usuario que inició el examen, el código de error y una descripción del error. Para solucionar este evento:
  1. Vuelva a ejecutar el examen.
  2. Si se produce un error de la misma manera, vaya al sitio Soporte técnico de Microsoft y escriba el número de error en el cuadro Buscar para buscar el código de error.
  3. Contactar al Soporte técnico de Microsoft.
Identificador de evento: 1006
Nombre simbólico: MALWAREPROTECTION_MALWARE_DETECTED
Mensaje: El motor antimalware encontró malware u otro software potencialmente no deseado.
Descripción: Para obtener más información, vea los artículos siguientes:
Nombre: <Nombre de la amenaza>
Identificador: Id. <de amenaza>
Gravedad: <gravedad>, por ejemplo:
  • Bajo
  • Moderado
  • Alto
  • Grave
Categoría: <descripción> de la categoría, por ejemplo, cualquier tipo de amenaza o malware.
Ruta de acceso: <ruta de acceso del archivo>
Origen de detección: <origen> de detección, por ejemplo:
  • Unknown
  • Equipo local
  • Recurso compartido de red
  • Internet
  • Tráfico entrante
  • Tráfico saliente
Tipo de detección: <tipo> de detección, por ejemplo:
  • Heurística
  • Generic
  • Concreto
  • Firma dinámica
Origen de detección: <origen> de detección, por ejemplo:
  • Usuario: iniciado por el usuario
  • Sistema: iniciado por el sistema
  • En tiempo real: componente iniciado en tiempo real
  • IOAV: descargas de IE y datos adjuntos de Outlook Express iniciados
  • NIS: sistema de inspección de red
  • IEPROTECT: IE - IExtensionValidation; esto protege contra controles de páginas web malintencionadas
  • Inicio anticipado de Antimalware (ELAM). Esto incluye el malware detectado por la secuencia de arranque.
  • Atestación remota
Interfaz de examen antimalware (AMSI). Se usa principalmente para proteger scripts (PowerShell, VBS), aunque también lo pueden invocar terceros. UAC
Estado: <Estado>
Usuario: <Dominio>\<Usuario>
Nombre del proceso: <proceso en el PID>
Versión de firma: <versión de definición>
Versión del motor: <versión Antimalware Engine>
Identificador de evento: 1007
Nombre simbólico: MALWAREPROTECTION_MALWARE_ACTION_TAKEN
Mensaje: La plataforma antimalware realizó una acción para proteger el sistema contra malware u otro software potencialmente no deseado.
Descripción: Microsoft Defender Antivirus ha tomado medidas para proteger esta máquina contra malware u otro software potencialmente no deseado. Para obtener más información, vea los artículos siguientes:
Usuario: <Dominio>\<Usuario>
Nombre: <Nombre de la amenaza>
Identificador: Id. <de amenaza>
Gravedad: <gravedad>, por ejemplo:
  • Bajo
  • Moderado
  • Alto
  • Grave
Categoría: <descripción> de la categoría, por ejemplo, cualquier tipo de amenaza o malware.
Acción: <acción>, por ejemplo:
  • Limpiar: se ha limpiado el recurso
  • Cuarentena: el recurso se puso en cuarentena
  • Quitar: se eliminó el recurso
  • Permitir: se permitió que el recurso se ejecutara o existiera.
  • Definido por el usuario: acción definida por el usuario que normalmente es una de esta lista de acciones que el usuario ha especificado
  • Sin acción: sin acción
  • Bloquear: se ha bloqueado la ejecución del recurso
Estado: <Estado>
Versión de firma: <versión de definición>
Versión del motor: <versión Antimalware Engine>
Identificador de evento: 1008
Nombre simbólico: MALWAREPROTECTION_MALWARE_ACTION_FAILED
Mensaje: La plataforma antimalware intentó realizar una acción para proteger el sistema contra malware u otro software potencialmente no deseado, pero se produjo un error en la acción.
Descripción: Microsoft Defender Antivirus ha encontrado un error al tomar medidas sobre malware u otro software potencialmente no deseado. Para obtener más información, vea los artículos siguientes:
Usuario: <Dominio>\<Usuario>
Nombre: <Nombre de la amenaza>
Identificador: Id. <de amenaza>
Gravedad: <gravedad>, por ejemplo:
  • Bajo
  • Moderado
  • Alto
  • Grave
Categoría: <descripción> de la categoría, por ejemplo, cualquier tipo de amenaza o malware.
Ruta de acceso: <ruta de acceso del archivo>
Acción: <acción>, por ejemplo:
  • Limpiar: se ha limpiado el recurso
  • Cuarentena: el recurso se puso en cuarentena
  • Quitar: se eliminó el recurso
  • Permitir: se permitió que el recurso se ejecutara o existiera.
  • Definido por el usuario: acción definida por el usuario que normalmente es una de esta lista de acciones que el usuario ha especificado
  • Sin acción: sin acción
  • Bloquear: se ha bloqueado la ejecución del recurso
Código de error: <código de error Código> de resultado asociado al estado de la amenaza. Valores HRESULT estándar.
Descripción del error: <descripción> del error Descripción del error.
Estado: <Estado>
Versión de firma: <versión de definición>
Versión del motor: <versión Antimalware Engine>
Identificador de evento: 1009
Nombre simbólico: MALWAREPROTECTION_QUARANTINE_RESTORE
Mensaje: La plataforma antimalware restauró un elemento de la cuarentena.
Descripción: Microsoft Defender Antivirus ha restaurado un elemento de la cuarentena. Para obtener más información, vea los artículos siguientes:
Nombre: <Nombre de la amenaza>
Identificador: Id. <de amenaza>
Gravedad: <gravedad>, por ejemplo:
  • Bajo
  • Moderado
  • Alto
  • Grave
Categoría: <descripción> de la categoría, por ejemplo, cualquier tipo de amenaza o malware.
Ruta de acceso: <ruta de acceso del archivo>
Usuario: <Dominio>\<Usuario>
Versión de firma: <versión de definición>
Versión del motor: <versión Antimalware Engine>
Identificador de evento: 1010
Nombre simbólico: MALWAREPROTECTION_QUARANTINE_RESTORE_FAILED
Mensaje: La plataforma antimalware no pudo restaurar un elemento de la cuarentena.
Descripción: Microsoft Defender Antivirus ha encontrado un error al intentar restaurar un elemento de la cuarentena. Para obtener más información, vea los artículos siguientes:
Nombre: <Nombre de la amenaza>
Identificador: Id. <de amenaza>
Gravedad: <gravedad>, por ejemplo:
  • Bajo
  • Moderado
  • Alto
  • Grave
Categoría: <descripción> de la categoría, por ejemplo, cualquier tipo de amenaza o malware.
Ruta de acceso: <ruta de acceso del archivo>
Usuario: <Dominio>\<Usuario>
Código de error: <código de error Código> de resultado asociado al estado de la amenaza. Valores HRESULT estándar.
Descripción del error: <descripción> del error Descripción del error.
Versión de firma: <versión de definición>
Versión del motor: <versión Antimalware Engine>
Identificador de evento: 1011
Nombre simbólico: MALWAREPROTECTION_QUARANTINE_DELETE
Mensaje: La plataforma antimalware eliminó un elemento de la cuarentena.
Descripción: Microsoft Defender Antivirus ha eliminado un elemento de la cuarentena.
Para obtener más información, vea los artículos siguientes:
Nombre: <Nombre de la amenaza>
Identificador: Id. <de amenaza>
Gravedad: <gravedad>, por ejemplo:
  • Bajo
  • Moderado
  • Alto
  • Grave
Categoría: <descripción> de la categoría, por ejemplo, cualquier tipo de amenaza o malware.
Ruta de acceso: <ruta de acceso del archivo>
Usuario: <Dominio>\<Usuario>
Versión de firma: <versión de definición>
Versión del motor: <versión Antimalware Engine>
Identificador de evento: 1012
Nombre simbólico: MALWAREPROTECTION_QUARANTINE_DELETE_FAILED
Mensaje: La plataforma antimalware no pudo eliminar un elemento de la cuarentena.
Descripción: Microsoft Defender Antivirus ha encontrado un error al intentar eliminar un elemento de la cuarentena. Para obtener más información, vea los artículos siguientes:
Nombre: <Nombre de la amenaza>
Identificador: Id. <de amenaza>
Gravedad: <gravedad>, por ejemplo:
  • Bajo
  • Moderado
  • Alto
  • Grave
Categoría: <descripción> de la categoría, por ejemplo, cualquier tipo de amenaza o malware.
Ruta de acceso: <ruta de acceso del archivo>
Usuario: <Dominio>\<Usuario>
Código de error: <código de error Código> de resultado asociado al estado de la amenaza. Valores HRESULT estándar.
Descripción del error: <descripción> del error Descripción del error.
Versión de firma: <versión de definición>
Versión del motor: <versión Antimalware Engine>
Identificador de evento: 1013
Nombre simbólico: MALWAREPROTECTION_MALWARE_HISTORY_DELETE
Mensaje: El historial de eliminación de la plataforma antimalware de malware y otro software potencialmente no deseado.
Descripción: Microsoft Defender Antivirus ha eliminado el historial de malware y otro software potencialmente no deseado.
Hora: la hora en que se produjo el evento, por ejemplo, cuando se purga el historial. Este parámetro no se usa en eventos de amenaza para que no haya ninguna confusión con respecto a si es el tiempo de corrección o el tiempo de infección. Para ellos, los llamamos específicamente tiempo de acción o tiempo de detección.
Usuario: <Dominio>\<Usuario>
Identificador de evento: 1014
Nombre simbólico: MALWAREPROTECTION_MALWARE_HISTORY_DELETE_FAILED
Mensaje: La plataforma antimalware no pudo eliminar el historial de malware y otro software potencialmente no deseado.
Descripción: Microsoft Defender Antivirus ha encontrado un error al intentar eliminar el historial de malware y otro software potencialmente no deseado.
Hora: la hora en que se produjo el evento, por ejemplo, cuando se purga el historial. Este parámetro no se usa en eventos de amenaza para que no haya ninguna confusión con respecto a si es el tiempo de corrección o el tiempo de infección. Para ellos, los llamamos específicamente tiempo de acción o tiempo de detección.
Usuario: <Dominio>\<Usuario>
Código de error: <código de error Código> de resultado asociado al estado de la amenaza. Valores HRESULT estándar.
Descripción del error: <descripción> del error Descripción del error.
Identificador de evento: 1015
Nombre simbólico: MALWAREPROTECTION_BEHAVIOR_DETECTED
Mensaje: La plataforma antimalware detectó un comportamiento sospechoso.
Descripción: Microsoft Defender Antivirus ha detectado un comportamiento sospechoso.
Para obtener más información, vea los artículos siguientes:
Nombre: <Nombre de la amenaza>
Identificador: Id. <de amenaza>
Gravedad: <gravedad>, por ejemplo:
  • Bajo
  • Moderado
  • Alto
  • Grave
Categoría: <descripción> de la categoría, por ejemplo, cualquier tipo de amenaza o malware.
Ruta de acceso: <ruta de acceso del archivo>
Origen de detección: <origen> de detección, por ejemplo:
  • Unknown
  • Equipo local
  • Recurso compartido de red
  • Internet
  • Tráfico entrante
  • Tráfico saliente
Tipo de detección: <tipo> de detección, por ejemplo:
  • Heurística
  • Generic
  • Concreto
  • Firma dinámica
Origen de detección: <origen> de detección, por ejemplo:
  • Usuario: iniciado por el usuario
  • Sistema: iniciado por el sistema
  • En tiempo real: componente iniciado en tiempo real
  • IOAV: descargas de IE y datos adjuntos de Outlook Express iniciados
  • NIS: sistema de inspección de red
  • IEPROTECT: IE - IExtensionValidation; esto protege contra controles de páginas web malintencionadas
  • Inicio anticipado de Antimalware (ELAM). Esto incluye el malware detectado por la secuencia de arranque.
  • Atestación remota
Interfaz de examen antimalware (AMSI). Se usa principalmente para proteger scripts (PowerShell, VBS), aunque también lo pueden invocar terceros. UAC
Estado: <Estado>
Usuario: <Dominio>\<Usuario>
Nombre del proceso: <proceso en el PID>
Id. de firma: gravedad de coincidencia de enumeración.
Versión de firma: <versión de definición>
Versión del motor: <versión Antimalware Engine>
Etiqueta de fidelidad:
Nombre de archivo de destino: <nombre> de archivo del archivo.
Identificador de evento: 1116
Nombre simbólico: MALWAREPROTECTION_STATE_MALWARE_DETECTED
Mensaje: La plataforma antimalware detectó malware u otro software potencialmente no deseado.
Descripción: Microsoft Defender Antivirus ha detectado malware u otro software potencialmente no deseado.
Para obtener más información, vea los artículos siguientes:
Nombre: <Nombre de la amenaza>
Identificador: Id. <de amenaza>
Gravedad: <gravedad>, por ejemplo:
  • Bajo
  • Moderado
  • Alto
  • Grave
Categoría: <descripción> de la categoría, por ejemplo, cualquier tipo de amenaza o malware.
Ruta de acceso: <ruta de acceso del archivo>
Origen de detección: <origen> de detección, por ejemplo:
  • Unknown
  • Equipo local
  • Recurso compartido de red
  • Internet
  • Tráfico entrante
  • Tráfico saliente
Tipo de detección: <tipo> de detección, por ejemplo:
  • Heurística
  • Generic
  • Concreto
  • Firma dinámica
Origen de detección: <origen> de detección, por ejemplo:
  • Usuario: iniciado por el usuario
  • Sistema: iniciado por el sistema
  • En tiempo real: componente iniciado en tiempo real
  • IOAV: descargas de IE y datos adjuntos de Outlook Express iniciados
  • NIS: sistema de inspección de red
  • IEPROTECT: IE - IExtensionValidation; esto protege contra controles de páginas web malintencionadas
  • Inicio anticipado de Antimalware (ELAM). Esto incluye el malware detectado por la secuencia de arranque.
  • Atestación remota
Interfaz de examen antimalware (AMSI). Se usa principalmente para proteger scripts (PowerShell, VBS), aunque también lo pueden invocar terceros. UAC
Usuario: <Dominio>\<Usuario>
Nombre del proceso: <proceso en el PID>
Versión de firma: <versión de definición>
Versión del motor: <versión Antimalware Engine>
Acción del usuario: No se requiere ninguna acción. Microsoft Defender Antivirus puede suspender y realizar acciones rutinarias en esta amenaza. Si desea quitar la amenaza manualmente, en la interfaz Microsoft Defender Antivirus, haga clic en Limpiar equipo.
Identificador de evento: 1117
Nombre simbólico: MALWAREPROTECTION_STATE_MALWARE_ACTION_TAKEN
Mensaje: La plataforma antimalware realizó una acción para proteger el sistema contra malware u otro software potencialmente no deseado.
Descripción: Microsoft Defender Antivirus ha tomado medidas para proteger esta máquina contra malware u otro software potencialmente no deseado.
Para obtener más información, vea los artículos siguientes:
Nombre: <Nombre de la amenaza>
Identificador: Id. <de amenaza>
Gravedad: <gravedad>, por ejemplo:
  • Bajo
  • Moderado
  • Alto
  • Grave
Categoría: <descripción> de la categoría, por ejemplo, cualquier tipo de amenaza o malware.
Ruta de acceso: <ruta de acceso del archivo>
Origen de detección: <origen> de detección, por ejemplo:
  • Unknown
  • Equipo local
  • Recurso compartido de red
  • Internet
  • Tráfico entrante
  • Tráfico saliente
Tipo de detección: <tipo> de detección, por ejemplo:
  • Heurística
  • Generic
  • Concreto
  • Firma dinámica
Origen de detección: <origen> de detección, por ejemplo:
  • Usuario: iniciado por el usuario
  • Sistema: iniciado por el sistema
  • En tiempo real: componente iniciado en tiempo real
  • IOAV: descargas de IE y datos adjuntos de Outlook Express iniciados
  • NIS: sistema de inspección de red
  • IEPROTECT: IE - IExtensionValidation; esto protege contra controles de páginas web malintencionadas
  • Inicio anticipado de Antimalware (ELAM). Esto incluye el malware detectado por la secuencia de arranque.
  • Atestación remota
Interfaz de examen antimalware (AMSI). Se usa principalmente para proteger scripts (PowerShell, VBS), aunque también lo pueden invocar terceros. UAC
Usuario: <Dominio>\<Usuario>
Nombre del proceso: <proceso en el PID>
Acción: <acción>, por ejemplo:
  • Limpiar: se ha limpiado el recurso
  • Cuarentena: el recurso se puso en cuarentena
  • Quitar: se eliminó el recurso
  • Permitir: se permitió que el recurso se ejecutara o existiera.
  • Definido por el usuario: acción definida por el usuario que normalmente es una de esta lista de acciones que el usuario ha especificado
  • Sin acción: sin acción
  • Bloquear: se ha bloqueado la ejecución del recurso
Estado de la acción: <descripción de acciones adicionales>
Código de error: <código de error Código> de resultado asociado al estado de la amenaza. Valores HRESULT estándar.
Descripción del error: <descripción> del error Descripción del error.
Versión de firma: <versión de definición>
Versión del motor: <versión Antimalware Engine>
NOTA: Siempre que Microsoft Defender Antivirus, Microsoft Security Essentials, herramienta de eliminación de software malintencionado o System Center Endpoint Protection detecte un malware, restaurará los siguientes servicios y configuración del sistema que el malware podría haber cambiado:
  • Configuración predeterminada de Internet Explorer o Microsoft Edge
  • Configuración de Access Control de usuario
  • Configuración de Chrome
  • Datos de control de arranque
  • Regedit y la configuración del Registro del Administrador de tareas
  • Windows Update, servicio de transferencia inteligente en segundo plano y servicio de llamada a procedimiento remoto
  • Archivos del sistema operativo Windows
El contexto anterior se aplica a las siguientes versiones de cliente y servidor:
Sistema operativo Versión del sistema operativo
Sistema operativo cliente Windows Vista (Service Pack 1 o Service Pack 2), Windows 7 y versiones posteriores
Sistema operativo del servidor Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 y Windows Server 2016
Acción del usuario: No es necesario realizar ninguna acción. Microsoft Defender Antivirus quitó o pone en cuarentena una amenaza.
Identificador de evento: 1118
Nombre simbólico: MALWAREPROTECTION_STATE_MALWARE_ACTION_FAILED
Mensaje: La plataforma antimalware intentó realizar una acción para proteger el sistema contra malware u otro software potencialmente no deseado, pero se produjo un error en la acción.
Descripción: Microsoft Defender Antivirus ha encontrado un error no crítico al tomar medidas sobre malware u otro software potencialmente no deseado.
Para obtener más información, vea los artículos siguientes:
Nombre: <Nombre de la amenaza>
Identificador: Id. <de amenaza>
Gravedad: <gravedad>, por ejemplo:
  • Bajo
  • Moderado
  • Alto
  • Grave
Categoría: <descripción> de la categoría, por ejemplo, cualquier tipo de amenaza o malware.
Ruta de acceso: <ruta de acceso del archivo>
Origen de detección: <origen> de detección, por ejemplo:
  • Unknown
  • Equipo local
  • Recurso compartido de red
  • Internet
  • Tráfico entrante
  • Tráfico saliente
Tipo de detección: <tipo> de detección, por ejemplo:
  • Heurística
  • Generic
  • Concreto
  • Firma dinámica
Origen de detección: <origen> de detección, por ejemplo:
  • Usuario: iniciado por el usuario
  • Sistema: iniciado por el sistema
  • En tiempo real: componente iniciado en tiempo real
  • IOAV: descargas de IE y datos adjuntos de Outlook Express iniciados
  • NIS: sistema de inspección de red
  • IEPROTECT: IE - IExtensionValidation; esto protege contra controles de páginas web malintencionadas
  • Inicio anticipado de Antimalware (ELAM). Esto incluye el malware detectado por la secuencia de arranque.
  • Atestación remota
Interfaz de examen antimalware (AMSI). Se usa principalmente para proteger scripts (PowerShell, VBS), aunque también lo pueden invocar terceros. UAC
Usuario: <Dominio>\<Usuario>
Nombre del proceso: <proceso en el PID>
Acción: <acción>, por ejemplo:
  • Limpiar: se ha limpiado el recurso
  • Cuarentena: el recurso se puso en cuarentena
  • Quitar: se eliminó el recurso
  • Permitir: se permitió que el recurso se ejecutara o existiera.
  • Definido por el usuario: acción definida por el usuario que normalmente es una de esta lista de acciones que el usuario ha especificado
  • Sin acción: sin acción
  • Bloquear: se ha bloqueado la ejecución del recurso
Estado de la acción: <descripción de acciones adicionales>
Código de error: <código de error Código> de resultado asociado al estado de la amenaza. Valores HRESULT estándar.
Descripción del error: <descripción> del error Descripción del error.
Versión de firma: <versión de definición>
Versión del motor: <versión Antimalware Engine>
Acción del usuario: No es necesario realizar ninguna acción. Microsoft Defender Antivirus no pudo completar una tarea relacionada con la corrección de malware. Esto no es un error crítico.
Identificador de evento: 1119
Nombre simbólico: MALWAREPROTECTION_STATE_MALWARE_ACTION_CRITICALLY_FAILED
Mensaje: La plataforma antimalware encontró un error crítico al intentar tomar medidas sobre malware u otro software potencialmente no deseado. Hay más detalles en el mensaje de evento.
Descripción: Microsoft Defender Antivirus ha encontrado un error crítico al tomar medidas sobre malware u otro software potencialmente no deseado.
Para obtener más información, vea los artículos siguientes:
Nombre: <Nombre de la amenaza>
Identificador: Id. <de amenaza>
Gravedad: <gravedad>, por ejemplo:
  • Bajo
  • Moderado
  • Alto
  • Grave
Categoría: <descripción> de la categoría, por ejemplo, cualquier tipo de amenaza o malware.
Ruta de acceso: <ruta de acceso del archivo>
Origen de detección: <origen> de detección, por ejemplo:
  • Unknown
  • Equipo local
  • Recurso compartido de red
  • Internet
  • Tráfico entrante
  • Tráfico saliente
Tipo de detección: <tipo> de detección, por ejemplo:
  • Heurística
  • Generic
  • Concreto
  • Firma dinámica
Origen de detección: <origen> de detección, por ejemplo:
  • Usuario: iniciado por el usuario
  • Sistema: iniciado por el sistema
  • En tiempo real: componente iniciado en tiempo real
  • IOAV: descargas de IE y datos adjuntos de Outlook Express iniciados
  • NIS: sistema de inspección de red
  • IEPROTECT: IE - IExtensionValidation; esto protege contra controles de páginas web malintencionadas
  • Inicio anticipado de Antimalware (ELAM). Esto incluye el malware detectado por la secuencia de arranque.
  • Atestación remota
Interfaz de examen antimalware (AMSI). Se usa principalmente para proteger scripts (PowerShell, VBS), aunque también lo pueden invocar terceros. UAC
Usuario: <Dominio>\<Usuario>
Nombre del proceso: <proceso en el PID>
Acción: <acción>, por ejemplo:
  • Limpiar: se ha limpiado el recurso
  • Cuarentena: el recurso se puso en cuarentena
  • Quitar: se eliminó el recurso
  • Permitir: se permitió que el recurso se ejecutara o existiera.
  • Definido por el usuario: acción definida por el usuario que normalmente es una de esta lista de acciones que el usuario ha especificado
  • Sin acción: sin acción
  • Bloquear: se ha bloqueado la ejecución del recurso
Estado de la acción: <descripción de acciones adicionales>
Código de error: <código de error Código> de resultado asociado al estado de la amenaza. Valores HRESULT estándar.
Descripción del error: <descripción> del error Descripción del error.
Versión de firma: <versión de definición>
Versión del motor: <versión Antimalware Engine>
Acción del usuario: El cliente Microsoft Defender Antivirus encontró este error debido a problemas críticos. Es posible que el punto de conexión no esté protegido. Revise la descripción del error y, a continuación, siga los pasos pertinentes de la acción Usuario que se indican a continuación.
Acción Acción del usuario
Remove Actualice las definiciones y compruebe que la eliminación se realizó correctamente.
Clean Actualice las definiciones y compruebe que la corrección se realizó correctamente.
Cuarentena Actualice las definiciones y compruebe que el usuario tiene permiso para acceder a los recursos necesarios.
Permitir Compruebe que el usuario tiene permiso para acceder a los recursos necesarios.

Si este evento persiste:

  1. Vuelva a ejecutar el examen.
  2. Si se produce un error de la misma manera, vaya al sitio Soporte técnico de Microsoft y escriba el número de error en el cuadro Buscar para buscar el código de error.
  3. Contactar al Soporte técnico de Microsoft.
Identificador de evento: 1120
Nombre simbólico: MALWAREPROTECTION_THREAT_HASH
Mensaje: Microsoft Defender Antivirus ha deducido los hashes de un recurso de amenaza.
Descripción: Microsoft Defender cliente antivirus está en funcionamiento en un estado correcto.
Versión actual de la plataforma: <versión actual de la plataforma>
Ruta de acceso del recurso de amenaza: <ruta de acceso>
Hashes: <hashes>
Nota: Este evento solo se registrará si se establece la siguiente directiva: ThreatFileHashLogging unsigned.
Identificador de evento: 1121
Nombre simbólico: (TBD)
Mensaje: Evento cuando se activa una regla de reducción de superficie expuesta a ataques en modo de bloque.
Descripción: TBD.
Versión actual de la plataforma: <versión actual de la plataforma>
Ruta de acceso del recurso de amenaza: <ruta de acceso>
Hashes: <hashes>
Nota: whatgoeshere?: TBD.
Identificador de evento: 1127
Nombre simbólico: MALWAREPROTECTION_FOLDER_GUARD_SECTOR_BLOCK
Mensaje: El acceso controlado a carpetas (CFA) bloqueó un proceso que no es de confianza para realizar cambios en la memoria.
Descripción: El acceso controlado a carpetas ha bloqueado un proceso que no es de confianza para modificar potencialmente los sectores de disco.
Para obtener más información sobre el registro de eventos, consulte lo siguiente:
EventID: <EventID>, por ejemplo: 1127
Versión: <Versión>, por ejemplo: 0
Nivel: <nivel>, por ejemplo: win:Warning
TimeCreated: <SystemTime>, hora en que se creó el evento
EventRecordID: <EventRecordID>, número de índice del evento en el registro de eventos
Execution ProcessID: <Execution ProcessID>, proceso que generó el evento
Canal: <canal> de eventos, por ejemplo: Microsoft-Windows-Windows Defender/Operational
Equipo: <Nombre del equipo>
UserID de seguridad: <Id. de usuario de seguridad>
Nombre del producto: <Nombre> del producto, por ejemplo: Microsoft Defender Antivirus
Versión del producto: <Versión del producto>
Tiempo de detección: <tiempo> de detección, hora en que CFA bloqueó un proceso que no es de confianza
Usuario: <Dominio>\<Usuario>
Ruta de acceso: <nombre> del dispositivo, nombre del dispositivo o disco al que se ha accedido a un proceso que no es de confianza para su modificación
Nombre del proceso: <ruta de acceso> del proceso, nombre de la ruta de acceso del proceso al que CFA bloqueó el acceso al dispositivo o al disco para su modificación
Versión de Security Intelligence: <Versión de Inteligencia de seguridad>
Versión del motor: <versión Antimalware Engine>
Acción del usuario: El usuario puede agregar el proceso bloqueado a la lista Proceso permitido para CFA mediante PowerShell o Seguridad de Windows Center.
Identificador de evento: 1150
Nombre simbólico: MALWAREPROTECTION_SERVICE_HEALTHY
Mensaje: Si la plataforma antimalware notifica el estado a una plataforma de supervisión, este evento indica que la plataforma antimalware se está ejecutando y en un estado correcto.
Descripción: Microsoft Defender cliente antivirus está en funcionamiento en un estado correcto.
Versión de la plataforma: <versión actual de la plataforma>
Versión de firma: <versión de definición>
Versión del motor: <versión Antimalware Engine>
Acción del usuario: No es necesario realizar ninguna acción. El cliente Microsoft Defender Antivirus está en un estado correcto. Este evento se notifica cada hora.
Identificador de evento: 1151
Nombre simbólico: MALWAREPROTECTION_SERVICE_HEALTH_REPORT
Mensaje: Informe de estado de cliente de Endpoint Protection (hora utc)
Descripción: Informe de estado de cliente antivirus.
Versión de la plataforma: <versión actual de la plataforma>
Versión del motor: <versión Antimalware Engine>
Versión del motor de inspección en tiempo real de red: <versión del motor de inspección en tiempo real de red>
Versión de firma del antivirus: <Versión de firma antivirus>
Versión de firma de Antispyware: <Versión de firma de Antispyware>
Versión de firma de inspección en tiempo real de red: <versión de firma de inspección en tiempo real de red>
Estado RTP: <estado> de protección en tiempo real (habilitado o deshabilitado)
Estado de OA: <En estado> de acceso (Habilitado o Deshabilitado)
Estado de IOAV: <Estado de descargas de IE y datos adjuntos> de Outlook Express (habilitados o deshabilitados)
Estado bm: <estado de supervisión del comportamiento> (habilitado o deshabilitado)
Antigüedad de la firma del antivirus: <antigüedad> de la firma del antivirus (en días)
Antigüedad de la firma antispyware: <antigüedad> de firma de Antispyware (en días)
Última antigüedad del examen rápido: <última edad> del examen rápido (en días)
Última antigüedad del examen completo: <última edad> de examen completo (en días)
Hora de creación de firmas antivirus: ?< Tiempo de creación de firmas antivirus>
Tiempo de creación de la firma antispyware: ?< Tiempo de creación de firmas antispyware>
Última hora de inicio del examen rápido: ?< Última hora de inicio del examen rápido>
Última hora de finalización del examen rápido: ?< Hora de finalización del último examen rápido>
Último origen de examen rápido: <último origen> de examen rápido (0 = no se ejecutó el examen, 1 = iniciado por el usuario, 2 = iniciado por el sistema)
Última hora de inicio del examen completo: ?< Última hora de inicio del examen completo>
Última hora de finalización del examen completo: ?< Última hora de finalización del examen completo>
Último origen de examen completo: <último origen> de examen completo (0 = no se ejecutó el examen, 1 = iniciado por el usuario, 2 = iniciado por el sistema)
Estado del producto: para solucionar problemas internos
Identificador de evento: 2000
Nombre simbólico: MALWAREPROTECTION_SIGNATURE_UPDATED
Mensaje: Las definiciones de antimalware se actualizaron correctamente.
Descripción: Se ha actualizado la versión de firma del antivirus.
Versión de firma actual: <versión de firma actual>
Versión de firma anterior: <versión de firma anterior>
Tipo de firma: <tipo> de firma, por ejemplo:
  • Antivirus
  • Antiespía
  • Antimalware
  • Sistema de inspección de red
Tipo de actualización: <tipo> de actualización, completo o delta.
Usuario: <Dominio>\<Usuario>
Versión actual del motor: <versión actual del motor>
Versión anterior del motor: <versión anterior del motor>
Acción del usuario: No es necesario realizar ninguna acción. El cliente Microsoft Defender Antivirus está en un estado correcto. Este evento se notifica cuando las firmas se actualizan correctamente.
Identificador de evento: 2001
Nombre simbólico: MALWAREPROTECTION_SIGNATURE_UPDATE_FAILED
Mensaje: Error en la actualización de inteligencia de seguridad.
Descripción: Microsoft Defender Antivirus ha encontrado un error al intentar actualizar las firmas.
Nueva versión de inteligencia de seguridad: <nuevo número de versión>
Versión de inteligencia de seguridad anterior: <versión anterior>
Origen de actualización: <actualice el origen>, por ejemplo:
  • Carpeta de actualización de inteligencia de seguridad
  • Servidor de actualización de inteligencia de seguridad interna
  • Microsoft Update Server
  • Compartir archivos
  • Centro de protección contra malware de Microsoft (MMPC)
Fase de actualización: <fase> de actualización, por ejemplo:
  • Búsqueda
  • Descargar
  • Instalar
Ruta de acceso de origen: nombre del recurso compartido de archivos para convención de nomenclatura universal (UNC), nombre del servidor para Windows Server Update Services (WSUS)/Microsoft Update/ADL.
Tipo de firma: <tipo> de firma, por ejemplo:
  • Antivirus
  • Antiespía
  • Antimalware
  • Sistema de inspección de red
Tipo de actualización: <tipo> de actualización, completo o delta.
Usuario: <Dominio>\<Usuario>
Versión actual del motor: <versión actual del motor>
Versión anterior del motor: <versión anterior del motor>
Código de error: <código de error Código> de resultado asociado al estado de la amenaza. Valores HRESULT estándar.
Descripción del error: <descripción> del error Descripción del error.
Acción del usuario: Este error se produce cuando hay un problema al actualizar las definiciones. Para solucionar este evento:
  1. Actualice las definiciones y fuerce un nuevo análisis directamente en el punto de conexión.
  2. Revise las entradas del archivo %Windir%\WindowsUpdate.log para obtener más información sobre este error.
  3. Contactar al Soporte técnico de Microsoft.
Identificador de evento: 2002
Nombre simbólico: MALWAREPROTECTION_ENGINE_UPDATED
Mensaje: El motor antimalware se actualizó correctamente.
Descripción: Microsoft Defender versión del motor antivirus se ha actualizado.
Versión actual del motor: <versión actual del motor>
Versión anterior del motor: <versión anterior del motor>
Tipo de motor: <tipo> de motor, motor antimalware o motor del sistema de inspección de red.
Usuario: <Dominio>\<Usuario>
Acción del usuario: No es necesario realizar ninguna acción. El cliente Microsoft Defender Antivirus está en un estado correcto. Este evento se notifica cuando el motor antimalware se actualiza correctamente.
Identificador de evento: 2003
Nombre simbólico: MALWAREPROTECTION_ENGINE_UPDATE_FAILED
Mensaje: Error en la actualización del motor antimalware.
Descripción: Microsoft Defender Antivirus ha encontrado un error al intentar actualizar el motor.
Nueva versión del motor:
Versión anterior del motor: <versión anterior del motor>
Tipo de motor: <tipo> de motor, motor antimalware o motor del sistema de inspección de red.
Usuario: <Dominio>\<Usuario>
Código de error: <código de error Código> de resultado asociado al estado de la amenaza. Valores HRESULT estándar.
Descripción del error: <descripción> del error Descripción del error.
Acción del usuario: Error en la actualización del cliente Microsoft Defender Antivirus. Este evento se produce cuando el cliente no se actualiza a sí mismo. Este evento suele deberse a una interrupción de la conectividad de red durante una actualización. Para solucionar este evento:
  1. Actualice las definiciones y fuerce un nuevo análisis directamente en el punto de conexión.
  2. Contactar al Soporte técnico de Microsoft.
Identificador de evento: 2004
Nombre simbólico: MALWAREPROTECTION_SIGNATURE_REVERSION
Mensaje: Se produjo un problema al cargar definiciones de antimalware. El motor antimalware intentará cargar el último conjunto correcto de definiciones conocido.
Descripción: Microsoft Defender Antivirus ha encontrado un error al intentar cargar firmas y intentará revertir a un buen conjunto de firmas conocido.
Firmas intentadas:
Código de error: <código de error Código> de resultado asociado al estado de la amenaza. Valores HRESULT estándar.
Descripción del error: <descripción> del error Descripción del error.
Versión de firma: <versión de definición>
Versión del motor: <versión del motor antimalware>
Acción del usuario: El cliente Microsoft Defender Antivirus intentó descargar e instalar el archivo de definiciones más reciente y produjo un error. Este error puede producirse cuando el cliente encuentra un error al intentar cargar las definiciones o si el archivo está dañado. Microsoft Defender Antivirus intentará revertir a un buen conjunto de definiciones conocido. Para solucionar este evento:
  1. Reinicie el equipo e inténtelo de nuevo.
  2. Descargue las definiciones más recientes del sitio de Inteligencia de seguridad de Microsoft. Nota: El tamaño del archivo de definiciones descargado del sitio puede superar los 60 MB y no debe usarse como una solución a largo plazo para actualizar definiciones.
  3. Contactar al Soporte técnico de Microsoft.
Identificador de evento: 2005
Nombre simbólico: MALWAREPROTECTION_ENGINE_UPDATE_PLATFORMOUTOFDATE
Mensaje: No se pudo cargar el motor antimalware porque la plataforma antimalware no está actualizada. La plataforma antimalware cargará el último motor antimalware correcto conocido e intentará actualizarlo.
Descripción: Microsoft Defender Antivirus no pudo cargar el motor antimalware porque no se admite la versión actual de la plataforma. Microsoft Defender Antivirus volverá al último motor correcto conocido y se intentará una actualización de la plataforma.
Versión actual de la plataforma: <versión actual de la plataforma>
Identificador de evento: 2006
Nombre simbólico: MALWAREPROTECTION_PLATFORM_UPDATE_FAILED
Mensaje: Error en la actualización de la plataforma.
Descripción: Microsoft Defender Antivirus ha encontrado un error al intentar actualizar la plataforma.
Versión actual de la plataforma: <versión actual de la plataforma>
Código de error: <código de error Código> de resultado asociado al estado de la amenaza. Valores HRESULT estándar.
Descripción del error: <descripción> del error Descripción del error.
Identificador de evento: 2007
Nombre simbólico: MALWAREPROTECTION_PLATFORM_ALMOSTOUTOFDATE
Mensaje: La plataforma pronto estará obsoleta. Descargue la plataforma más reciente para mantener la protección actualizada.
Descripción: Microsoft Defender Antivirus necesitará pronto una versión más reciente de la plataforma para admitir versiones futuras del motor antimalware. Descargue la plataforma antivirus de Microsoft Defender más reciente para mantener el mejor nivel de protección disponible.
Versión actual de la plataforma: <versión actual de la plataforma>
Identificador de evento: 2010
Nombre simbólico: MALWAREPROTECTION_SIGNATURE_FASTPATH_UPDATED
Mensaje: El motor antimalware usó el servicio de firma dinámica para obtener definiciones adicionales.
Descripción: Microsoft Defender Antivirus usó El servicio de firma dinámica para recuperar firmas adicionales para ayudar a proteger el equipo.
Versión de firma actual: <versión de firma actual>
Tipo de firma: <tipo> de firma, por ejemplo:
  • Antivirus
  • Antiespía
  • Antimalware
  • Sistema de inspección de red
Versión actual del motor: <versión actual del motor>
Tipo de firma dinámica: <tipo> de firma dinámica, por ejemplo:
  • Versión
  • Timestamp
  • Sin límite
  • Duración
Ruta de acceso de persistencia: <ruta de acceso>
Versión de firma dinámica: <número de versión>
Marca de tiempo de compilación de firma dinámica: <marca de tiempo>
Tipo de límite de persistencia: <tipo> de límite de persistencia, por ejemplo:
  • Versión de VDM
  • Timestamp
  • Sin límite
Límite de persistencia: límite de persistencia de la firma de fastpath.
Identificador de evento: 2011
Nombre simbólico: MALWAREPROTECTION_SIGNATURE_FASTPATH_DELETED
Mensaje: El servicio de firma dinámica eliminó las definiciones dinámicas obsoletas.
Cambie al comportamiento predeterminado:
Cambio al comportamiento predeterminado del informe de eventos de firma dinámica
Cuando MDE recibe una firma dinámica, se notifica un evento de 2010. Sin embargo, cuando la firma dinámica expira o se elimina manualmente, se notifica un evento de 2011. En algunos casos, cuando se entrega una nueva firma a MDE a veces, cientos de firmas dinámicas expirarán al mismo tiempo; por lo tanto, se notifican cientos de eventos de 2011. La generación de tantos eventos de 2011 puede hacer que un servidor de administración de eventos e información de seguridad (SIEM) se inunde.
Para evitar la situación anterior, a partir de la versión 4.18.2207.7 de la plataforma, MDE no notificará eventos de 2011 de forma predeterminada:
  • Este nuevo comportamiento predeterminado se controla mediante la entrada del Registro: HKLM\SOFTWARE\Microsoft\Windows Defender\Reporting\EnableDynamicSignatureDroppedEventReporting.
  • El valor predeterminado de EnableDynamicSignatureDroppedEventReporting es false, lo que significa que no se notifican los eventos 2011. Si se establece en true, se notifican los eventos de 2011.
Dado que los eventos de firma de 2010 se distribuyen esporádicamente de forma esporádica y no provocarán un pico, el comportamiento del evento de firma de 2010 no cambia.
Descripción: Microsoft Defender Antivirus usó el servicio de firma dinámica para descartar firmas obsoletas.
Versión de firma actual: <versión de firma actual>
Tipo de firma: <tipo> de firma, por ejemplo:
  • Antivirus
  • Antiespía
  • Antimalware
  • Sistema de inspección de red
Versión actual del motor: <versión actual del motor>
Tipo de firma dinámica: <tipo> de firma dinámica, por ejemplo:
  • Versión
  • Timestamp
  • Sin límite
  • Duración
Ruta de acceso de persistencia: <ruta de acceso>
Versión de firma dinámica: <número de versión>
Marca de tiempo de compilación de firma dinámica: <marca de tiempo>
Motivo de eliminación:
Tipo de límite de persistencia: <tipo> de límite de persistencia, por ejemplo:
  • Versión de VDM
  • Timestamp
  • Sin límite
Límite de persistencia: límite de persistencia de la firma de fastpath.
Acción del usuario: No es necesario realizar ninguna acción. El cliente Microsoft Defender Antivirus está en un estado correcto. Este evento se notifica cuando el servicio de firma dinámica elimina correctamente las definiciones dinámicas obsoletas.
Identificador de evento: 2012
Nombre simbólico: MALWAREPROTECTION_SIGNATURE_FASTPATH_UPDATE_FAILED
Mensaje: El motor antimalware encontró un error al intentar usar el servicio de firma dinámica.
Descripción: Microsoft Defender Antivirus ha encontrado un error al intentar usar el servicio de firma dinámica.
Versión de firma actual: <versión de firma actual>
Tipo de firma: <tipo> de firma, por ejemplo:
  • Antivirus
  • Antiespía
  • Antimalware
  • Sistema de inspección de red
Versión actual del motor: <versión actual del motor>
Código de error: <código de error Código> de resultado asociado al estado de la amenaza. Valores HRESULT estándar.
Descripción del error: <descripción> del error Descripción del error.
Tipo de firma dinámica: <tipo> de firma dinámica, por ejemplo:
  • Versión
  • Timestamp
  • Sin límite
  • Duración
Ruta de acceso de persistencia: <ruta de acceso>
Versión de firma dinámica: <número de versión>
Marca de tiempo de compilación de firma dinámica: <marca de tiempo>
Tipo de límite de persistencia: <tipo> de límite de persistencia, por ejemplo:
  • Versión de VDM
  • Timestamp
  • Sin límite
Límite de persistencia: límite de persistencia de la firma de fastpath.
Acción del usuario: Compruebe la configuración de conectividad a Internet.
Identificador de evento: 2013
Nombre simbólico: MALWAREPROTECTION_SIGNATURE_FASTPATH_DELETED_ALL
Mensaje: El servicio de firma dinámica eliminó todas las definiciones dinámicas.
Descripción: Microsoft Defender Antivirus ha descartado todas las firmas del servicio de firma dinámica.
Versión de firma actual: <versión de firma actual>
Identificador de evento: 2020
Nombre simbólico: MALWAREPROTECTION_CLOUD_CLEAN_RESTORE_FILE_DOWNLOADED
Mensaje: El motor antimalware descargó un archivo limpio.
Descripción: Microsoft Defender Antivirus descargó un archivo limpio.
Nombre de archivo: <nombre> de archivo nombre del archivo.
Versión de firma actual: <versión de firma actual>
Versión actual del motor: <versión actual del motor>
Identificador de evento: 2021
Nombre simbólico: MALWAREPROTECTION_CLOUD_CLEAN_RESTORE_FILE_DOWNLOAD_FAILED
Mensaje: El motor antimalware no pudo descargar un archivo limpio.
Descripción: Microsoft Defender Antivirus ha encontrado un error al intentar descargar un archivo limpio.
Nombre de archivo: <nombre> de archivo nombre del archivo.
Versión de firma actual: <versión de firma actual>
Versión actual del motor: <versión actual del motor>
Código de error: <código de error Código> de resultado asociado al estado de la amenaza. Valores HRESULT estándar.
Descripción del error: <descripción> del error Descripción del error.
Acción del usuario: Compruebe la configuración de conectividad a Internet. El cliente Microsoft Defender Antivirus encontró un error al usar el servicio de firma dinámica para descargar las definiciones más recientes en una amenaza específica. Es probable que este error se deba a un problema de conectividad de red.
Identificador de evento: 2030
Nombre simbólico: MALWAREPROTECTION_OFFLINE_SCAN_INSTALLED
Mensaje: El motor antimalware se descargó y está configurado para ejecutarse sin conexión en el siguiente reinicio del sistema.
Descripción: Microsoft Defender Antivirus descargado y configurado antivirus sin conexión para ejecutarse en el siguiente reinicio.
Identificador de evento: 2031
Nombre simbólico: MALWAREPROTECTION_OFFLINE_SCAN_INSTALL_FAILED
Mensaje: El motor antimalware no pudo descargar y configurar un examen sin conexión.
Descripción: Microsoft Defender Antivirus ha encontrado un error al intentar descargar y configurar el antivirus sin conexión.
Código de error: <código de error Código> de resultado asociado al estado de la amenaza. Valores HRESULT estándar.
Descripción del error: <descripción> del error Descripción del error.
Identificador de evento: 2040
Nombre simbólico: MALWAREPROTECTION_OS_EXPIRING
Mensaje: Pronto finalizará la compatibilidad con antimalware para esta versión del sistema operativo.
Descripción: La compatibilidad con el sistema operativo expirará en breve. La ejecución de Microsoft Defender Antivirus en un sistema operativo que no es compatible no es una solución adecuada para protegerse frente a amenazas.
Identificador de evento: 2041
Nombre simbólico: MALWAREPROTECTION_OS_EOL
Mensaje: La compatibilidad con antimalware para este sistema operativo ha finalizado. Debe actualizar el sistema operativo para obtener soporte técnico continuo.
Descripción: La compatibilidad con el sistema operativo ha expirado. La ejecución de Microsoft Defender Antivirus en un sistema operativo que no es compatible no es una solución adecuada para protegerse frente a amenazas.
Identificador de evento: 2042
Nombre simbólico: MALWAREPROTECTION_PROTECTION_EOL
Mensaje: El motor antimalware ya no admite este sistema operativo y ya no protege el sistema contra malware.
Descripción: La compatibilidad con el sistema operativo ha expirado. Microsoft Defender Antivirus ya no se admite en el sistema operativo, ha dejado de funcionar y no protege contra amenazas de malware.
Identificador de evento: 3002
Nombre simbólico: MALWAREPROTECTION_RTP_FEATURE_FAILURE
Mensaje: La protección en tiempo real encontró un error y produjo un error.
Descripción: Microsoft Defender característica Antivirus Real-Time Protection ha encontrado un error y ha producido un error.
Característica: <característica>, por ejemplo:
  • En el acceso
  • Descargas de Internet Explorer y datos adjuntos de Microsoft Outlook Express
  • Supervisión del comportamiento
  • Sistema de inspección de red
Código de error: <código de error Código> de resultado asociado al estado de la amenaza. Valores HRESULT estándar.
Descripción del error: <descripción> del error Descripción del error.
Motivo: La razón por la que Microsoft Defender protección antivirus en tiempo real ha reiniciado una característica.
Acción del usuario: Debe reiniciar el sistema y, a continuación, ejecutar un examen completo porque es posible que el sistema no esté protegido durante algún tiempo. La característica de protección en tiempo real del cliente Microsoft Defender Antivirus encontró un error porque uno de los servicios no se pudo iniciar. Si va seguido de un identificador de evento 3007, el error fue temporal y el cliente antimalware se recuperó del error.
Identificador de evento: 3007
Nombre simbólico: MALWAREPROTECTION_RTP_FEATURE_RECOVERED
Mensaje: Protección en tiempo real recuperada de un error. Se recomienda ejecutar un examen completo del sistema cuando vea este error.
Descripción: Microsoft Defender Antivirus Protección en tiempo real ha reiniciado una característica. Se recomienda ejecutar un examen completo del sistema para detectar los elementos que se hayan perdido mientras este agente estaba inactivo.
Característica: <característica>, por ejemplo:
  • En el acceso
  • Descargas de IE y datos adjuntos de Outlook Express
  • Supervisión del comportamiento
  • Sistema de inspección de red
Motivo: La razón por la que Microsoft Defender protección antivirus en tiempo real ha reiniciado una característica.
Acción del usuario: Se ha reiniciado la característica de protección en tiempo real. Si este evento se produce de nuevo, póngase en contacto con el soporte técnico de Microsoft.
Identificador de evento: 5000
Nombre simbólico: MALWAREPROTECTION_RTP_ENABLED
Mensaje: La protección en tiempo real está habilitada.
Descripción: Microsoft Defender Se ha habilitado la protección antivirus en tiempo real para detectar malware y otro software potencialmente no deseado.
Identificador de evento: 5001
Nombre simbólico: MALWAREPROTECTION_RTP_DISABLED
Mensaje: La protección en tiempo real está deshabilitada.
Descripción: Microsoft Defender Análisis de protección antivirus en tiempo real para detectar malware y otro software potencialmente no deseado se deshabilitó.
Identificador de evento: 5004
Nombre simbólico: MALWAREPROTECTION_RTP_FEATURE_CONFIGURED
Mensaje: La configuración de protección en tiempo real cambió.
Descripción: Microsoft Defender ha cambiado la configuración de las características de protección en tiempo real del antivirus.
Característica: <característica>, por ejemplo:
  • En el acceso
  • Descargas de IE y datos adjuntos de Outlook Express
  • Supervisión del comportamiento
  • Sistema de inspección de red
Configuración:
Identificador de evento: 5007
Nombre simbólico: MALWAREPROTECTION_CONFIG_CHANGED
Mensaje: La configuración de la plataforma antimalware ha cambiado.
Descripción: Microsoft Defender ha cambiado la configuración del Antivirus. Si se trata de un evento inesperado, debe revisar la configuración, ya que puede ser el resultado de malware.
Valor anterior: <número de> valor antiguo Valor de configuración antivirus antiguo.
Nuevo valor: <nuevo número de> valor Nuevo valor de configuración del antivirus.
Identificador de evento: 5008
Nombre simbólico: MALWAREPROTECTION_ENGINE_FAILURE
Mensaje: El motor antimalware encontró un error y produjo un error.
Descripción: Microsoft Defender motor antivirus se ha terminado debido a un error inesperado.
Tipo de error: <tipo> de error, por ejemplo: Bloqueo o bloqueo
Código de excepción: <código de error>
Recurso: <Recurso>
Acción del usuario: Para solucionar este evento:
  1. Intente reiniciar el servicio.
    • Para antimalware, antivirus y spyware, en un símbolo del sistema con privilegios elevados, escriba net stop msmpsvc y, a continuación, escriba net start msmpsvc para reiniciar el motor antimalware.
    • Para el sistema de inspección de red, en un símbolo del sistema con privilegios elevados, escriba net start nissrv y, a continuación, escriba net start nissrv para reiniciar el motor del sistema de inspección de red mediante el archivo NiSSRV.exe.
  2. Si se produce un error de la misma manera, busque el código de error accediendo al sitio Soporte técnico de Microsoft y escribiendo el número de error en el cuadro Buscar y póngase en contacto con el soporte técnico de Microsoft.
Acción del usuario: El motor de cliente Microsoft Defender Antivirus se detuvo debido a un error inesperado. Para solucionar este evento:
  1. Vuelva a ejecutar el examen.
  2. Si se produce un error de la misma manera, vaya al sitio Soporte técnico de Microsoft y escriba el número de error en el cuadro Buscar para buscar el código de error.
  3. Contactar al Soporte técnico de Microsoft.
Identificador de evento: 5009
Nombre simbólico: MALWAREPROTECTION_ANTISPYWARE_ENABLED
Mensaje: El examen de malware y otro software potencialmente no deseado está habilitado.
Descripción: Microsoft Defender Se ha habilitado el análisis del antivirus para detectar malware y otro software potencialmente no deseado.
Identificador de evento: 5010
Nombre simbólico: MALWAREPROTECTION_ANTISPYWARE_DISABLED
Mensaje: El examen de malware y otro software potencialmente no deseado está deshabilitado.
Descripción: Microsoft Defender Antivirus de búsqueda de malware y otro software potencialmente no deseado está deshabilitado.
Identificador de evento: 5011
Nombre simbólico: MALWAREPROTECTION_ANTIVIRUS_ENABLED
Mensaje: El examen de virus está habilitado.
Descripción: Microsoft Defender Se ha habilitado el examen antivirus en busca de virus.
Identificador de evento: 5012
Nombre simbólico: MALWAREPROTECTION_ANTIVIRUS_DISABLED
Mensaje: El examen de virus está deshabilitado.
Descripción: Microsoft Defender El examen del antivirus en busca de virus está deshabilitado.
Identificador de evento: 5013
Nombre simbólico:
Mensaje: Protección contra alteraciones bloqueó un cambio en Microsoft Defender Antivirus.
Descripción: Si la protección contra alteraciones está habilitada, se bloquea cualquier intento de cambiar la configuración de Defender. Se genera el identificador de evento 5013 y se indica qué cambio de configuración se bloqueó.
Identificador de evento: 5100
Nombre simbólico: MALWAREPROTECTION_EXPIRATION_WARNING_STATE
Mensaje: La plataforma antimalware expirará pronto.
Descripción: Microsoft Defender Antivirus ha entrado en un período de gracia y pronto expirará. Después de la expiración, este programa deshabilitará la protección contra virus, spyware y otro software potencialmente no deseado.
Motivo de expiración: el motivo Microsoft Defender Antivirus expirará.
Fecha de expiración: la fecha Microsoft Defender Antivirus expirará.
Identificador de evento: 5101
Nombre simbólico: MALWAREPROTECTION_DISABLED_EXPIRED_STATE
Mensaje: La plataforma antimalware ha expirado.
Descripción: Microsoft Defender período de gracia del antivirus ha expirado. La protección contra virus, spyware y otro software potencialmente no deseado está deshabilitada.
Motivo de expiración:
Fecha de expiración:
Código de error: <código de error Código> de resultado asociado al estado de la amenaza. Valores HRESULT estándar.
Descripción del error: <descripción> del error Descripción del error.

códigos de error de cliente Microsoft Defender Antivirus

Si Microsoft Defender Antivirus experimenta algún problema, normalmente le proporcionará un código de error para ayudarle a solucionar el problema. Con frecuencia, un error significa que se produjo un problema al instalar una actualización. En esta sección se proporciona la siguiente información sobre Microsoft Defender errores de cliente antivirus.

  • El código de error
  • El posible motivo del error
  • Consejos sobre qué hacer ahora

Use la información de estas tablas para ayudar a solucionar Microsoft Defender códigos de error del Antivirus.

Código de error: 0x80508007
Mensaje ERR_MP_NO_MEMORY
Posible motivo Este error indica que es posible que se haya quedado sin memoria.
Solución
  1. Compruebe la memoria disponible en el dispositivo.
  2. Cierre las aplicaciones sin usar que se ejecutan para liberar memoria en el dispositivo.
  3. Reinicie el dispositivo y vuelva a ejecutar el examen.
Código de error: 0x8050800C
Mensaje ERR_MP_BAD_INPUT_DATA
Posible motivo Este error indica que puede haber un problema con el producto de seguridad.
Solución
  1. Actualice las definiciones. Cualquiera de los dos:
    1. Obtenga las actualizaciones de inteligencia de seguridad en la aplicación Seguridad de Windows. Actualizar definiciones en Microsoft Defender Antiviruso,
    2. Descargue las definiciones más recientes del sitio de Inteligencia de seguridad de Microsoft. Nota: El tamaño del archivo de definiciones descargado del sitio puede superar los 60 MB y no debe usarse como una solución a largo plazo para actualizar definiciones.
  2. Ejecute un examen completo.
  3. Reinicie el dispositivo e inténtelo de nuevo.
Código de error: 0x80508020
Mensaje ERR_MP_BAD_CONFIGURATION
Posible motivo Este error indica que podría haber un error de configuración del motor; Normalmente, esto está relacionado con los datos de entrada que no permiten que el motor funcione correctamente.
Código de error: 0x805080211
Mensaje ERR_MP_QUARANTINE_FAILED
Posible motivo Este error indica que Microsoft Defender Antivirus no pudo poner en cuarentena una amenaza.
Código de error: 0x80508022
Mensaje ERR_MP_REBOOT_REQUIRED
Posible motivo Este error indica que se requiere un reinicio para completar la eliminación de amenazas.
0x80508023
Mensaje ERR_MP_THREAT_NOT_FOUND
Posible motivo Este error indica que es posible que la amenaza ya no esté presente en los medios, o que el malware podría impedir que digitalizara el dispositivo.
Solución Ejecute el Examen de seguridad de Microsoft actualice el software de seguridad e inténtelo de nuevo.
Código de error: 0x80508024
Mensaje ERR_MP_FULL_SCAN_REQUIRED
Posible motivo Este error indica que es posible que sea necesario realizar un examen completo del sistema.
Solución Ejecute un examen completo del sistema.
Código de error: 0x80508025
Mensaje ERR_MP_MANUAL_STEPS_REQUIRED
Posible motivo Este error indica que se requieren pasos manuales para completar la eliminación de amenazas.
Solución Siga los pasos de corrección manual descritos en la Enciclopedia de protección contra malware de Microsoft. Puede encontrar un vínculo específico de la amenaza en el historial de eventos.
Código de error: 0x80508026
Mensaje ERR_MP_REMOVE_NOT_SUPPORTED
Posible motivo Este error indica que es posible que no se admita la eliminación dentro del tipo de contenedor.
Solución Microsoft Defender Antivirus no puede corregir las amenazas detectadas dentro del archivo. Considere la posibilidad de quitar manualmente los recursos detectados.
Código de error: 0x80508027
Mensaje ERR_MP_REMOVE_LOW_MEDIUM_DISABLED
Posible motivo Este error indica que es posible que se deshabilite la eliminación de amenazas bajas y medianas.
Solución Compruebe las amenazas detectadas y resuelvalas según sea necesario.
Código de error: 0x80508029
Mensaje ERROR_MP_RESCAN_REQUIRED
Posible motivo Este error indica que es necesario volver a examinar la amenaza.
Solución Ejecute un examen completo del sistema.
Código de error: 0x80508030
Mensaje ERROR_MP_CALLISTO_REQUIRED
Posible motivo Este error indica que se requiere un examen sin conexión.
Solución Ejecute Microsoft Defender Antivirus sin conexión. Puede leer sobre cómo hacerlo en el artículo antivirus de Microsoft Defender sin conexión.
Código de error: 0x80508031
Mensaje ERROR_MP_PLATFORM_OUTDATED
Posible motivo Este error indica que Microsoft Defender Antivirus no admite la versión actual de la plataforma y requiere una nueva versión de la plataforma.
Solución Solo puede usar Microsoft Defender Antivirus en Windows 10 y Windows 11. Para Windows 8, Windows 7 y Windows Vista, puedes usar System Center Endpoint Protection.

Los siguientes códigos de error se usan durante las pruebas internas de Microsoft Defender Antivirus.

Si ve estos errores, puede intentar actualizar las definiciones y forzar un nuevo análisis directamente en el punto de conexión.

Códigos de error internos
Código de error Mensaje mostrado Posible motivo de error y resolución
0x80501004 ERROR_MP_NO_INTERNET_CONN Compruebe la conexión a Internet y vuelva a ejecutar el examen.
0x80501000 ERROR_MP_UI_CONSOLIDATION_BAS E Se trata de un error interno. La causa no está claramente definida.
0x80501001 ERROR_MP_ACTIONS_FAILED
0x80501002 ERROR_MP_NOENGINE
0x80501003 ERROR_MP_ACTIVE_THREATS
0x805011011 MP_ERROR_CODE_LUA_CANCELLED
0x80501101 ERROR_LUA_CANCELLATION
0x80501102 MP_ERROR_CODE_ALREADY_SHUTDOWN
0x80501103 MP_ERROR_CODE_RDEVICE_S_ASYNC_CALL_PENDING
0x80501104 MP_ERROR_CODE_CANCELLED
0x80501105 MP_ERROR_CODE_NO_TARGETOS
0x80501106 MP_ERROR_CODE_BAD_REGEXP
0x80501107 MP_ERROR_TEST_INDUCED_ERROR
0x80501108 MP_ERROR_SIG_BACKUP_DISABLED
0x80508001 ERR_MP_BAD_INIT_MODULES
0x80508002 ERR_MP_BAD_DATABASE
0x80508004 ERR_MP_BAD_UFS
0x8050800C ERR_MP_BAD_INPUT_DATA
0x8050800D ERR_MP_BAD_GLOBAL_STORAGE
0x8050800E ERR_MP_OBSOLETE
0x8050800F ERR_MP_NOT_SUPPORTED
0x8050800F 0x80508010 ERR_MP_NO_MORE_ITEMS
0x80508011 ERR_MP_DUPLICATE_SCANID
0x80508012 ERR_MP_BAD_SCANID
0x80508013 ERR_MP_BAD_USERDB_VERSION
0x80508014 ERR_MP_RESTORE_FAILED
0x80508016 ERR_MP_BAD_ACTION
0x80508019 ERR_MP_NOT_FOUND
0x80509001 ERR_RELO_BAD_EHANDLE
0x80509003 ERR_RELO_KERNEL_NOT_LOADED
0x8050A001 ERR_MP_BADDB_OPEN
0x8050A002 ERR_MP_BADDB_HEADER
0x8050A003 ERR_MP_BADDB_OLDENGINE
0x8050A004 ERR_MP_BADDB_CONTENT
0x8050A005 ERR_MP_BADDB_NOTSIGNED
0x8050801 ERR_MP_REMOVE_FAILED Se trata de un error interno. Puede desencadenarse cuando la eliminación de malware no se realiza correctamente.
0x80508018 ERR_MP_SCAN_ABORTED Se trata de un error interno. Es posible que se haya desencadenado cuando un examen no se completa.

Sugerencia

Si busca información relacionada con el antivirus para otras plataformas, consulte: