Condividi tramite


Risolvere i problemi di avvio del servizio Antivirus Microsoft Defender

Si applica a:

Nello screenshot seguente, virus & protezione dalle minacce visualizza una croce rossa, dove si dice che il servizio minacce è stato arrestato. Riavviarlo ora.

Screenshot della notifica di protezione da virus e minacce.

All'interno dei provider di sicurezza è possibile visualizzare il risultato seguente.

Microsoft Defender Antivirus è disattivato.

Screenshot dei provider di sicurezza.

Nello screenshot seguente viene visualizzato il messaggio: Servizio minacce arrestato. Riavviarlo ora.

Screenshot del servizio minacce arrestato.

Lo screenshot seguente visualizza il messaggio: Errore imprevisto. Ci siamo imbattuti in un problema. Riprovare.

Selezionare Chiudi.

Screenshot dell'errore imprevisto.

Events

Il registro eventi di Windows Defender - Operational potrebbe visualizzare gli eventi seguenti:

Evento 5007

La configurazione di Microsoft Defender Antivirus è stata modificata. Se si prevede questo evento, esaminare le impostazioni, in quanto potrebbe essere il risultato di malware.

Old value (valore precedente) New value (nuovo valore)
HKLM\SOFTWARE\Microsoft\Windows Defender\Diagnostics\RolledbackPlatformHealthData = <OVERALL>:<BAD>, <AGE>:<36>, <DIRTY_SHUTDOWNS>:<22> Default\Diagnostics\RolledbackPlatformHealthData = 0
Default\ServiceStartStates = 0x0 HKLM\SOFTWARE\Microsoft\Windows Defender\ServiceStartStates = 0x1
HKLM\SOFTWARE\Microsoft\Windows Defender\ServiceStartStates = 0x1 Default\ServiceStartStates = 0x0
Default\ProductAppDataPath = C:\ProgramData\Microsoft\Windows Defender HKLM\SOFTWARE\Microsoft\Windows Defender\ProductAppDataPath = C:\ProgramData\Microsft\Windows Defender
Default\IsServiceRunning = 0x0 HKLM\SOFTWARE\Microsoft\Windows Defender\IsServiceRunning = 0x1
Default\ProductAppDataPath = C:\ProgramData\Microsoft\Windows Defender HKLM\SOFTWARE\Microsoft\Windows Defender\ProductAppDataPath = C:\ProgramData\Microsoft\Windows Defender
Default\IsServiceRunning = 0x0 HKLM\SOFTWARE\Microsoft\Windows Defender\IsServiceRunning = 0x1

Evento 5001

Microsoft Defender antivirus La scansione della protezione in tempo reale per la ricerca di malware e altro software potenzialmente indesiderato è stata disabilitata.

Risoluzione

Per risolvere il problema, seguire questa procedura:

  1. Controllare i servizi e filtrare i driver per Microsoft Defender Antivirus.

    Eseguire il comando di PowerShell seguente come amministratore.

    Get-Service WinDefend, WdBoot, WdFilter, WdNisSvc, WdNisDrv, SecurityHealthService, wscsvc | Format-Table -Auto DisplayName, Name, StartType, Status
    
    Nome visualizzato Nome StartType Stato Commenti
    Servizio Sicurezza di Windows SecurityHealthService Manuale In esecuzione
    Driver di avvio antivirus Microsoft Defender WdBoot Stivale Arrestato È normale arrestarsi dopo l'avvio.
    driver Mini-Filter antivirus Microsoft Defender WdFilter Stivale In esecuzione Se arrestato, controllare i passaggi 3, 6, 7.
    Driver del sistema di ispezione di rete antivirus Microsoft Defender WdNisDrv Manuale In esecuzione Se arrestato, controllare i passaggi 3, 6, 7.
    Microsoft Defender Antivirus Network Inspection Service WdNisSvc Manuale In esecuzione Se arrestato, controllare i passaggi 3, 6, 7.
    Servizio antivirus Microsoft Defender WinDefend Automatico In esecuzione Se arrestato, controllare i passaggi 3, 6, 7.
    wscsvc Centro sicurezza Automatico In esecuzione
  2. Scaricare ed eseguire il Microsoft Safety Scanner per escludere eventuali malware.

  3. Se si usa Microsoft Defender Antivirus come antivirus primario, assicurarsi di disinstallare software antivirus di terze parti.

  4. Rimuovere l'intelligence per la sicurezza e il motore.

    Eseguire il comando di PowerShell seguente come amministratore.

    & "${env:ProgramFiles}\Windows Defender\MpCmdRun.exe" -RemoveDefinitions -All
    
  5. Reimpostare la piattaforma.

    Eseguire il comando di PowerShell seguente come amministratore.

    & "${env:ProgramFiles}\Windows Defender\MpCmdRun.exe" -ResetPlatform
    
  6. Backup Microsoft Defender criteri antivirus.

    Eseguire i comandi di PowerShell seguenti come amministratore.

    New-Item -Path "C:\temp" -ItemType Directory
    
    Invoke-Command {reg export 'HKLM\SOFTWARE\Policies\Microsoft\Windows Defender' C:\Temp\MDAV\_backup.reg
    
  7. Eliminare tutti i criteri impostati per Microsoft Defender Antivirus.

    Eseguire il comando di PowerShell seguente come amministratore.

    Remove-Item -Path 'HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender' -Force
    

    Per altre informazioni, vedere: Risolvere i problemi relativi alle impostazioni di antivirus Microsoft Defender.

  8. Riabilitare Microsoft Defender Antivirus.

    Eseguire il comando di PowerShell seguente come amministratore.

    & "${env:ProgramFiles}\Windows Defender\MpCmdRun.exe" -WdEnable
    
  9. Aggiornare Security Intelligence.

    Eseguire il comando di PowerShell seguente come amministratore.

    & "${env:ProgramFiles}\Windows Defender\MpCmdRun.exe" -SignatureUpdate -MMPC
    
  10. Assicurarsi che Tamper Protection sia abilitato.

    Screenshot di Tamper Protection abilitato.

  11. Eseguire Microsoft Update.