Esaminare i log eventi e i codici di errore per risolvere i problemi relativi a Microsoft Defender Antivirus

Se si verifica un problema con Microsoft Defender Antivirus, è possibile cercare le sezioni seguenti in questo articolo per trovare un problema corrispondente e una potenziale soluzione.

Si applica a:

Ricerca per categorie visualizzare un evento antivirus Microsoft Defender?

  1. Aprire Visualizzatore eventi.

  2. Nell'albero della console espandere Registri> applicazioni e serviziMicrosoft>Windows> Defender.

  3. Fare doppio clic su Operational (Operativo).

  4. Nel riquadro dei dettagli visualizzare l'elenco dei singoli eventi per trovare l'evento.

  5. Selezionare l'evento per visualizzare dettagli specifici su un evento nel riquadro inferiore, nelle schede Generale e Dettagli .

ID evento 1000

Nome simbolico: MALWAREPROTECTION_SCAN_STARTED

Messaggio: è stata avviata un'analisi antimalware.

Descrizione:

  • ID analisi: numero ID dell'analisi pertinente.

  • Tipo di analisi: tipo di analisi. Esempi: Antivirus, Antispyware o Antimalware

  • Parametri di analisi: analizzare i parametri. Esempi: analisi completa, analisi rapida o analisi del cliente

  • Analizza risorse: risorse (ad esempio file/directory/BHO) analizzati.

  • Utente: Dominio\Utente

ID evento 1001

Nome simbolico: MALWAREPROTECTION_SCAN_COMPLETED

Messaggio: un'analisi antimalware completata.

Descrizione:

  • ID analisi: numero ID dell'analisi pertinente.

  • Tipo di analisi: tipo di analisi. Esempi: Antivirus, Antispyware o Antimalware

  • Parametri di analisi: analizzare i parametri. Esempi: analisi completa, analisi rapida o analisi del cliente

  • Utente: Dominio\Utente

  • Ora analisi: durata di un'analisi.

ID evento 1002

Nome simbolico: MALWAREPROTECTION_SCAN_CANCELLED

Messaggio: un'analisi antimalware è stata arrestata prima del completamento.

Descrizione:

  • ID analisi: numero ID dell'analisi pertinente.

  • Tipo di analisi: tipo di analisi. Esempi: Antivirus, Antispyware o Antimalware

  • Parametri di analisi: analizzare i parametri. Esempi: analisi completa, analisi rapida o analisi del cliente

  • Utente: Dominio\Utente

  • Ora analisi: durata di un'analisi.

ID evento 1003

Nome simbolico: MALWAREPROTECTION_SCAN_PAUSED

Messaggio: un'analisi antimalware è stata sospesa.

Descrizione:

  • ID analisi: numero ID dell'analisi pertinente.

  • Tipo di analisi: tipo di analisi. Esempi: Antivirus, Antispyware o Antimalware

  • Parametri di analisi: analizzare i parametri. Esempi: analisi completa, analisi rapida o analisi del cliente

  • Utente: Dominio\Utente

ID evento 1004

Nome simbolico: MALWAREPROTECTION_SCAN_RESUMED

Messaggio: è stata ripresa un'analisi antimalware.

Descrizione:

  • ID analisi: numero ID dell'analisi pertinente.

  • Tipo di analisi: tipo di analisi. Esempi: Antivirus, Antispyware o Antimalware

  • Parametri di analisi: analizzare i parametri. Esempi: analisi completa, analisi rapida o analisi del cliente

  • Utente: Dominio\Utente

ID evento 1005

Nome simbolico: MALWAREPROTECTION_SCAN_FAILED

Messaggio: un'analisi antimalware non è riuscita.

Descrizione:

  • ID analisi: numero ID dell'analisi pertinente.

  • Tipo di analisi: tipo di analisi. Esempi: Antivirus, Antispyware o Antimalware

  • Parametri di analisi: analizzare i parametri. Esempi: analisi completa, analisi rapida o analisi personalizzata

  • Utente: Dominio\Utente

  • Codice errore: codice di errore. Codice del risultato associato allo stato della minaccia. Valori HRESULT standard.

  • Descrizione errore: descrizione dell'errore. Descrizione dell'errore.

Azione utente:

Il client antivirus ha rilevato un errore e l'analisi corrente è stata arrestata. L'analisi potrebbe non riuscire a causa di un problema sul lato client. Questo record di evento include l'ID di analisi, il tipo di analisi (Microsoft Defender Antivirus, antispyware, antimalware), i parametri di analisi, l'utente che ha avviato l'analisi, il codice di errore e una descrizione dell'errore. Per risolvere questo evento:

- Run the scan again.

- If it fails in the same way, go to the [Microsoft Support site](https://support.microsoft.com/), enter the error number in the Search box to look for the error code.

- Contact [Microsoft Technical Support](/microsoft-365/admin/get-help-support).

ID evento 1006

Nome simbolico: MALWAREPROTECTION_MALWARE_DETECTED

Messaggio: il motore antimalware ha trovato malware o altro software potenzialmente indesiderato.

Descrizione: per altre informazioni, vedere i dettagli seguenti:

  • Nome: Nome minaccia

  • ID: ID minaccia

  • Gravità: gravità. Esempi: Basso, Moderato, Alto o Grave

  • Categoria: descrizione della categoria. Esempi: qualsiasi minaccia o tipo di malware.

  • Percorso: Percorso file

  • Origine rilevamento: origine del rilevamento. Esempi: Sconosciuto, Computer locale, Condivisione di rete, Internet, Traffico in ingresso o Traffico in uscita

  • Tipo di rilevamento: tipo di rilevamento. Esempi: firma euristica, generica, concreta o dinamica

  • Origine di rilevamento: origine di rilevamento, ad esempio:

    • Utente: avviato dall'utente

    • Sistema: avviato dal sistema

    • In tempo reale: componente in tempo reale avviato

    • IOAV: Download di Internet Explorer e allegati di Outlook Express avviati

    • NIS: Sistema di ispezione di rete

    • IEPROTECT: IE - IExtensionValidation; in questo modo si protegge da controlli di pagine Web dannosi.

    • Early Launch Antimalware (ELAM). Questa origine include malware rilevato dalla sequenza di avvio.

    • Attestazione remota

  • Antimalware Scan Interface (AMSI). Usato principalmente per proteggere gli script (PowerShell, VBS), anche se può essere richiamato anche da terze parti. Controllo dell'account utente.

  • Stato: Stato

  • Utente: Dominio\Utente

  • Nome processo: processo nel PID

  • Versione della firma: versione della definizione

  • Versione del motore: versione Antimalware Engine

ID evento 1007

Nome simbolico: MALWAREPROTECTION_MALWARE_ACTION_TAKEN

Messaggio: la piattaforma antimalware ha eseguito un'azione per proteggere il sistema da malware o altro software potenzialmente indesiderato.

Descrizione: Microsoft Defender Antivirus ha intrapreso un'azione per proteggere il computer da malware o altro software potenzialmente indesiderato. Per altre informazioni, vedere i dettagli seguenti:

  • Utente: Dominio\Utente

  • Nome: Nome minaccia

  • ID: ID minaccia

  • Gravità: gravità. Esempi: Basso, Moderato, Alto o Grave

  • Categoria: descrizione della categoria, ad esempio qualsiasi minaccia o tipo di malware.

  • Azione: azione. Esempi:

    • Pulisci: la risorsa è stata pulita.

    • Quarantena: la risorsa è stata messa in quarantena.

    • Rimuovi: la risorsa è stata eliminata.

    • Consenti: la risorsa è stata consentita per l'esecuzione o l'esistenza.

    • Definito dall'utente: azione definita dall'utente che proviene in genere da questo elenco di azioni specificate dall'utente.

    • Nessuna azione: nessuna azione

    • Blocca: la risorsa non è stata eseguita.

  • Stato: Stato

  • Versione della firma: versione della definizione

  • Versione del motore: versione Antimalware Engine

ID evento 1008

Nome simbolico: MALWAREPROTECTION_MALWARE_ACTION_FAILED

Messaggio: la piattaforma antimalware ha tentato di eseguire un'azione per proteggere il sistema da malware o altro software potenzialmente indesiderato, ma l'azione non è riuscita.

Descrizione: Microsoft Defender Antivirus ha rilevato un errore durante l'esecuzione di azioni su malware o altro software potenzialmente indesiderato. Per altre informazioni, vedere i dettagli seguenti:

  • Utente: Dominio\Utente

  • Nome: Nome minaccia

  • ID: ID minaccia

  • Gravità: gravità. Esempi: Basso, Moderato, Alto o Grave

  • Categoria: descrizione della categoria, ad esempio qualsiasi minaccia o tipo di malware.

  • Percorso: Percorso file

  • Azione: azione. Esempi:

    • Pulisci: la risorsa è stata pulita.

    • Quarantena: la risorsa è stata messa in quarantena.

    • Rimuovi: la risorsa è stata eliminata.

    • Consenti: la risorsa è stata consentita per l'esecuzione o l'esistenza.

    • Definito dall'utente: azione definita dall'utente che proviene in genere da questo elenco di azioni specificate dall'utente.

    • Nessuna azione: nessuna azione

    • Blocca: la risorsa non è stata eseguita.

  • Codice di errore: codice di errore Codice risultato associato allo stato della minaccia. Valori HRESULT standard.

  • Descrizione errore: descrizione dell'errore Descrizione dell'errore.

  • Stato: Stato

  • Versione della firma: versione della definizione

  • Versione del motore: versione Antimalware Engine

ID evento 1009

Nome simbolico: MALWAREPROTECTION_QUARANTINE_RESTORE

Messaggio: la piattaforma antimalware ha ripristinato un elemento dalla quarantena.

Descrizione: Microsoft Defender Antivirus ha ripristinato un elemento dalla quarantena. Per altre informazioni, vedere i dettagli seguenti:

  • Nome: Nome minaccia

  • ID: ID minaccia

  • Gravità: gravità. Esempi: Basso, Moderato, Alto o Grave

  • Categoria: descrizione della categoria, ad esempio qualsiasi minaccia o tipo di malware.

  • Percorso: Percorso file

  • Utente: Dominio\Utente

  • Versione della firma: versione della definizione

  • Versione del motore: versione Antimalware Engine

ID evento 1010

Nome simbolico: MALWAREPROTECTION_QUARANTINE_RESTORE_FAILED

Messaggio: la piattaforma antimalware non è riuscita a ripristinare un elemento dalla quarantena.

Descrizione: Microsoft Defender Antivirus ha rilevato un errore durante il tentativo di ripristinare un elemento dalla quarantena. Per altre informazioni, vedere i dettagli seguenti:

  • Nome: Nome minaccia

  • ID: ID minaccia

  • Gravità: gravità. Esempi: Basso, Moderato, Alto o Grave

  • Categoria: descrizione della categoria, ad esempio qualsiasi minaccia o tipo di malware.

  • Percorso: Percorso file

  • Utente: Dominio\Utente

  • Codice di errore: codice di errore Codice risultato associato allo stato della minaccia. Valori HRESULT standard.

  • Descrizione errore: descrizione dell'errore Descrizione dell'errore.

  • Versione della firma: versione della definizione

  • Versione del motore: versione Antimalware Engine

ID evento 1011

Nome simbolico: MALWAREPROTECTION_QUARANTINE_DELETE

Messaggio: la piattaforma antimalware ha eliminato un elemento dalla quarantena.

Descrizione: Microsoft Defender Antivirus ha eliminato un elemento dalla quarantena. Per altre informazioni, vedere i dettagli seguenti:

  • Nome: Nome minaccia

  • ID: ID minaccia

  • Gravità: gravità. Esempi: Basso, Moderato, Alto o Grave

  • Categoria: descrizione della categoria, ad esempio qualsiasi minaccia o tipo di malware.

  • Percorso: Percorso file

  • Utente: Dominio\Utente

  • Versione della firma: versione della definizione

  • Versione del motore: versione Antimalware Engine

ID evento 1012

Nome simbolico: MALWAREPROTECTION_QUARANTINE_DELETE_FAILED

Messaggio: la piattaforma antimalware non è riuscita a eliminare un elemento dalla quarantena.

Descrizione: Microsoft Defender Antivirus ha rilevato un errore durante il tentativo di eliminare un elemento dalla quarantena. Per altre informazioni, vedere i dettagli seguenti:

  • Nome: Nome minaccia

  • ID: ID minaccia

  • Gravità: gravità. Esempi: Basso, Moderato, Alto o Grave

  • Categoria: descrizione della categoria, ad esempio qualsiasi minaccia o tipo di malware.

  • Percorso: Percorso file

  • Utente: Dominio\Utente

  • Codice di errore: codice di errore Codice risultato associato allo stato della minaccia. Valori HRESULT standard.

  • Descrizione errore: descrizione dell'errore Descrizione dell'errore.

  • Versione della firma: versione della definizione

  • Versione del motore: versione Antimalware Engine

ID evento 1013

Nome simbolico: MALWAREPROTECTION_MALWARE_HISTORY_DELETE

Messaggio: la piattaforma antimalware ha eliminato la cronologia di malware e altro software potenzialmente indesiderato.

Descrizione: Microsoft Defender antivirus ha rimosso la cronologia del malware e di altro software potenzialmente indesiderato.

  • Ora: ora in cui si è verificato l'evento, ad esempio quando la cronologia viene eliminata. Questo parametro non viene usato negli eventi di minaccia in modo che non vi sia confusione riguardo al tempo di correzione o al tempo di infezione. Per tali eventi, vengono chiamati in modo specifico come tempo di azione o tempo di rilevamento.

  • Utente: Dominio\Utente

ID evento 1014

Nome simbolico: MALWAREPROTECTION_MALWARE_HISTORY_DELETE_FAILED

Messaggio: la piattaforma antimalware non è riuscita a eliminare la cronologia di malware e altro software potenzialmente indesiderato.

Descrizione: Microsoft Defender Antivirus ha rilevato un errore durante il tentativo di rimuovere la cronologia di malware e altro software potenzialmente indesiderato.

  • Ora: ora in cui si è verificato l'evento, ad esempio quando la cronologia viene eliminata. Questo parametro non viene usato negli eventi di minaccia in modo che non vi sia confusione riguardo al tempo di correzione o al tempo di infezione. Per tali eventi, vengono chiamati in modo specifico come tempo di azione o tempo di rilevamento.

  • Utente: Dominio\Utente

  • Codice di errore: codice di errore Codice risultato associato allo stato della minaccia. Valori HRESULT standard.

  • Descrizione errore: descrizione dell'errore Descrizione dell'errore.

ID evento 1015

Nome simbolico: MALWAREPROTECTION_BEHAVIOR_DETECTED

Messaggio: la piattaforma antimalware ha rilevato un comportamento sospetto.

Descrizione: Microsoft Defender Antivirus ha rilevato un comportamento sospetto. Per altre informazioni, vedere i dettagli seguenti:

  • Nome: Nome minaccia

  • ID: ID minaccia

  • Gravità: gravità. Esempi: Basso, Moderato, Alto o Grave

  • Categoria: descrizione della categoria, ad esempio qualsiasi minaccia o tipo di malware.

  • Percorso: Percorso file

  • Origine rilevamento: origine del rilevamento. Esempi: Sconosciuto, Computer locale, Condivisione di rete, Internet, Traffico in ingresso o Traffico in uscita

  • Tipo di rilevamento: tipo di rilevamento. Esempi: firma euristica, generica, concreta o dinamica

  • Origine di rilevamento: origine di rilevamento, ad esempio:

    • Utente: avviato dall'utente

    • Sistema: avviato dal sistema

    • In tempo reale: componente in tempo reale avviato

    • IOAV: Download di Internet Explorer e allegati di Outlook Express avviati

    • NIS: Sistema di ispezione di rete

    • IEPROTECT: IE - IExtensionValidation; questa origine protegge da controlli di pagine Web dannosi.

    • Early Launch Antimalware (ELAM). Questa origine include malware rilevato dalla sequenza di avvio.

    • Attestazione remota

  • Antimalware Scan Interface (AMSI). Usato principalmente per proteggere gli script (PowerShell, VBS), anche se può essere richiamato anche da terze parti. Controllo dell'account utente

  • Stato: Stato

  • Utente: Dominio\Utente

  • Nome processo: processo nel PID

  • ID firma: gravità della corrispondenza dell'enumerazione.

  • Versione della firma: versione della definizione

  • Versione del motore: versione Antimalware Engine

  • Etichetta di fedeltà:

  • Nome file di destinazione: nome file del file.

ID evento 1116

Nome simbolico: MALWAREPROTECTION_STATE_MALWARE_DETECTED

Messaggio: la piattaforma antimalware ha rilevato malware o altro software potenzialmente indesiderato.

Descrizione: Microsoft Defender antivirus ha rilevato malware o altro software potenzialmente indesiderato. Per altre informazioni, vedere i dettagli seguenti:

  • Nome: Nome minaccia

  • ID: ID minaccia

  • Gravità: gravità. Esempi: Basso, Moderato, Alto o Grave

  • Categoria: descrizione della categoria, ad esempio qualsiasi minaccia o tipo di malware.

  • Percorso: Percorso file

  • Origine rilevamento: origine del rilevamento. Esempi: Sconosciuto, Computer locale, Condivisione di rete, Internet, Traffico in ingresso o Traffico in uscita

  • Tipo di rilevamento: tipo di rilevamento. Esempi: firma euristica, generica, concreta o dinamica

  • Origine di rilevamento: origine di rilevamento, ad esempio:

    • Utente: avviato dall'utente

    • Sistema: avviato dal sistema

    • In tempo reale: componente in tempo reale avviato

    • IOAV: Download di Internet Explorer e allegati di Outlook Express avviati

    • NIS: Sistema di ispezione di rete

    • IEPROTECT: IE - IExtensionValidation; in questo modo si protegge da controlli di pagine Web dannosi.

    • Early Launch Antimalware (ELAM). Questo include il malware rilevato dalla sequenza di avvio.

    • Attestazione remota

  • Antimalware Scan Interface (AMSI). Usato principalmente per proteggere gli script (PowerShell, VBS), anche se può essere richiamato anche da terze parti. Controllo dell'account utente

  • Utente: Dominio\Utente

  • Nome processo: processo nel PID

  • Versione della firma: versione della definizione

  • Versione del motore: versione Antimalware Engine

Azione utente: non è necessaria alcuna azione. Microsoft Defender Antivirus può sospendere e intraprendere azioni di routine su questa minaccia. Se si vuole rimuovere manualmente la minaccia, nell'interfaccia antivirus Microsoft Defender selezionare Pulisci computer.

ID evento 1117

Nome simbolico: MALWAREPROTECTION_STATE_MALWARE_ACTION_TAKEN

Messaggio: la piattaforma antimalware ha eseguito un'azione per proteggere il sistema da malware o altro software potenzialmente indesiderato.

Descrizione: Microsoft Defender Antivirus ha intrapreso un'azione per proteggere il computer da malware o altro software potenzialmente indesiderato. Per altre informazioni, vedere i dettagli seguenti:

  • Nome: Nome minaccia

  • ID: ID minaccia

  • Gravità: gravità. Esempi: Basso, Moderato, Alto o Grave

  • Categoria: descrizione della categoria, ad esempio qualsiasi minaccia o tipo di malware.

  • Percorso: Percorso file

  • Origine rilevamento: origine del rilevamento. Esempi: Sconosciuto, Computer locale, Condivisione di rete, Internet, Traffico in ingresso o Traffico in uscita

  • Tipo di rilevamento: tipo di rilevamento. Esempi: firma euristica, generica, concreta o dinamica

  • Origine di rilevamento: origine di rilevamento, ad esempio:

    • Utente: avviato dall'utente

    • Sistema: avviato dal sistema

    • In tempo reale: componente in tempo reale avviato

    • IOAV: Download di Internet Explorer e allegati di Outlook Express avviati

    • NIS: Sistema di ispezione di rete

    • IEPROTECT: IE - IExtensionValidation; questa origine protegge da controlli di pagine Web dannosi.

    • Early Launch Antimalware (ELAM). Questo include il malware rilevato dalla sequenza di avvio.

    • Attestazione remota

  • Antimalware Scan Interface (AMSI). Usato principalmente per proteggere gli script (PowerShell, VBS), anche se può essere richiamato anche da terze parti. Controllo dell'account utente

  • Utente: Dominio\Utente

  • Nome processo: processo nel PID

  • Azione: azione. Esempi:

    • Pulisci: la risorsa è stata pulita.

    • Quarantena: la risorsa è stata messa in quarantena.

    • Rimuovi: la risorsa è stata eliminata.

    • Consenti: la risorsa è stata consentita per l'esecuzione o l'esistenza.

    • Definito dall'utente: azione definita dall'utente che proviene in genere da questo elenco di azioni specificate dall'utente.

    • Nessuna azione: nessuna azione

    • Blocca: la risorsa non è stata eseguita.

  • Stato azione: descrizione di altre azioni

  • Codice di errore: codice di errore Codice risultato associato allo stato della minaccia. Valori HRESULT standard.

  • Descrizione errore: descrizione dell'errore Descrizione dell'errore.

  • Versione della firma: versione della definizione

  • Versione del motore: versione Antimalware Engine

Nota: ogni volta che Microsoft Defender Antivirus, strumento di rimozione software dannoso o System Center Endpoint Protection rileva un malware, ripristina le impostazioni di sistema e i servizi seguenti che potrebbero essere stati modificati dal malware:

- Default Internet Explorer or Microsoft Edge setting

- User Access Control settings

- Chrome settings

- Boot Control Data

- Regedit and Task Manager registry settings

- Windows Update, Background Intelligent Transfer Service, and Remote Procedure Call service

- Windows Operating System files

Il contesto precedente si applica alle versioni client e server seguenti:

- Operating system: Client Operating System

  Operating system version: Windows Vista (Service Pack 1, or Service Pack 2), Windows 7 and later

- Operating system: Server Operating System

  Operating system version: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, and Windows Server 2016

Azione utente: non è necessaria alcuna azione. Microsoft Defender Antivirus ha rimosso o messo in quarantena una minaccia.

ID evento 1118

Nome simbolico: MALWAREPROTECTION_STATE_MALWARE_ACTION_FAILED

Messaggio: la piattaforma antimalware ha tentato di eseguire un'azione per proteggere il sistema da malware o altro software potenzialmente indesiderato, ma l'azione non è riuscita.

Descrizione: Microsoft Defender Antivirus ha rilevato un errore non critico durante l'azione su malware o altro software potenzialmente indesiderato. Per altre informazioni, vedere i dettagli seguenti:

  • Nome: Nome minaccia

  • ID: ID minaccia

  • Gravità: gravità. Esempi: Basso, Moderato, Alto o Grave

  • Categoria: descrizione della categoria, ad esempio qualsiasi minaccia o tipo di malware.

  • Percorso: Percorso file

  • Origine rilevamento: origine del rilevamento. Esempi: Sconosciuto, Computer locale, Condivisione di rete, Internet, Traffico in ingresso o Traffico in uscita

  • Tipo di rilevamento: tipo di rilevamento. Esempi: firma euristica, generica, concreta o dinamica

  • Origine di rilevamento: origine di rilevamento, ad esempio:

    • Utente: avviato dall'utente

    • Sistema: avviato dal sistema

    • In tempo reale: componente in tempo reale avviato

    • IOAV: Download di Internet Explorer e allegati di Outlook Express avviati

    • NIS: Sistema di ispezione di rete

    • IEPROTECT: IE - IExtensionValidation; in questo modo si protegge da controlli di pagine Web dannosi.

    • Early Launch Antimalware (ELAM). Questo include il malware rilevato dalla sequenza di avvio.

    • Attestazione remota

  • Antimalware Scan Interface (AMSI). Usato principalmente per proteggere gli script (PowerShell, VBS), anche se può essere richiamato anche da terze parti. Controllo dell'account utente

  • Utente: Dominio\Utente

  • Nome processo: processo nel PID

  • Azione: azione. Esempi:

    • Pulisci: la risorsa è stata pulita.

    • Quarantena: la risorsa è stata messa in quarantena.

    • Rimuovi: la risorsa è stata eliminata.

    • Consenti: la risorsa è stata consentita per l'esecuzione o l'esistenza

    • Definito dall'utente: azione definita dall'utente che proviene in genere da questo elenco di azioni specificate dall'utente.

    • Nessuna azione: nessuna azione

    • Blocca: la risorsa non è stata eseguita

  • Stato azione: descrizione delle azioni aggiuntive

  • Codice di errore: codice di errore Codice risultato associato allo stato della minaccia. Valori HRESULT standard.

  • Descrizione errore: descrizione dell'errore Descrizione dell'errore.

  • Versione della firma: versione della definizione

  • Versione del motore: versione Antimalware Engine

Azione utente: non è necessaria alcuna azione. Microsoft Defender Antivirus non è riuscito a completare un'attività correlata alla correzione del malware. Non si tratta di un errore critico.

ID evento 1119

Nome simbolico: MALWAREPROTECTION_STATE_MALWARE_ACTION_CRITICALLY_FAILED

Messaggio: la piattaforma antimalware ha riscontrato un errore critico durante il tentativo di intervenire su malware o altro software potenzialmente indesiderato. Sono disponibili altri dettagli nel messaggio di evento.

Descrizione: Microsoft Defender Antivirus ha riscontrato un errore critico durante l'azione su malware o altro software potenzialmente indesiderato. Per altre informazioni, vedere i dettagli seguenti:

  • Nome: Nome minaccia

  • ID: ID minaccia

  • Gravità: gravità. Esempi: Basso, Moderato, Alto o Grave

  • Categoria: descrizione della categoria, ad esempio qualsiasi minaccia o tipo di malware.

  • Percorso: Percorso file

  • Origine rilevamento: origine del rilevamento. Esempi: Sconosciuto, Computer locale, Condivisione di rete, Internet, Traffico in ingresso o Traffico in uscita

  • Tipo di rilevamento: tipo di rilevamento. Esempi: firma euristica, generica, concreta o dinamica

  • Origine di rilevamento: origine di rilevamento, ad esempio:

    • Utente: avviato dall'utente

    • Sistema: avviato dal sistema

    • In tempo reale: componente in tempo reale avviato

    • IOAV: Download di Internet Explorer e allegati di Outlook Express avviati

    • NIS: Sistema di ispezione di rete

    • IEPROTECT: IE - IExtensionValidation; in questo modo si protegge da controlli di pagine Web dannosi.

    • Early Launch Antimalware (ELAM). Questo include il malware rilevato dalla sequenza di avvio

    • Attestazione remota

  • Antimalware Scan Interface (AMSI). Usato principalmente per proteggere gli script (PowerShell, VBS), anche se può essere richiamato anche da terze parti. Controllo dell'account utente

  • Utente: Dominio\Utente

  • Nome processo: processo nel PID

  • Azione: azione. Esempi:

    • Pulisci: la risorsa è stata pulita

    • Quarantena: la risorsa è stata messa in quarantena.

    • Rimuovi: la risorsa è stata eliminata.

    • Consenti: la risorsa è stata consentita per l'esecuzione o l'esistenza.

    • Definito dall'utente: azione definita dall'utente che proviene in genere da questo elenco di azioni specificate dall'utente.

    • Nessuna azione: nessuna azione

    • Blocca: la risorsa non è stata eseguita.

  • Stato azione: descrizione di altre azioni

  • Codice di errore: codice di errore Codice risultato associato allo stato della minaccia. Valori HRESULT standard.

  • Descrizione errore: descrizione dell'errore Descrizione dell'errore.

  • Versione della firma: versione della definizione

  • Versione del motore: versione Antimalware Engine

Azione utente: il client antivirus Microsoft Defender ha riscontrato questo errore a causa di problemi critici. L'endpoint potrebbe non essere protetto. Esaminare la descrizione dell'errore e quindi seguire i passaggi dell'azione utente pertinenti.

  • Azione: Rimuovi azione utente: aggiornare le definizioni e verificare che la rimozione sia stata completata correttamente.

  • Azione: Pulisci azione utente: aggiornare le definizioni e verificare che la correzione sia stata completata correttamente.

  • Azione: azione Quarantena utente: aggiornare le definizioni e verificare che l'utente disponga dell'autorizzazione per accedere alle risorse necessarie.

  • Azione: Consenti azione utente: verificare che l'utente disponga dell'autorizzazione per accedere alle risorse necessarie.

Se l'evento persiste:

ID evento 1120

Nome simbolico: MALWAREPROTECTION_THREAT_HASH

Messaggio: Microsoft Defender Antivirus ha dedotto gli hash per una risorsa minaccia.

Descrizione: Microsoft Defender client antivirus è attivo e in esecuzione in uno stato integro.

  • Versione della piattaforma corrente: versione della piattaforma corrente

  • Percorso risorsa delle minacce: percorso

  • Hash: hash

Nota: questo evento verrà registrato solo se è impostato il criterio seguente: ThreatFileHashLogging non firmato.

ID evento 1121

Messaggio: evento quando viene attivata una regola di riduzione della superficie di attacco in modalità blocco.

Descrizione:

  • Versione della piattaforma corrente: versione della piattaforma corrente

  • Percorso risorsa delle minacce: percorso

  • Hash: hash

ID evento 1127

Nome simbolico: MALWAREPROTECTION_FOLDER_GUARD_SECTOR_BLOCK

Messaggio: l'accesso controllato alle cartelle (CFA) ha impedito a un processo non attendibile di apportare modifiche alla memoria.

Descrizione: l'accesso controllato alle cartelle ha impedito a un processo non attendibile di modificare potenzialmente i settori del disco. Per altre informazioni sul record dell'evento, vedere i dettagli seguenti:

  • EventID: EventID. Esempi: 1127

  • Versione: versione. Esempi: 0

  • Livello: livello. Esempi: win: Warning

  • TimeCreated: SystemTime, ora in cui è stato creato l'evento.

  • EventRecordID: EventRecordID, numero di indice dell'evento nel registro eventi

  • Execution ProcessID: Execution ProcessID, processo che ha generato l'evento

  • Canale: canale eventi. Esempi: Microsoft-Windows-Windows Defender/Operational

  • Computer: Nome computer

  • Security UserID: Security UserID

  • Nome prodotto: Nome prodotto. Esempi: Microsoft Defender Antivirus

  • Versione del prodotto: versione del prodotto

  • Tempo di rilevamento: tempo di rilevamento, ora in cui CFA ha bloccato un processo non attendibile

  • Utente: Dominio\Utente

  • Percorso: nome del dispositivo, nome del dispositivo o del disco a cui è stato eseguito l'accesso a un processo non attendibile per la modifica

  • Nome processo: percorso processo, nome del percorso del processo che CFA ha bloccato l'accesso al dispositivo o al disco per la modifica

  • Versione di Security Intelligence: versione di Security Intelligence

  • Versione del motore: versione Antimalware Engine

Azione utente: l'utente può aggiungere il processo bloccato all'elenco Processo consentito per CFA usando PowerShell o Sicurezza di Windows Center.

ID evento 1150

Nome simbolico: MALWAREPROTECTION_SERVICE_HEALTHY

Messaggio: se la piattaforma antimalware segnala lo stato a una piattaforma di monitoraggio, questo evento indica che la piattaforma antimalware è in esecuzione e in uno stato integro.

Descrizione: Microsoft Defender client antivirus è attivo e in esecuzione in uno stato integro.

  • Versione della piattaforma: versione della piattaforma corrente

  • Versione della firma: versione della definizione

  • Versione del motore: versione Antimalware Engine

Azione utente: non è necessaria alcuna azione. Lo stato del client antivirus Microsoft Defender è integro. Questo evento viene segnalato su base oraria.

ID evento 1151

Nome simbolico: MALWAREPROTECTION_SERVICE_HEALTH_REPORT

Messaggio: Report sull'integrità client di Endpoint Protection (ora UTC)

Descrizione: Report sull'integrità del client antivirus.

  • Versione della piattaforma: versione della piattaforma corrente

  • Versione del motore: versione Antimalware Engine

  • Versione del motore di ispezione in tempo reale di rete: versione del motore di ispezione in tempo reale di rete

  • Versione della firma antivirus: versione della firma antivirus

  • Versione della firma antispyware: versione della firma antispyware

  • Versione della firma di ispezione in tempo reale di rete: versione della firma di ispezione in tempo reale di rete

  • Stato RTP: stato di protezione in tempo reale (abilitato o disabilitato)

  • Stato OA: stato di accesso (abilitato o disabilitato)

  • Stato IOAV: download di Internet Explorer e stato degli allegati di Outlook Express (abilitato o disabilitato)

  • Stato BM: stato di monitoraggio del comportamento (abilitato o disabilitato)

  • Età della firma antivirus: età della firma antivirus (in giorni)

  • Età della firma antispyware: età della firma antispyware (in giorni)

  • Età ultima analisi rapida: età ultima analisi rapida (in giorni)

  • Età ultima analisi completa: ultima età dell'analisi completa (in giorni)

  • Ora di creazione della firma antivirus: ora di creazione della firma antivirus

  • Ora di creazione della firma antispyware: ora di creazione della firma antispyware

  • Ora di avvio dell'ultima analisi rapida: ora di inizio ultima analisi rapida

  • Ora di fine ultima analisi rapida: ora di fine ultima analisi rapida

  • Origine dell'ultima analisi rapida: ultima origine di analisi rapida (0 = l'analisi non è stata eseguita, 1 = avviata dall'utente, 2 = avviata dal sistema)

  • Ora di inizio ultima analisi completa: ora di inizio ultima analisi completa

  • Ora di fine ultima analisi completa: ora di fine ultima analisi completa

  • Ultima origine analisi completa: ultima origine di analisi completa (0 = l'analisi non è stata eseguita, 1 = avviata dall'utente, 2 = avviata dal sistema)

  • Stato del prodotto: per la risoluzione dei problemi interni

ID evento 2000

Nome simbolico: MALWAREPROTECTION_SIGNATURE_UPDATED

Messaggio: le definizioni antimalware sono state aggiornate correttamente.

Descrizione: la versione della firma antivirus è stata aggiornata.

  • Versione della firma corrente: versione della firma corrente

  • Versione della firma precedente: versione della firma precedente

  • Tipo di firma: tipo di firma. Esempi: Antivirus, Antispyware, Antimalware o Network Inspection System

  • Tipo di aggiornamento: tipo di aggiornamento, completo o differenziale.

  • Utente: Dominio\Utente

  • Versione corrente del motore: versione corrente del motore

  • Versione precedente del motore: versione precedente del motore

Azione utente: non è necessaria alcuna azione. Lo stato del client antivirus Microsoft Defender è integro. Questo evento viene segnalato quando le firme vengono aggiornate correttamente.

ID evento 2001

Nome simbolico: MALWAREPROTECTION_SIGNATURE_UPDATE_FAILED

Messaggio: l'aggiornamento dell'intelligence per la sicurezza non è riuscito.

Descrizione: Microsoft Defender Antivirus ha rilevato un errore durante il tentativo di aggiornare le firme.

  • Nuova versione di Security Intelligence: nuovo numero di versione

  • Versione precedente di Security Intelligence: versione precedente

  • Origine aggiornamento: aggiorna l'origine. Esempi:

    • Cartella di aggiornamento di Security Intelligence

    • Server di aggiornamento di Intelligence per la sicurezza interna

    • Microsoft Update Server

    • Condivisione file

    • Microsoft Malware Protection Center (MMPC)

  • Fase di aggiornamento: fase di aggiornamento. Esempi: Ricerca, Download o Installazione

  • Percorso origine: nome condivisione file per UNC (Universal Naming Convention), nome del server per Windows Server Update Services (WSUS)/Microsoft Update/ADL.

  • Tipo di firma: tipo di firma. Esempi: Antivirus, Antispyware, Antimalware o Network Inspection System

  • Tipo di aggiornamento: tipo di aggiornamento, completo o differenziale.

  • Utente: Dominio\Utente

  • Versione corrente del motore: versione corrente del motore

  • Versione precedente del motore: versione precedente del motore

  • Codice di errore: codice di errore Codice risultato associato allo stato della minaccia. Valori HRESULT standard.

  • Descrizione errore: descrizione dell'errore Descrizione dell'errore.

Azione utente: questo errore si verifica quando si verifica un problema durante l'aggiornamento delle definizioni. Per risolvere questo evento:

ID evento 2002

Nome simbolico: MALWAREPROTECTION_ENGINE_UPDATED

Messaggio: il motore antimalware è stato aggiornato correttamente.

Descrizione: Microsoft Defender versione del motore antivirus è stata aggiornata.

  • Versione corrente del motore: versione corrente del motore

  • Versione precedente del motore: versione precedente del motore

  • Tipo di motore: tipo di motore, motore antimalware o motore del sistema di ispezione di rete.

  • Utente: Dominio\Utente

Azione utente: non è necessaria alcuna azione. Lo stato del client antivirus Microsoft Defender è integro. Questo evento viene segnalato quando il motore antimalware viene aggiornato correttamente.

ID evento 2003

Nome simbolico: MALWAREPROTECTION_ENGINE_UPDATE_FAILED

Messaggio: l'aggiornamento del motore antimalware non è riuscito.

Descrizione: Microsoft Defender Antivirus ha rilevato un errore durante il tentativo di aggiornamento del motore.

  • Nuova versione del motore:

  • Versione precedente del motore: versione precedente del motore

  • Tipo di motore: tipo di motore, motore antimalware o motore del sistema di ispezione di rete.

  • Utente: Dominio\Utente

  • Codice di errore: codice di errore Codice risultato associato allo stato della minaccia. Valori HRESULT standard.

  • Descrizione errore: descrizione dell'errore Descrizione dell'errore.

Azione utente: aggiornamento client Microsoft Defender Antivirus non riuscito. Questo evento si verifica quando il client non riesce ad aggiornarsi. Questo evento è dovuto a un'interruzione della connettività di rete durante un aggiornamento. Per risolvere questo evento:

ID evento 2004

Nome simbolico: MALWAREPROTECTION_SIGNATURE_REVERSION

Messaggio: Si è verificato un problema durante il caricamento della definizione antimalware. Il motore antimalware tenta di caricare l'ultimo set di definizioni valido noto.

Descrizione: Microsoft Defender Antivirus ha rilevato un errore durante il tentativo di caricare le firme e tenterà di ripristinare un set di firme valido.

  • Firme tentate:

  • Codice di errore: codice di errore Codice risultato associato allo stato della minaccia. Valori HRESULT standard.

  • Descrizione errore: descrizione dell'errore Descrizione dell'errore.

  • Versione della firma: versione della definizione

  • Versione motore: versione del motore antimalware

Azione utente: il client antivirus Microsoft Defender ha tentato di scaricare e installare il file di definizioni più recente e non è riuscito. Questo errore può verificarsi quando il client rileva un errore durante il tentativo di caricare le definizioni o se il file è danneggiato. Microsoft Defender Antivirus tenta di ripristinare un set di definizioni valido. Per risolvere questo evento:

  • Riavviare il computer e riprovare.

  • Scaricare le definizioni più recenti dal sito Intelligence di sicurezza Microsoft.

    Nota: le dimensioni del file di definizioni scaricato dal sito possono superare i 60 MB e non devono essere usate come soluzione a lungo termine per l'aggiornamento delle definizioni.

  • Contatta il Supporto tecnico Microsoft.

ID evento 2005

Nome simbolico: MALWAREPROTECTION_ENGINE_UPDATE_PLATFORMOUTOFDATE

Messaggio: impossibile caricare il motore antimalware perché la piattaforma antimalware non è aggiornata. La piattaforma antimalware carica l'ultimo motore antimalware valido e tenta di eseguire l'aggiornamento.

Descrizione: Microsoft Defender Antivirus non è riuscito a caricare il motore antimalware perché la versione della piattaforma corrente non è supportata. Microsoft Defender Antivirus torna all'ultimo motore valido noto e verrà tentato un aggiornamento della piattaforma.

  • Versione della piattaforma corrente: versione della piattaforma corrente

ID evento 2006

Nome simbolico: MALWAREPROTECTION_PLATFORM_UPDATE_FAILED

Messaggio: l'aggiornamento della piattaforma non è riuscito.

Descrizione: Microsoft Defender Antivirus ha rilevato un errore durante il tentativo di aggiornamento della piattaforma.

  • Versione della piattaforma corrente: versione della piattaforma corrente

  • Codice di errore: codice di errore Codice risultato associato allo stato della minaccia. Valori HRESULT standard.

  • Descrizione errore: descrizione dell'errore Descrizione dell'errore.

ID evento 2007

Nome simbolico: MALWAREPROTECTION_PLATFORM_ALMOSTOUTOFDATE

Messaggio: la piattaforma non sarà più aggiornata. Scaricare la piattaforma più recente per mantenere la protezione aggiornata.

Descrizione: Microsoft Defender Antivirus richiederà presto una versione più recente della piattaforma per supportare le versioni future del motore antimalware. Scaricare la piattaforma antivirus Microsoft Defender più recente per mantenere il miglior livello di protezione disponibile.

  • Versione della piattaforma corrente: versione della piattaforma corrente

ID evento 2010

Nome simbolico: MALWAREPROTECTION_SIGNATURE_FASTPATH_UPDATED

Messaggio: il motore antimalware ha usato il servizio di firma dinamica per ottenere altre definizioni.

Descrizione: Microsoft Defender Antivirus ha usato il servizio firma dinamica per recuperare altre firme per proteggere il computer.

  • Versione della firma corrente: versione della firma corrente

  • Tipo di firma: tipo di firma. Esempi: Antivirus, Antispyware, Antimalware o Network Inspection System

  • Versione corrente del motore: versione corrente del motore

  • Tipo di firma dinamica: tipo di firma dinamica. Esempi: Versione, Timestamp, Nessun limite o Durata

  • Percorso di persistenza: Percorso

  • Versione firma dinamica: numero di versione

  • Timestamp di compilazione della firma dinamica: timestamp

  • Tipo limite di persistenza: tipo di limite di persistenza. Esempi: versione VDM, Timestamp o Nessun limite

  • Limite di persistenza: limite di persistenza della firma fastpath.

ID evento 2011

Nome simbolico: MALWAREPROTECTION_SIGNATURE_FASTPATH_DELETED

Messaggio: il servizio di firma dinamica ha eliminato le definizioni dinamiche non aggiornate.

Modificare il comportamento predefinito: passare al comportamento predefinito per la segnalazione di eventi con firma dinamica.

Quando una firma dinamica viene ricevuta da MDE, viene segnalato un evento 2010. Tuttavia, quando la firma dinamica scade o viene eliminata manualmente, viene segnalato un evento 2011. In alcuni casi, quando una nuova firma viene recapitata a MDE a volte centinaia di firme dinamiche scadono contemporaneamente, pertanto vengono segnalati centinaia di eventi del 2011. La generazione di così tanti eventi del 2011 può causare l'inondazione di un server SIEM (Security Information and Event Management).

Per evitare la situazione descritta in precedenza, a partire dalla versione 4.18.2207.7 della piattaforma, per impostazione predefinita Defender per endpoint non segnala gli eventi 2011:

  • Questo nuovo comportamento predefinito è controllato dalla voce del Registro di sistema: HKLM\SOFTWARE\Microsoft\Windows Defender\Reporting\EnableDynamicSignatureDroppedEventReporting.
  • Il valore predefinito per EnableDynamicSignatureDroppedEventReporting è false, ovvero gli eventi 2011 non vengono segnalati. Se è impostato su true, vengono segnalati gli eventi 2011.

Poiché gli eventi di firma 2010 vengono distribuiti sporadicamente in modo sporadico e non causeranno un picco, il comportamento degli eventi di firma 2010 rimane invariato.

Descrizione: Microsoft Defender Antivirus ha usato il servizio firma dinamica per eliminare le firme obsolete.

  • Versione della firma corrente: versione della firma corrente

  • Tipo di firma: tipo di firma. Esempi: Antivirus, Antispyware, Antimalware o Network Inspection System

  • Versione corrente del motore: versione corrente del motore

  • Tipo di firma dinamica: tipo di firma dinamica. Esempi: Versione, Timestamp, Nessun limite o Durata

  • Percorso di persistenza: Percorso

  • Versione firma dinamica: numero di versione

  • Timestamp di compilazione della firma dinamica: timestamp

  • Motivo della rimozione:

  • Tipo limite di persistenza: tipo di limite di persistenza. Esempi: versione VDM, Timestamp o Nessun limite

  • Limite di persistenza: limite di persistenza della firma fastpath.

Azione utente: non è necessaria alcuna azione. Lo stato del client antivirus Microsoft Defender è integro. Questo evento viene segnalato quando il servizio di firma dinamica elimina correttamente le definizioni dinamiche non aggiornate.

ID evento 2012

Nome simbolico: MALWAREPROTECTION_SIGNATURE_FASTPATH_UPDATE_FAILED

Messaggio: il motore antimalware ha rilevato un errore durante il tentativo di usare il servizio firma dinamica.

Descrizione: Microsoft Defender Antivirus ha rilevato un errore durante il tentativo di usare il servizio firma dinamica.

  • Versione della firma corrente: versione della firma corrente

  • Tipo di firma: tipo di firma. Esempi: Antivirus, Antispyware, Antimalware o Network Inspection System

  • Versione corrente del motore: versione corrente del motore

  • Codice di errore: codice di errore Codice risultato associato allo stato della minaccia. Valori HRESULT standard.

  • Descrizione errore: descrizione dell'errore Descrizione dell'errore.

  • Tipo di firma dinamica: tipo di firma dinamica. Esempi: Versione, Timestamp, Nessun limite o Durata

  • Percorso di persistenza: Percorso

  • Versione firma dinamica: numero di versione

  • Timestamp di compilazione della firma dinamica: timestamp

  • Tipo limite di persistenza: tipo di limite di persistenza. Esempi: versione VDM, Timestamp o Nessun limite

  • Limite di persistenza: limite di persistenza della firma fastpath.

Azione utente: controllare le impostazioni di connettività Internet.

ID evento 2013

Nome simbolico: MALWAREPROTECTION_SIGNATURE_FASTPATH_DELETED_ALL

Messaggio: il servizio di firma dinamica ha eliminato tutte le definizioni dinamiche.

Descrizione: Microsoft Defender Antivirus ha eliminato tutte le firme del servizio di firma dinamica.

  • Versione della firma corrente: versione della firma corrente

ID evento 2020

Nome simbolico: MALWAREPROTECTION_CLOUD_CLEAN_RESTORE_FILE_DOWNLOADED

Messaggio: il motore antimalware ha scaricato un file pulito.

Descrizione: Microsoft Defender Antivirus ha scaricato un file pulito.

  • Nome file: nome file Nome del file.

  • Versione della firma corrente: versione della firma corrente

  • Versione corrente del motore: versione corrente del motore

ID evento 2021

Nome simbolico: MALWAREPROTECTION_CLOUD_CLEAN_RESTORE_FILE_DOWNLOAD_FAILED

Messaggio: il motore antimalware non è riuscito a scaricare un file pulito.

Descrizione: Microsoft Defender Antivirus ha rilevato un errore durante il tentativo di scaricare un file pulito.

  • Nome file: nome file Nome del file.

  • Versione della firma corrente: versione della firma corrente

  • Versione corrente del motore: versione corrente del motore

  • Codice di errore: codice di errore Codice risultato associato allo stato della minaccia. Valori HRESULT standard.

  • Descrizione errore: descrizione dell'errore Descrizione dell'errore.

Azione utente: controllare le impostazioni di connettività Internet. Il client antivirus Microsoft Defender ha rilevato un errore durante l'uso del servizio di firma dinamica per scaricare le definizioni più recenti in una minaccia specifica. Questo errore è probabilmente causato da un problema di connettività di rete.

ID evento 2030

Nome simbolico: MALWAREPROTECTION_OFFLINE_SCAN_INSTALLED

Messaggio: il motore antimalware è stato scaricato ed è configurato per l'esecuzione offline al successivo riavvio del sistema.

Descrizione: Microsoft Defender Antivirus scaricato e configurato antivirus offline per l'esecuzione al riavvio successivo.

ID evento 2031

Nome simbolico: MALWAREPROTECTION_OFFLINE_SCAN_INSTALL_FAILED

Messaggio: il motore antimalware non è riuscito a scaricare e configurare un'analisi offline.

Descrizione: Microsoft Defender Antivirus ha rilevato un errore durante il tentativo di scaricare e configurare l'antivirus offline.

  • Codice di errore: codice di errore Codice risultato associato allo stato della minaccia. Valori HRESULT standard.

  • Descrizione errore: descrizione dell'errore Descrizione dell'errore.

ID evento 2040

Nome simbolico: MALWAREPROTECTION_OS_EXPIRING

Messaggio: il supporto antimalware per questa versione del sistema operativo terminerà presto.

Descrizione: il supporto per il sistema operativo scade a breve. L'esecuzione di Microsoft Defender Antivirus in un sistema operativo fuori supporto non è una soluzione adeguata per la protezione dalle minacce.

ID evento 2041

Nome simbolico: MALWAREPROTECTION_OS_EOL

Messaggio: il supporto antimalware per questo sistema operativo è terminato. È necessario aggiornare il sistema operativo per continuare a supportare.

Descrizione: il supporto per il sistema operativo è scaduto. L'esecuzione di Microsoft Defender Antivirus in un sistema operativo fuori supporto non è una soluzione adeguata per la protezione dalle minacce.

ID evento 2042

Nome simbolico: MALWAREPROTECTION_PROTECTION_EOL

Messaggio: il motore antimalware non supporta più questo sistema operativo e non protegge più il sistema dal malware.

Descrizione: il supporto per il sistema operativo è scaduto. Microsoft Defender Antivirus non è più supportato nel sistema operativo, ha smesso di funzionare e non protegge dalle minacce malware.

ID evento 3002

Nome simbolico: MALWAREPROTECTION_RTP_FEATURE_FAILURE

Messaggio: la protezione in tempo reale ha rilevato un errore e non è riuscita.

Descrizione: Microsoft Defender funzionalità Antivirus Real-Time Protection ha rilevato un errore e non è riuscito.

  • Funzionalità: funzionalità. Esempi: in Access, Internet Explorer scarica e allegati di Microsoft Outlook Express, monitoraggio del comportamento o Sistema di ispezione di rete.

  • Codice di errore: codice di errore Codice risultato associato allo stato della minaccia. Valori HRESULT standard.

  • Descrizione errore: descrizione dell'errore Descrizione dell'errore.

  • Motivo: il motivo Microsoft Defender protezione antivirus in tempo reale ha riavviato una funzionalità.

Azione utente: è necessario riavviare il sistema ed eseguire un'analisi completa perché è possibile che il sistema non sia stato protetto per qualche tempo. La funzionalità di protezione in tempo reale del client antivirus Microsoft Defender ha rilevato un errore perché non è stato possibile avviare uno dei servizi. Se è seguito da un ID evento 3007, l'errore è stato temporaneo e il client antimalware è stato ripristinato dall'errore.

ID evento 3007

Nome simbolico: MALWAREPROTECTION_RTP_FEATURE_RECOVERED

Messaggio: protezione in tempo reale ripristinata da un errore. Quando viene visualizzato questo errore, è consigliabile eseguire un'analisi completa del sistema.

Descrizione: Microsoft Defender Protezione antivirus in tempo reale ha riavviato una funzionalità. È consigliabile eseguire un'analisi completa del sistema per rilevare eventuali elementi che potrebbero essere stati persi mentre l'agente era inattivo.

  • Funzionalità: funzionalità. Esempi: in Access, i download di Internet Explorer e gli allegati di Outlook Express, il monitoraggio del comportamento o il sistema di ispezione della rete

  • Motivo: il motivo Microsoft Defender protezione antivirus in tempo reale ha riavviato una funzionalità.

Azione utente: la funzionalità di protezione in tempo reale è stata riavviata. Se questo evento si verifica di nuovo, contattare il supporto tecnico Microsoft.

ID evento 5000

Nome simbolico: MALWAREPROTECTION_RTP_ENABLED

Messaggio: la protezione in tempo reale è abilitata.

Descrizione: Microsoft Defender antivirus è stata abilitata l'analisi della protezione in tempo reale per la ricerca di malware e altro software potenzialmente indesiderato.

ID evento 5001

Nome simbolico: MALWAREPROTECTION_RTP_DISABLED

Messaggio: la protezione in tempo reale è disabilitata.

Descrizione: Microsoft Defender l'analisi della protezione antivirus in tempo reale per la ricerca di malware e altro software potenzialmente indesiderato è stato disabilitato.

ID evento 5004

Nome simbolico: MALWAREPROTECTION_RTP_FEATURE_CONFIGURED

Messaggio: la configurazione della protezione in tempo reale è stata modificata.

Descrizione: Microsoft Defender la configurazione della funzionalità di protezione antivirus in tempo reale è stata modificata.

  • Funzionalità: funzionalità. Esempi: in Access, i download di Internet Explorer e gli allegati di Outlook Express, il monitoraggio del comportamento o il sistema di ispezione della rete
  • Configurazione:

ID evento 5007

Nome simbolico: MALWAREPROTECTION_CONFIG_CHANGED

Messaggio: la configurazione della piattaforma antimalware è stata modificata.

Descrizione: Microsoft Defender configurazione antivirus modificata. Se questo evento è imprevisto, è consigliabile esaminare le impostazioni in quanto l'evento potrebbe essere il risultato di malware.

  • Valore precedente: numero di valore precedente Valore di configurazione antivirus precedente.

  • Nuovo valore: nuovo numero di valore Nuovo valore di configurazione antivirus.

ID evento 5008

Nome simbolico: MALWAREPROTECTION_ENGINE_FAILURE

Messaggio: il motore antimalware ha rilevato un errore e non è riuscito.

Descrizione: Microsoft Defender motore antivirus è stato terminato a causa di un errore imprevisto.

  • Tipo di errore: tipo di errore. Esempi: arresto anomalo o blocco

  • Codice eccezione: codice di errore

  • Risorsa: Risorsa

Azione utente: per risolvere questo evento:

  • Provare a riavviare il servizio.

    • Per antimalware, antivirus e spyware, al prompt dei comandi con privilegi elevati digitare net stop msmpsvc e quindi digitare net start msmpsvc per riavviare il motore antimalware.

    • Per Network Inspection System, al prompt dei comandi con privilegi elevati digitare net start nissrv e quindi digitare net start nissrv per riavviare il motore network inspection system usando il file NiSSRV.exe.

  • Se ha esito negativo nello stesso modo, cercare il codice di errore accedendo al sito supporto tecnico Microsoft e immettendo il numero di errore nella casella di ricerca e contattando il supporto tecnico Microsoft.

Azione utente: il motore client Microsoft Defender Antivirus si è arrestato a causa di un errore imprevisto. Per risolvere questo evento:

ID evento 5009

Nome simbolico: MALWAREPROTECTION_ANTISPYWARE_ENABLED

Messaggio: l'analisi di malware e altro software potenzialmente indesiderato è abilitata.

Descrizione: Microsoft Defender antivirus ha abilitato l'analisi del malware e di altro software potenzialmente indesiderato.

ID evento 5010

Nome simbolico: MALWAREPROTECTION_ANTISPYWARE_DISABLED

Messaggio: l'analisi di malware e altro software potenzialmente indesiderato è disabilitata.

Descrizione: Microsoft Defender l'analisi antivirus del malware e di altro software potenzialmente indesiderato è disabilitata.

ID evento 5011

Nome simbolico: MALWAREPROTECTION_ANTIVIRUS_ENABLED

Messaggio: l'analisi dei virus è abilitata.

Descrizione: Microsoft Defender l'analisi dei virus abilitata per l'antivirus.

ID evento 5012

Nome simbolico: MALWAREPROTECTION_ANTIVIRUS_DISABLED

Messaggio: l'analisi della presenza di virus è disabilitata.

Descrizione: Microsoft Defender l'analisi antivirus per i virus è disabilitata.

ID evento 5013

Nome simbolico: MALWAREPROTECTION_SCAN_CANCELLED

Messaggio: la protezione da manomissione ha bloccato una modifica a Microsoft Defender Antivirus.

Descrizione: se la protezione da manomissione è abilitata, qualsiasi tentativo di modificare le impostazioni di Defender viene bloccato. L'ID evento 5013 viene generato e indica quale modifica dell'impostazione è stata bloccata.

ID evento 5100

Nome simbolico: MALWAREPROTECTION_EXPIRATION_WARNING_STATE

Messaggio: la piattaforma antimalware scade presto.

Descrizione: Microsoft Defender Antivirus ha immesso un periodo di tolleranza e scadrà presto. Dopo la scadenza, questo programma disabiliterà la protezione da virus, spyware e altro software potenzialmente indesiderato.

  • Motivo della scadenza: il motivo Microsoft Defender antivirus scade.

  • Data di scadenza: data di scadenza Microsoft Defender Antivirus.

ID evento 5101

Nome simbolico: MALWAREPROTECTION_DISABLED_EXPIRED_STATE

Messaggio: la piattaforma antimalware è scaduta.

Descrizione: Microsoft Defender periodo di tolleranza antivirus è scaduto. La protezione da virus, spyware e altro software potenzialmente indesiderato è disabilitata.

  • Codice di errore: codice di errore Codice risultato associato allo stato della minaccia. Valori HRESULT standard.

  • Descrizione errore: descrizione dell'errore Descrizione dell'errore.

codici di errore del client antivirus Microsoft Defender

Se Microsoft Defender Antivirus presenta problemi, in genere fornisce un codice di errore che consente di risolvere il problema. Molto spesso un errore indica che si è verificato un problema durante l'installazione di un aggiornamento. In questa sezione vengono fornite le informazioni seguenti sugli errori del client antivirus Microsoft Defender.

  • Codice di errore

  • Il possibile motivo dell'errore

  • Consigli su cosa fare ora

Usare le informazioni seguenti per risolvere i problemi relativi ai codici di errore Microsoft Defender Antivirus.

Codice di errore 0x80508007

Messaggio: ERR_MP_NO_MEMORY

Possibile motivo: questo errore indica che la memoria potrebbe essere esaurita.

Risoluzione:

  • Controllare la memoria disponibile nel dispositivo.

  • Chiudere tutte le applicazioni inutilizzate in esecuzione per liberare memoria nel dispositivo.

  • Riavviare il dispositivo ed eseguire di nuovo l'analisi.

Codice di errore 0x8050800C

Messaggio: ERR_MP_BAD_INPUT_DATA

Possibile motivo: questo errore indica che potrebbe esserci un problema con il prodotto di sicurezza.

Risoluzione:

  • Aggiornare le definizioni. O:

    [! NOTA] Le dimensioni del file di definizioni scaricato dal sito possono superare i 60 MB e non devono essere usate come soluzione a lungo termine per l'aggiornamento delle definizioni.

  • Eseguire un'analisi completa.

  • Riavviare il dispositivo e riprovare.

Codice di errore 0x80508020

Messaggio: ERR_MP_BAD_CONFIGURATION

Possibile motivo: questo errore indica che potrebbe essere presente un errore di configurazione del motore. In genere, questo errore è correlato ai dati di input che non consentono al motore di funzionare correttamente.

Codice di errore 0x805080211

Messaggio: ERR_MP_QUARANTINE_FAILED

Possibile motivo: questo errore indica che Microsoft Defender Antivirus non è riuscito a mettere in quarantena una minaccia.

Codice di errore 0x80508022

Messaggio: ERR_MP_REBOOT_REQUIRED

Possibile motivo: questo errore indica che è necessario un riavvio per completare la rimozione delle minacce.

Codice di errore 0x80508023

Messaggio: ERR_MP_THREAT_NOT_FOUND

Possibile motivo: questo errore indica che la minaccia potrebbe non essere più presente nel supporto o che il malware potrebbe impedire l'analisi del dispositivo.

Risoluzione: eseguire il Microsoft Safety Scanner quindi aggiornare il software di sicurezza e riprovare.

Codice di errore 0x80508024

Messaggio: ERR_MP_FULL_SCAN_REQUIRED

Possibile motivo: questo errore indica che potrebbe essere necessaria un'analisi completa del sistema.

Risoluzione: eseguire un'analisi completa del sistema.

Codice di errore 0x80508025

Messaggio: ERR_MP_MANUAL_STEPS_REQUIRED

Possibile motivo: questo errore indica che sono necessari passaggi manuali per completare la rimozione delle minacce.

Risoluzione: seguire i passaggi di correzione manuali descritti in Microsoft Malware Protection Enciclopedia. È possibile trovare un collegamento specifico della minaccia nella cronologia eventi.

Codice di errore 0x80508026

Messaggio: ERR_MP_REMOVE_NOT_SUPPORTED

Possibile motivo: questo errore indica che la rimozione all'interno del tipo di contenitore potrebbe non essere supportata.

Risoluzione: Microsoft Defender Antivirus non è in grado di correggere le minacce rilevate all'interno dell'archivio. Prendere in considerazione la rimozione manuale delle risorse rilevate.

Codice di errore 0x80508027

Messaggio: ERR_MP_REMOVE_LOW_MEDIUM_DISABLED

Possibile motivo: questo errore indica che la rimozione di minacce medio-basse potrebbe essere disabilitata.

Risoluzione: controllare le minacce rilevate e risolverle in base alle esigenze.

Codice di errore 0x80508029

Messaggio: ERROR_MP_RESCAN_REQUIRED

Possibile motivo: questo errore indica che è necessaria una nuova analisi della minaccia.

Risoluzione: eseguire un'analisi completa del sistema.

Codice di errore 0x80508030

Messaggio: ERROR_MP_CALLISTO_REQUIRED

Possibile motivo: questo errore indica che è necessaria un'analisi offline.

Risoluzione: eseguire offline Microsoft Defender Antivirus. Per altre informazioni, vedere Proteggere il PC con Microsoft Defender Offline.

Codice di errore 0x80508031

Messaggio: ERROR_MP_PLATFORM_OUTDATED

Possibile motivo: questo errore indica che Microsoft Defender Antivirus non supporta la versione corrente della piattaforma e richiede una nuova versione della piattaforma.

Risoluzione: è possibile usare Microsoft Defender Antivirus solo in Windows 10 e Windows 11. Per Windows 8, Windows 7 e Windows Vista, è possibile usare System Center Endpoint Protection.

Codici di errore interni

Durante il test interno di Microsoft Defender Antivirus vengono usati i codici di errore seguenti.

Se vengono visualizzati questi errori, è possibile provare ad aggiornare le definizioni e forzare la ripetizione dell'analisi direttamente nell'endpoint.

Codice di errore 0x80501004

Messaggio visualizzato: ERROR_MP_NO_INTERNET_CONN

Possibile motivo di errore e risoluzione: controllare la connessione Internet, quindi eseguire di nuovo l'analisi.

Codice di errore 0x80501000

Messaggio visualizzato: ERROR_MP_UI_CONSOLIDATION_BASE

Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.

Codice di errore 0x80501001

Messaggio visualizzato: ERROR_MP_ACTIONS_FAILED

Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.

Codice di errore 0x80501002

Messaggio visualizzato: ERROR_MP_NOENGINE

Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.

Codice di errore 0x80501003

Messaggio visualizzato: ERROR_MP_ACTIVE_THREATS

Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.

Codice di errore 0x805011011

Messaggio visualizzato: MP_ERROR_CODE_LUA_CANCELLED

Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.

Codice di errore 0x80501101

Messaggio visualizzato: ERROR_LUA_CANCELLATION

Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.

Codice di errore 0x80501102

Messaggio visualizzato: MP_ERROR_CODE_ALREADY_SHUTDOWN

Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.

Codice di errore 0x80501103

Messaggio visualizzato: MP_ERROR_CODE_RDEVICE_S_ASYNC_CALL_PENDING

Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.

Codice di errore 0x80501104

Messaggio visualizzato: MP_ERROR_CODE_CANCELLED

Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.

Codice di errore 0x80501105

Messaggio visualizzato: MP_ERROR_CODE_NO_TARGETOS

Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.

Codice di errore 0x80501106

Messaggio visualizzato: MP_ERROR_CODE_BAD_REGEXP

Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.

Codice di errore 0x80501107

Messaggio visualizzato: MP_ERROR_TEST_INDUCED_ERROR

Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.

Codice di errore 0x80501108

Messaggio visualizzato: MP_ERROR_SIG_BACKUP_DISABLED

Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.

Codice di errore 0x80508001

Messaggio visualizzato: ERR_MP_BAD_INIT_MODULES

Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.

Codice di errore 0x80508002

Messaggio visualizzato: ERR_MP_BAD_DATABASE

Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.

Codice di errore 0x80508004

Messaggio visualizzato: ERR_MP_BAD_UFS

Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.

Codice di errore 0x8050800C

Messaggio visualizzato: ERR_MP_BAD_INPUT_DATA

Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.

Codice di errore 0x8050800D

Messaggio visualizzato: ERR_MP_BAD_GLOBAL_STORAGE

Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.

Codice di errore 0x8050800E

Messaggio visualizzato: ERR_MP_OBSOLETE

Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.

Codice di errore 0x8050800F

Messaggio visualizzato: ERR_MP_NOT_SUPPORTED

Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.

Codice di errore 0x8050800F

Messaggio visualizzato: ERR_MP_NO_MORE_ITEMS

Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.

Codice di errore 0x80508010

Messaggio visualizzato: ERR_MP_NO_MORE_ITEMS

Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.

Codice di errore 0x80508011

Messaggio visualizzato: ERR_MP_DUPLICATE_SCANID

Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.

Codice di errore 0x80508012

Messaggio visualizzato: ERR_MP_BAD_SCANID

Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.

Codice di errore 0x80508013

Messaggio visualizzato: ERR_MP_BAD_USERDB_VERSION

Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.

Codice di errore 0x80508014

Messaggio visualizzato: ERR_MP_RESTORE_FAILED

Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.

Codice di errore 0x80508016

Messaggio visualizzato: ERR_MP_BAD_ACTION

Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.

Codice di errore 0x80508019

Messaggio visualizzato: ERR_MP_NOT_FOUND

Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.

Codice di errore 0x80509001

Messaggio visualizzato: ERR_RELO_BAD_EHANDLE

Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.

Codice di errore 0x80509003

Messaggio visualizzato: ERR_RELO_KERNEL_NOT_LOADED

Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.

Codice di errore 0x8050A001

Messaggio visualizzato: ERR_MP_BADDB_OPEN

Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.

Codice di errore 0x8050A002

Messaggio visualizzato: ERR_MP_BADDB_HEADER

Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.

Codice di errore 0x8050A003

Messaggio visualizzato: ERR_MP_BADDB_OLDENGINE

Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.

Codice di errore 0x8050A004

Messaggio visualizzato: ERR_MP_BADDB_CONTENT

Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.

Codice di errore 0x8050A005

Messaggio visualizzato: ERR_MP_BADDB_NOTSIGNED

Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.

Codice di errore 0x8050801

Messaggio visualizzato: ERR_MP_REMOVE_FAILED

Possibile motivo dell'errore e della risoluzione: questo errore è interno. Potrebbe essere attivato quando la rimozione del malware non riesce.

Codice di errore 0x80508018

Messaggio visualizzato: ERR_MP_SCAN_ABORTED

Possibile motivo dell'errore e della risoluzione: questo errore è interno. Potrebbe essere stata attivata quando non è possibile completare un'analisi.