Se si verifica un problema con Microsoft Defender Antivirus, è possibile cercare le sezioni seguenti in questo articolo per trovare un problema corrispondente e una potenziale soluzione.
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Antivirus Microsoft Defender
Ricerca per categorie visualizzare un evento antivirus Microsoft Defender?
Aprire Visualizzatore eventi.
Nell'albero della console espandere Registri> applicazioni e serviziMicrosoft>Windows> Defender.
Fare doppio clic su Operational (Operativo).
Nel riquadro dei dettagli visualizzare l'elenco dei singoli eventi per trovare l'evento.
Selezionare l'evento per visualizzare dettagli specifici su un evento nel riquadro inferiore, nelle schede Generale e Dettagli .
ID evento 1000
Nome simbolico: MALWAREPROTECTION_SCAN_STARTED
Messaggio: è stata avviata un'analisi antimalware.
Descrizione:
ID analisi: numero ID dell'analisi pertinente.
Tipo di analisi: tipo di analisi. Esempi: Antivirus, Antispyware o Antimalware
Parametri di analisi: analizzare i parametri. Esempi: analisi completa, analisi rapida o analisi del cliente
Analizza risorse: risorse (ad esempio file/directory/BHO) analizzati.
Utente: Dominio\Utente
ID evento 1001
Nome simbolico: MALWAREPROTECTION_SCAN_COMPLETED
Messaggio: un'analisi antimalware completata.
Descrizione:
ID analisi: numero ID dell'analisi pertinente.
Tipo di analisi: tipo di analisi. Esempi: Antivirus, Antispyware o Antimalware
Parametri di analisi: analizzare i parametri. Esempi: analisi completa, analisi rapida o analisi del cliente
Utente: Dominio\Utente
Ora analisi: durata di un'analisi.
ID evento 1002
Nome simbolico: MALWAREPROTECTION_SCAN_CANCELLED
Messaggio: un'analisi antimalware è stata arrestata prima del completamento.
Descrizione:
ID analisi: numero ID dell'analisi pertinente.
Tipo di analisi: tipo di analisi. Esempi: Antivirus, Antispyware o Antimalware
Parametri di analisi: analizzare i parametri. Esempi: analisi completa, analisi rapida o analisi del cliente
Utente: Dominio\Utente
Ora analisi: durata di un'analisi.
ID evento 1003
Nome simbolico: MALWAREPROTECTION_SCAN_PAUSED
Messaggio: un'analisi antimalware è stata sospesa.
Descrizione:
ID analisi: numero ID dell'analisi pertinente.
Tipo di analisi: tipo di analisi. Esempi: Antivirus, Antispyware o Antimalware
Parametri di analisi: analizzare i parametri. Esempi: analisi completa, analisi rapida o analisi del cliente
Utente: Dominio\Utente
ID evento 1004
Nome simbolico: MALWAREPROTECTION_SCAN_RESUMED
Messaggio: è stata ripresa un'analisi antimalware.
Descrizione:
ID analisi: numero ID dell'analisi pertinente.
Tipo di analisi: tipo di analisi. Esempi: Antivirus, Antispyware o Antimalware
Parametri di analisi: analizzare i parametri. Esempi: analisi completa, analisi rapida o analisi del cliente
Utente: Dominio\Utente
ID evento 1005
Nome simbolico: MALWAREPROTECTION_SCAN_FAILED
Messaggio: un'analisi antimalware non è riuscita.
Descrizione:
ID analisi: numero ID dell'analisi pertinente.
Tipo di analisi: tipo di analisi. Esempi: Antivirus, Antispyware o Antimalware
Parametri di analisi: analizzare i parametri. Esempi: analisi completa, analisi rapida o analisi personalizzata
Utente: Dominio\Utente
Codice errore: codice di errore. Codice del risultato associato allo stato della minaccia. Valori HRESULT standard.
Descrizione errore: descrizione dell'errore. Descrizione dell'errore.
Azione utente:
Il client antivirus ha rilevato un errore e l'analisi corrente è stata arrestata. L'analisi potrebbe non riuscire a causa di un problema sul lato client. Questo record di evento include l'ID di analisi, il tipo di analisi (Microsoft Defender Antivirus, antispyware, antimalware), i parametri di analisi, l'utente che ha avviato l'analisi, il codice di errore e una descrizione dell'errore. Per risolvere questo evento:
- Run the scan again.
- If it fails in the same way, go to the [Microsoft Support site](https://support.microsoft.com/), enter the error number in the Search box to look for the error code.
- Contact [Microsoft Technical Support](/microsoft-365/admin/get-help-support).
ID evento 1006
Nome simbolico: MALWAREPROTECTION_MALWARE_DETECTED
Messaggio: il motore antimalware ha trovato malware o altro software potenzialmente indesiderato.
Descrizione: per altre informazioni, vedere i dettagli seguenti:
Nome: Nome minaccia
ID: ID minaccia
Gravità: gravità. Esempi: Basso, Moderato, Alto o Grave
Categoria: descrizione della categoria. Esempi: qualsiasi minaccia o tipo di malware.
Percorso: Percorso file
Origine rilevamento: origine del rilevamento. Esempi: Sconosciuto, Computer locale, Condivisione di rete, Internet, Traffico in ingresso o Traffico in uscita
Tipo di rilevamento: tipo di rilevamento. Esempi: firma euristica, generica, concreta o dinamica
Origine di rilevamento: origine di rilevamento, ad esempio:
Utente: avviato dall'utente
Sistema: avviato dal sistema
In tempo reale: componente in tempo reale avviato
IOAV: Download di Internet Explorer e allegati di Outlook Express avviati
NIS: Sistema di ispezione di rete
IEPROTECT: IE - IExtensionValidation; in questo modo si protegge da controlli di pagine Web dannosi.
Early Launch Antimalware (ELAM). Questa origine include malware rilevato dalla sequenza di avvio.
Attestazione remota
Antimalware Scan Interface (AMSI). Usato principalmente per proteggere gli script (PowerShell, VBS), anche se può essere richiamato anche da terze parti. Controllo dell'account utente.
Stato: Stato
Utente: Dominio\Utente
Nome processo: processo nel PID
Versione della firma: versione della definizione
Versione del motore: versione Antimalware Engine
ID evento 1007
Nome simbolico: MALWAREPROTECTION_MALWARE_ACTION_TAKEN
Messaggio: la piattaforma antimalware ha eseguito un'azione per proteggere il sistema da malware o altro software potenzialmente indesiderato.
Descrizione: Microsoft Defender Antivirus ha intrapreso un'azione per proteggere il computer da malware o altro software potenzialmente indesiderato. Per altre informazioni, vedere i dettagli seguenti:
Utente: Dominio\Utente
Nome: Nome minaccia
ID: ID minaccia
Gravità: gravità. Esempi: Basso, Moderato, Alto o Grave
Categoria: descrizione della categoria, ad esempio qualsiasi minaccia o tipo di malware.
Azione: azione. Esempi:
Pulisci: la risorsa è stata pulita.
Quarantena: la risorsa è stata messa in quarantena.
Rimuovi: la risorsa è stata eliminata.
Consenti: la risorsa è stata consentita per l'esecuzione o l'esistenza.
Definito dall'utente: azione definita dall'utente che proviene in genere da questo elenco di azioni specificate dall'utente.
Nessuna azione: nessuna azione
Blocca: la risorsa non è stata eseguita.
Stato: Stato
Versione della firma: versione della definizione
Versione del motore: versione Antimalware Engine
ID evento 1008
Nome simbolico: MALWAREPROTECTION_MALWARE_ACTION_FAILED
Messaggio: la piattaforma antimalware ha tentato di eseguire un'azione per proteggere il sistema da malware o altro software potenzialmente indesiderato, ma l'azione non è riuscita.
Descrizione: Microsoft Defender Antivirus ha rilevato un errore durante l'esecuzione di azioni su malware o altro software potenzialmente indesiderato. Per altre informazioni, vedere i dettagli seguenti:
Utente: Dominio\Utente
Nome: Nome minaccia
ID: ID minaccia
Gravità: gravità. Esempi: Basso, Moderato, Alto o Grave
Categoria: descrizione della categoria, ad esempio qualsiasi minaccia o tipo di malware.
Percorso: Percorso file
Azione: azione. Esempi:
Pulisci: la risorsa è stata pulita.
Quarantena: la risorsa è stata messa in quarantena.
Rimuovi: la risorsa è stata eliminata.
Consenti: la risorsa è stata consentita per l'esecuzione o l'esistenza.
Definito dall'utente: azione definita dall'utente che proviene in genere da questo elenco di azioni specificate dall'utente.
Nessuna azione: nessuna azione
Blocca: la risorsa non è stata eseguita.
Codice di errore: codice di errore Codice risultato associato allo stato della minaccia. Valori HRESULT standard.
Descrizione errore: descrizione dell'errore Descrizione dell'errore.
Stato: Stato
Versione della firma: versione della definizione
Versione del motore: versione Antimalware Engine
ID evento 1009
Nome simbolico: MALWAREPROTECTION_QUARANTINE_RESTORE
Messaggio: la piattaforma antimalware ha ripristinato un elemento dalla quarantena.
Descrizione: Microsoft Defender Antivirus ha ripristinato un elemento dalla quarantena. Per altre informazioni, vedere i dettagli seguenti:
Nome: Nome minaccia
ID: ID minaccia
Gravità: gravità. Esempi: Basso, Moderato, Alto o Grave
Categoria: descrizione della categoria, ad esempio qualsiasi minaccia o tipo di malware.
Percorso: Percorso file
Utente: Dominio\Utente
Versione della firma: versione della definizione
Versione del motore: versione Antimalware Engine
ID evento 1010
Nome simbolico: MALWAREPROTECTION_QUARANTINE_RESTORE_FAILED
Messaggio: la piattaforma antimalware non è riuscita a ripristinare un elemento dalla quarantena.
Descrizione: Microsoft Defender Antivirus ha rilevato un errore durante il tentativo di ripristinare un elemento dalla quarantena. Per altre informazioni, vedere i dettagli seguenti:
Nome: Nome minaccia
ID: ID minaccia
Gravità: gravità. Esempi: Basso, Moderato, Alto o Grave
Categoria: descrizione della categoria, ad esempio qualsiasi minaccia o tipo di malware.
Percorso: Percorso file
Utente: Dominio\Utente
Codice di errore: codice di errore Codice risultato associato allo stato della minaccia. Valori HRESULT standard.
Descrizione errore: descrizione dell'errore Descrizione dell'errore.
Versione della firma: versione della definizione
Versione del motore: versione Antimalware Engine
ID evento 1011
Nome simbolico: MALWAREPROTECTION_QUARANTINE_DELETE
Messaggio: la piattaforma antimalware ha eliminato un elemento dalla quarantena.
Descrizione: Microsoft Defender Antivirus ha eliminato un elemento dalla quarantena. Per altre informazioni, vedere i dettagli seguenti:
Nome: Nome minaccia
ID: ID minaccia
Gravità: gravità. Esempi: Basso, Moderato, Alto o Grave
Categoria: descrizione della categoria, ad esempio qualsiasi minaccia o tipo di malware.
Percorso: Percorso file
Utente: Dominio\Utente
Versione della firma: versione della definizione
Versione del motore: versione Antimalware Engine
ID evento 1012
Nome simbolico: MALWAREPROTECTION_QUARANTINE_DELETE_FAILED
Messaggio: la piattaforma antimalware non è riuscita a eliminare un elemento dalla quarantena.
Descrizione: Microsoft Defender Antivirus ha rilevato un errore durante il tentativo di eliminare un elemento dalla quarantena. Per altre informazioni, vedere i dettagli seguenti:
Nome: Nome minaccia
ID: ID minaccia
Gravità: gravità. Esempi: Basso, Moderato, Alto o Grave
Categoria: descrizione della categoria, ad esempio qualsiasi minaccia o tipo di malware.
Percorso: Percorso file
Utente: Dominio\Utente
Codice di errore: codice di errore Codice risultato associato allo stato della minaccia. Valori HRESULT standard.
Descrizione errore: descrizione dell'errore Descrizione dell'errore.
Versione della firma: versione della definizione
Versione del motore: versione Antimalware Engine
ID evento 1013
Nome simbolico: MALWAREPROTECTION_MALWARE_HISTORY_DELETE
Messaggio: la piattaforma antimalware ha eliminato la cronologia di malware e altro software potenzialmente indesiderato.
Descrizione: Microsoft Defender antivirus ha rimosso la cronologia del malware e di altro software potenzialmente indesiderato.
Ora: ora in cui si è verificato l'evento, ad esempio quando la cronologia viene eliminata. Questo parametro non viene usato negli eventi di minaccia in modo che non vi sia confusione riguardo al tempo di correzione o al tempo di infezione. Per tali eventi, vengono chiamati in modo specifico come tempo di azione o tempo di rilevamento.
Utente: Dominio\Utente
ID evento 1014
Nome simbolico: MALWAREPROTECTION_MALWARE_HISTORY_DELETE_FAILED
Messaggio: la piattaforma antimalware non è riuscita a eliminare la cronologia di malware e altro software potenzialmente indesiderato.
Descrizione: Microsoft Defender Antivirus ha rilevato un errore durante il tentativo di rimuovere la cronologia di malware e altro software potenzialmente indesiderato.
Ora: ora in cui si è verificato l'evento, ad esempio quando la cronologia viene eliminata. Questo parametro non viene usato negli eventi di minaccia in modo che non vi sia confusione riguardo al tempo di correzione o al tempo di infezione. Per tali eventi, vengono chiamati in modo specifico come tempo di azione o tempo di rilevamento.
Utente: Dominio\Utente
Codice di errore: codice di errore Codice risultato associato allo stato della minaccia. Valori HRESULT standard.
Descrizione errore: descrizione dell'errore Descrizione dell'errore.
ID evento 1015
Nome simbolico: MALWAREPROTECTION_BEHAVIOR_DETECTED
Messaggio: la piattaforma antimalware ha rilevato un comportamento sospetto.
Descrizione: Microsoft Defender Antivirus ha rilevato un comportamento sospetto. Per altre informazioni, vedere i dettagli seguenti:
Nome: Nome minaccia
ID: ID minaccia
Gravità: gravità. Esempi: Basso, Moderato, Alto o Grave
Categoria: descrizione della categoria, ad esempio qualsiasi minaccia o tipo di malware.
Percorso: Percorso file
Origine rilevamento: origine del rilevamento. Esempi: Sconosciuto, Computer locale, Condivisione di rete, Internet, Traffico in ingresso o Traffico in uscita
Tipo di rilevamento: tipo di rilevamento. Esempi: firma euristica, generica, concreta o dinamica
Origine di rilevamento: origine di rilevamento, ad esempio:
Utente: avviato dall'utente
Sistema: avviato dal sistema
In tempo reale: componente in tempo reale avviato
IOAV: Download di Internet Explorer e allegati di Outlook Express avviati
NIS: Sistema di ispezione di rete
IEPROTECT: IE - IExtensionValidation; questa origine protegge da controlli di pagine Web dannosi.
Early Launch Antimalware (ELAM). Questa origine include malware rilevato dalla sequenza di avvio.
Attestazione remota
Antimalware Scan Interface (AMSI). Usato principalmente per proteggere gli script (PowerShell, VBS), anche se può essere richiamato anche da terze parti. Controllo dell'account utente
Stato: Stato
Utente: Dominio\Utente
Nome processo: processo nel PID
ID firma: gravità della corrispondenza dell'enumerazione.
Versione della firma: versione della definizione
Versione del motore: versione Antimalware Engine
Etichetta di fedeltà:
Nome file di destinazione: nome file del file.
ID evento 1116
Nome simbolico: MALWAREPROTECTION_STATE_MALWARE_DETECTED
Messaggio: la piattaforma antimalware ha rilevato malware o altro software potenzialmente indesiderato.
Descrizione: Microsoft Defender antivirus ha rilevato malware o altro software potenzialmente indesiderato. Per altre informazioni, vedere i dettagli seguenti:
Nome: Nome minaccia
ID: ID minaccia
Gravità: gravità. Esempi: Basso, Moderato, Alto o Grave
Categoria: descrizione della categoria, ad esempio qualsiasi minaccia o tipo di malware.
Percorso: Percorso file
Origine rilevamento: origine del rilevamento. Esempi: Sconosciuto, Computer locale, Condivisione di rete, Internet, Traffico in ingresso o Traffico in uscita
Tipo di rilevamento: tipo di rilevamento. Esempi: firma euristica, generica, concreta o dinamica
Origine di rilevamento: origine di rilevamento, ad esempio:
Utente: avviato dall'utente
Sistema: avviato dal sistema
In tempo reale: componente in tempo reale avviato
IOAV: Download di Internet Explorer e allegati di Outlook Express avviati
NIS: Sistema di ispezione di rete
IEPROTECT: IE - IExtensionValidation; in questo modo si protegge da controlli di pagine Web dannosi.
Early Launch Antimalware (ELAM). Questo include il malware rilevato dalla sequenza di avvio.
Attestazione remota
Antimalware Scan Interface (AMSI). Usato principalmente per proteggere gli script (PowerShell, VBS), anche se può essere richiamato anche da terze parti. Controllo dell'account utente
Utente: Dominio\Utente
Nome processo: processo nel PID
Versione della firma: versione della definizione
Versione del motore: versione Antimalware Engine
Azione utente: non è necessaria alcuna azione. Microsoft Defender Antivirus può sospendere e intraprendere azioni di routine su questa minaccia. Se si vuole rimuovere manualmente la minaccia, nell'interfaccia antivirus Microsoft Defender selezionare Pulisci computer.
ID evento 1117
Nome simbolico: MALWAREPROTECTION_STATE_MALWARE_ACTION_TAKEN
Messaggio: la piattaforma antimalware ha eseguito un'azione per proteggere il sistema da malware o altro software potenzialmente indesiderato.
Descrizione: Microsoft Defender Antivirus ha intrapreso un'azione per proteggere il computer da malware o altro software potenzialmente indesiderato. Per altre informazioni, vedere i dettagli seguenti:
Nome: Nome minaccia
ID: ID minaccia
Gravità: gravità. Esempi: Basso, Moderato, Alto o Grave
Categoria: descrizione della categoria, ad esempio qualsiasi minaccia o tipo di malware.
Percorso: Percorso file
Origine rilevamento: origine del rilevamento. Esempi: Sconosciuto, Computer locale, Condivisione di rete, Internet, Traffico in ingresso o Traffico in uscita
Tipo di rilevamento: tipo di rilevamento. Esempi: firma euristica, generica, concreta o dinamica
Origine di rilevamento: origine di rilevamento, ad esempio:
Utente: avviato dall'utente
Sistema: avviato dal sistema
In tempo reale: componente in tempo reale avviato
IOAV: Download di Internet Explorer e allegati di Outlook Express avviati
NIS: Sistema di ispezione di rete
IEPROTECT: IE - IExtensionValidation; questa origine protegge da controlli di pagine Web dannosi.
Early Launch Antimalware (ELAM). Questo include il malware rilevato dalla sequenza di avvio.
Attestazione remota
Antimalware Scan Interface (AMSI). Usato principalmente per proteggere gli script (PowerShell, VBS), anche se può essere richiamato anche da terze parti. Controllo dell'account utente
Utente: Dominio\Utente
Nome processo: processo nel PID
Azione: azione. Esempi:
Pulisci: la risorsa è stata pulita.
Quarantena: la risorsa è stata messa in quarantena.
Rimuovi: la risorsa è stata eliminata.
Consenti: la risorsa è stata consentita per l'esecuzione o l'esistenza.
Definito dall'utente: azione definita dall'utente che proviene in genere da questo elenco di azioni specificate dall'utente.
Nessuna azione: nessuna azione
Blocca: la risorsa non è stata eseguita.
Stato azione: descrizione di altre azioni
Codice di errore: codice di errore Codice risultato associato allo stato della minaccia. Valori HRESULT standard.
Descrizione errore: descrizione dell'errore Descrizione dell'errore.
Versione della firma: versione della definizione
Versione del motore: versione Antimalware Engine
Nota: ogni volta che Microsoft Defender Antivirus, strumento di rimozione software dannoso o System Center Endpoint Protection rileva un malware, ripristina le impostazioni di sistema e i servizi seguenti che potrebbero essere stati modificati dal malware:
- Default Internet Explorer or Microsoft Edge setting
- User Access Control settings
- Chrome settings
- Boot Control Data
- Regedit and Task Manager registry settings
- Windows Update, Background Intelligent Transfer Service, and Remote Procedure Call service
- Windows Operating System files
Il contesto precedente si applica alle versioni client e server seguenti:
- Operating system: Client Operating System
Operating system version: Windows Vista (Service Pack 1, or Service Pack 2), Windows 7 and later
- Operating system: Server Operating System
Operating system version: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, and Windows Server 2016
Azione utente: non è necessaria alcuna azione. Microsoft Defender Antivirus ha rimosso o messo in quarantena una minaccia.
ID evento 1118
Nome simbolico: MALWAREPROTECTION_STATE_MALWARE_ACTION_FAILED
Messaggio: la piattaforma antimalware ha tentato di eseguire un'azione per proteggere il sistema da malware o altro software potenzialmente indesiderato, ma l'azione non è riuscita.
Descrizione: Microsoft Defender Antivirus ha rilevato un errore non critico durante l'azione su malware o altro software potenzialmente indesiderato. Per altre informazioni, vedere i dettagli seguenti:
Nome: Nome minaccia
ID: ID minaccia
Gravità: gravità. Esempi: Basso, Moderato, Alto o Grave
Categoria: descrizione della categoria, ad esempio qualsiasi minaccia o tipo di malware.
Percorso: Percorso file
Origine rilevamento: origine del rilevamento. Esempi: Sconosciuto, Computer locale, Condivisione di rete, Internet, Traffico in ingresso o Traffico in uscita
Tipo di rilevamento: tipo di rilevamento. Esempi: firma euristica, generica, concreta o dinamica
Origine di rilevamento: origine di rilevamento, ad esempio:
Utente: avviato dall'utente
Sistema: avviato dal sistema
In tempo reale: componente in tempo reale avviato
IOAV: Download di Internet Explorer e allegati di Outlook Express avviati
NIS: Sistema di ispezione di rete
IEPROTECT: IE - IExtensionValidation; in questo modo si protegge da controlli di pagine Web dannosi.
Early Launch Antimalware (ELAM). Questo include il malware rilevato dalla sequenza di avvio.
Attestazione remota
Antimalware Scan Interface (AMSI). Usato principalmente per proteggere gli script (PowerShell, VBS), anche se può essere richiamato anche da terze parti. Controllo dell'account utente
Utente: Dominio\Utente
Nome processo: processo nel PID
Azione: azione. Esempi:
Pulisci: la risorsa è stata pulita.
Quarantena: la risorsa è stata messa in quarantena.
Rimuovi: la risorsa è stata eliminata.
Consenti: la risorsa è stata consentita per l'esecuzione o l'esistenza
Definito dall'utente: azione definita dall'utente che proviene in genere da questo elenco di azioni specificate dall'utente.
Nessuna azione: nessuna azione
Blocca: la risorsa non è stata eseguita
Stato azione: descrizione delle azioni aggiuntive
Codice di errore: codice di errore Codice risultato associato allo stato della minaccia. Valori HRESULT standard.
Descrizione errore: descrizione dell'errore Descrizione dell'errore.
Versione della firma: versione della definizione
Versione del motore: versione Antimalware Engine
Azione utente: non è necessaria alcuna azione. Microsoft Defender Antivirus non è riuscito a completare un'attività correlata alla correzione del malware. Non si tratta di un errore critico.
ID evento 1119
Nome simbolico: MALWAREPROTECTION_STATE_MALWARE_ACTION_CRITICALLY_FAILED
Messaggio: la piattaforma antimalware ha riscontrato un errore critico durante il tentativo di intervenire su malware o altro software potenzialmente indesiderato. Sono disponibili altri dettagli nel messaggio di evento.
Descrizione: Microsoft Defender Antivirus ha riscontrato un errore critico durante l'azione su malware o altro software potenzialmente indesiderato. Per altre informazioni, vedere i dettagli seguenti:
Nome: Nome minaccia
ID: ID minaccia
Gravità: gravità. Esempi: Basso, Moderato, Alto o Grave
Categoria: descrizione della categoria, ad esempio qualsiasi minaccia o tipo di malware.
Percorso: Percorso file
Origine rilevamento: origine del rilevamento. Esempi: Sconosciuto, Computer locale, Condivisione di rete, Internet, Traffico in ingresso o Traffico in uscita
Tipo di rilevamento: tipo di rilevamento. Esempi: firma euristica, generica, concreta o dinamica
Origine di rilevamento: origine di rilevamento, ad esempio:
Utente: avviato dall'utente
Sistema: avviato dal sistema
In tempo reale: componente in tempo reale avviato
IOAV: Download di Internet Explorer e allegati di Outlook Express avviati
NIS: Sistema di ispezione di rete
IEPROTECT: IE - IExtensionValidation; in questo modo si protegge da controlli di pagine Web dannosi.
Early Launch Antimalware (ELAM). Questo include il malware rilevato dalla sequenza di avvio
Attestazione remota
Antimalware Scan Interface (AMSI). Usato principalmente per proteggere gli script (PowerShell, VBS), anche se può essere richiamato anche da terze parti. Controllo dell'account utente
Utente: Dominio\Utente
Nome processo: processo nel PID
Azione: azione. Esempi:
Pulisci: la risorsa è stata pulita
Quarantena: la risorsa è stata messa in quarantena.
Rimuovi: la risorsa è stata eliminata.
Consenti: la risorsa è stata consentita per l'esecuzione o l'esistenza.
Definito dall'utente: azione definita dall'utente che proviene in genere da questo elenco di azioni specificate dall'utente.
Nessuna azione: nessuna azione
Blocca: la risorsa non è stata eseguita.
Stato azione: descrizione di altre azioni
Codice di errore: codice di errore Codice risultato associato allo stato della minaccia. Valori HRESULT standard.
Descrizione errore: descrizione dell'errore Descrizione dell'errore.
Versione della firma: versione della definizione
Versione del motore: versione Antimalware Engine
Azione utente: il client antivirus Microsoft Defender ha riscontrato questo errore a causa di problemi critici. L'endpoint potrebbe non essere protetto. Esaminare la descrizione dell'errore e quindi seguire i passaggi dell'azione utente pertinenti.
Azione: Rimuovi azione utente: aggiornare le definizioni e verificare che la rimozione sia stata completata correttamente.
Azione: Pulisci azione utente: aggiornare le definizioni e verificare che la correzione sia stata completata correttamente.
Azione: azione Quarantena utente: aggiornare le definizioni e verificare che l'utente disponga dell'autorizzazione per accedere alle risorse necessarie.
Azione: Consenti azione utente: verificare che l'utente disponga dell'autorizzazione per accedere alle risorse necessarie.
Se l'evento persiste:
Eseguire di nuovo l'analisi.
Se ha esito negativo nello stesso modo, passare al sito supporto tecnico Microsoft, immettere il numero di errore nella casella Di ricerca per cercare il codice di errore.
Contatta il Supporto tecnico Microsoft.
ID evento 1120
Nome simbolico: MALWAREPROTECTION_THREAT_HASH
Messaggio: Microsoft Defender Antivirus ha dedotto gli hash per una risorsa minaccia.
Descrizione: Microsoft Defender client antivirus è attivo e in esecuzione in uno stato integro.
Versione della piattaforma corrente: versione della piattaforma corrente
Percorso risorsa delle minacce: percorso
Hash: hash
Nota: questo evento verrà registrato solo se è impostato il criterio seguente: ThreatFileHashLogging non firmato.
ID evento 1121
Messaggio: evento quando viene attivata una regola di riduzione della superficie di attacco in modalità blocco.
Descrizione:
Versione della piattaforma corrente: versione della piattaforma corrente
Percorso risorsa delle minacce: percorso
Hash: hash
ID evento 1127
Nome simbolico: MALWAREPROTECTION_FOLDER_GUARD_SECTOR_BLOCK
Messaggio: l'accesso controllato alle cartelle (CFA) ha impedito a un processo non attendibile di apportare modifiche alla memoria.
Descrizione: l'accesso controllato alle cartelle ha impedito a un processo non attendibile di modificare potenzialmente i settori del disco. Per altre informazioni sul record dell'evento, vedere i dettagli seguenti:
EventID: EventID. Esempi: 1127
Versione: versione. Esempi: 0
Livello: livello. Esempi: win: Warning
TimeCreated: SystemTime, ora in cui è stato creato l'evento.
EventRecordID: EventRecordID, numero di indice dell'evento nel registro eventi
Execution ProcessID: Execution ProcessID, processo che ha generato l'evento
Canale: canale eventi. Esempi: Microsoft-Windows-Windows Defender/Operational
Computer: Nome computer
Security UserID: Security UserID
Nome prodotto: Nome prodotto. Esempi: Microsoft Defender Antivirus
Versione del prodotto: versione del prodotto
Tempo di rilevamento: tempo di rilevamento, ora in cui CFA ha bloccato un processo non attendibile
Utente: Dominio\Utente
Percorso: nome del dispositivo, nome del dispositivo o del disco a cui è stato eseguito l'accesso a un processo non attendibile per la modifica
Nome processo: percorso processo, nome del percorso del processo che CFA ha bloccato l'accesso al dispositivo o al disco per la modifica
Versione di Security Intelligence: versione di Security Intelligence
Versione del motore: versione Antimalware Engine
Azione utente: l'utente può aggiungere il processo bloccato all'elenco Processo consentito per CFA usando PowerShell o Sicurezza di Windows Center.
ID evento 1150
Nome simbolico: MALWAREPROTECTION_SERVICE_HEALTHY
Messaggio: se la piattaforma antimalware segnala lo stato a una piattaforma di monitoraggio, questo evento indica che la piattaforma antimalware è in esecuzione e in uno stato integro.
Descrizione: Microsoft Defender client antivirus è attivo e in esecuzione in uno stato integro.
Versione della piattaforma: versione della piattaforma corrente
Versione della firma: versione della definizione
Versione del motore: versione Antimalware Engine
Azione utente: non è necessaria alcuna azione. Lo stato del client antivirus Microsoft Defender è integro. Questo evento viene segnalato su base oraria.
ID evento 1151
Nome simbolico: MALWAREPROTECTION_SERVICE_HEALTH_REPORT
Messaggio: Report sull'integrità client di Endpoint Protection (ora UTC)
Descrizione: Report sull'integrità del client antivirus.
Versione della piattaforma: versione della piattaforma corrente
Versione del motore: versione Antimalware Engine
Versione del motore di ispezione in tempo reale di rete: versione del motore di ispezione in tempo reale di rete
Versione della firma antivirus: versione della firma antivirus
Versione della firma antispyware: versione della firma antispyware
Versione della firma di ispezione in tempo reale di rete: versione della firma di ispezione in tempo reale di rete
Stato RTP: stato di protezione in tempo reale (abilitato o disabilitato)
Stato OA: stato di accesso (abilitato o disabilitato)
Stato IOAV: download di Internet Explorer e stato degli allegati di Outlook Express (abilitato o disabilitato)
Stato BM: stato di monitoraggio del comportamento (abilitato o disabilitato)
Età della firma antivirus: età della firma antivirus (in giorni)
Età della firma antispyware: età della firma antispyware (in giorni)
Età ultima analisi rapida: età ultima analisi rapida (in giorni)
Età ultima analisi completa: ultima età dell'analisi completa (in giorni)
Ora di creazione della firma antivirus: ora di creazione della firma antivirus
Ora di creazione della firma antispyware: ora di creazione della firma antispyware
Ora di avvio dell'ultima analisi rapida: ora di inizio ultima analisi rapida
Ora di fine ultima analisi rapida: ora di fine ultima analisi rapida
Origine dell'ultima analisi rapida: ultima origine di analisi rapida (0 = l'analisi non è stata eseguita, 1 = avviata dall'utente, 2 = avviata dal sistema)
Ora di inizio ultima analisi completa: ora di inizio ultima analisi completa
Ora di fine ultima analisi completa: ora di fine ultima analisi completa
Ultima origine analisi completa: ultima origine di analisi completa (0 = l'analisi non è stata eseguita, 1 = avviata dall'utente, 2 = avviata dal sistema)
Stato del prodotto: per la risoluzione dei problemi interni
ID evento 2000
Nome simbolico: MALWAREPROTECTION_SIGNATURE_UPDATED
Messaggio: le definizioni antimalware sono state aggiornate correttamente.
Descrizione: la versione della firma antivirus è stata aggiornata.
Versione della firma corrente: versione della firma corrente
Versione della firma precedente: versione della firma precedente
Tipo di firma: tipo di firma. Esempi: Antivirus, Antispyware, Antimalware o Network Inspection System
Tipo di aggiornamento: tipo di aggiornamento, completo o differenziale.
Utente: Dominio\Utente
Versione corrente del motore: versione corrente del motore
Versione precedente del motore: versione precedente del motore
Azione utente: non è necessaria alcuna azione. Lo stato del client antivirus Microsoft Defender è integro. Questo evento viene segnalato quando le firme vengono aggiornate correttamente.
ID evento 2001
Nome simbolico: MALWAREPROTECTION_SIGNATURE_UPDATE_FAILED
Messaggio: l'aggiornamento dell'intelligence per la sicurezza non è riuscito.
Descrizione: Microsoft Defender Antivirus ha rilevato un errore durante il tentativo di aggiornare le firme.
Nuova versione di Security Intelligence: nuovo numero di versione
Versione precedente di Security Intelligence: versione precedente
Origine aggiornamento: aggiorna l'origine. Esempi:
Cartella di aggiornamento di Security Intelligence
Server di aggiornamento di Intelligence per la sicurezza interna
Microsoft Update Server
Condivisione file
Microsoft Malware Protection Center (MMPC)
Fase di aggiornamento: fase di aggiornamento. Esempi: Ricerca, Download o Installazione
Percorso origine: nome condivisione file per UNC (Universal Naming Convention), nome del server per Windows Server Update Services (WSUS)/Microsoft Update/ADL.
Tipo di firma: tipo di firma. Esempi: Antivirus, Antispyware, Antimalware o Network Inspection System
Tipo di aggiornamento: tipo di aggiornamento, completo o differenziale.
Utente: Dominio\Utente
Versione corrente del motore: versione corrente del motore
Versione precedente del motore: versione precedente del motore
Codice di errore: codice di errore Codice risultato associato allo stato della minaccia. Valori HRESULT standard.
Descrizione errore: descrizione dell'errore Descrizione dell'errore.
Azione utente: questo errore si verifica quando si verifica un problema durante l'aggiornamento delle definizioni. Per risolvere questo evento:
Aggiornare le definizioni e forzare una ripetizione dell'analisi direttamente nell'endpoint.
Per altre informazioni sull'errore, esaminare le voci nel file %Windir%\WindowsUpdate.log.
Contatta il Supporto tecnico Microsoft.
ID evento 2002
Nome simbolico: MALWAREPROTECTION_ENGINE_UPDATED
Messaggio: il motore antimalware è stato aggiornato correttamente.
Descrizione: Microsoft Defender versione del motore antivirus è stata aggiornata.
Versione corrente del motore: versione corrente del motore
Versione precedente del motore: versione precedente del motore
Tipo di motore: tipo di motore, motore antimalware o motore del sistema di ispezione di rete.
Utente: Dominio\Utente
Azione utente: non è necessaria alcuna azione. Lo stato del client antivirus Microsoft Defender è integro. Questo evento viene segnalato quando il motore antimalware viene aggiornato correttamente.
ID evento 2003
Nome simbolico: MALWAREPROTECTION_ENGINE_UPDATE_FAILED
Messaggio: l'aggiornamento del motore antimalware non è riuscito.
Descrizione: Microsoft Defender Antivirus ha rilevato un errore durante il tentativo di aggiornamento del motore.
Nuova versione del motore:
Versione precedente del motore: versione precedente del motore
Tipo di motore: tipo di motore, motore antimalware o motore del sistema di ispezione di rete.
Utente: Dominio\Utente
Codice di errore: codice di errore Codice risultato associato allo stato della minaccia. Valori HRESULT standard.
Descrizione errore: descrizione dell'errore Descrizione dell'errore.
Azione utente: aggiornamento client Microsoft Defender Antivirus non riuscito. Questo evento si verifica quando il client non riesce ad aggiornarsi. Questo evento è dovuto a un'interruzione della connettività di rete durante un aggiornamento. Per risolvere questo evento:
Aggiornare le definizioni e forzare una ripetizione dell'analisi direttamente nell'endpoint.
Contatta il Supporto tecnico Microsoft.
ID evento 2004
Nome simbolico: MALWAREPROTECTION_SIGNATURE_REVERSION
Messaggio: Si è verificato un problema durante il caricamento della definizione antimalware. Il motore antimalware tenta di caricare l'ultimo set di definizioni valido noto.
Descrizione: Microsoft Defender Antivirus ha rilevato un errore durante il tentativo di caricare le firme e tenterà di ripristinare un set di firme valido.
Firme tentate:
Codice di errore: codice di errore Codice risultato associato allo stato della minaccia. Valori HRESULT standard.
Descrizione errore: descrizione dell'errore Descrizione dell'errore.
Versione della firma: versione della definizione
Versione motore: versione del motore antimalware
Azione utente: il client antivirus Microsoft Defender ha tentato di scaricare e installare il file di definizioni più recente e non è riuscito. Questo errore può verificarsi quando il client rileva un errore durante il tentativo di caricare le definizioni o se il file è danneggiato. Microsoft Defender Antivirus tenta di ripristinare un set di definizioni valido. Per risolvere questo evento:
Riavviare il computer e riprovare.
Scaricare le definizioni più recenti dal sito Intelligence di sicurezza Microsoft.
Nota: le dimensioni del file di definizioni scaricato dal sito possono superare i 60 MB e non devono essere usate come soluzione a lungo termine per l'aggiornamento delle definizioni.
Contatta il Supporto tecnico Microsoft.
ID evento 2005
Nome simbolico: MALWAREPROTECTION_ENGINE_UPDATE_PLATFORMOUTOFDATE
Messaggio: impossibile caricare il motore antimalware perché la piattaforma antimalware non è aggiornata. La piattaforma antimalware carica l'ultimo motore antimalware valido e tenta di eseguire l'aggiornamento.
Descrizione: Microsoft Defender Antivirus non è riuscito a caricare il motore antimalware perché la versione della piattaforma corrente non è supportata. Microsoft Defender Antivirus torna all'ultimo motore valido noto e verrà tentato un aggiornamento della piattaforma.
- Versione della piattaforma corrente: versione della piattaforma corrente
ID evento 2006
Nome simbolico: MALWAREPROTECTION_PLATFORM_UPDATE_FAILED
Messaggio: l'aggiornamento della piattaforma non è riuscito.
Descrizione: Microsoft Defender Antivirus ha rilevato un errore durante il tentativo di aggiornamento della piattaforma.
Versione della piattaforma corrente: versione della piattaforma corrente
Codice di errore: codice di errore Codice risultato associato allo stato della minaccia. Valori HRESULT standard.
Descrizione errore: descrizione dell'errore Descrizione dell'errore.
ID evento 2007
Nome simbolico: MALWAREPROTECTION_PLATFORM_ALMOSTOUTOFDATE
Messaggio: la piattaforma non sarà più aggiornata. Scaricare la piattaforma più recente per mantenere la protezione aggiornata.
Descrizione: Microsoft Defender Antivirus richiederà presto una versione più recente della piattaforma per supportare le versioni future del motore antimalware. Scaricare la piattaforma antivirus Microsoft Defender più recente per mantenere il miglior livello di protezione disponibile.
- Versione della piattaforma corrente: versione della piattaforma corrente
ID evento 2010
Nome simbolico: MALWAREPROTECTION_SIGNATURE_FASTPATH_UPDATED
Messaggio: il motore antimalware ha usato il servizio di firma dinamica per ottenere altre definizioni.
Descrizione: Microsoft Defender Antivirus ha usato il servizio firma dinamica per recuperare altre firme per proteggere il computer.
Versione della firma corrente: versione della firma corrente
Tipo di firma: tipo di firma. Esempi: Antivirus, Antispyware, Antimalware o Network Inspection System
Versione corrente del motore: versione corrente del motore
Tipo di firma dinamica: tipo di firma dinamica. Esempi: Versione, Timestamp, Nessun limite o Durata
Percorso di persistenza: Percorso
Versione firma dinamica: numero di versione
Timestamp di compilazione della firma dinamica: timestamp
Tipo limite di persistenza: tipo di limite di persistenza. Esempi: versione VDM, Timestamp o Nessun limite
Limite di persistenza: limite di persistenza della firma fastpath.
ID evento 2011
Nome simbolico: MALWAREPROTECTION_SIGNATURE_FASTPATH_DELETED
Messaggio: il servizio di firma dinamica ha eliminato le definizioni dinamiche non aggiornate.
Modificare il comportamento predefinito: passare al comportamento predefinito per la segnalazione di eventi con firma dinamica.
Quando una firma dinamica viene ricevuta da MDE, viene segnalato un evento 2010. Tuttavia, quando la firma dinamica scade o viene eliminata manualmente, viene segnalato un evento 2011. In alcuni casi, quando una nuova firma viene recapitata a MDE a volte centinaia di firme dinamiche scadono contemporaneamente, pertanto vengono segnalati centinaia di eventi del 2011. La generazione di così tanti eventi del 2011 può causare l'inondazione di un server SIEM (Security Information and Event Management).
Per evitare la situazione descritta in precedenza, a partire dalla versione 4.18.2207.7 della piattaforma, per impostazione predefinita Defender per endpoint non segnala gli eventi 2011:
- Questo nuovo comportamento predefinito è controllato dalla voce del Registro di sistema:
HKLM\SOFTWARE\Microsoft\Windows Defender\Reporting\EnableDynamicSignatureDroppedEventReporting
. - Il valore predefinito per
EnableDynamicSignatureDroppedEventReporting
è false, ovvero gli eventi 2011 non vengono segnalati. Se è impostato su true, vengono segnalati gli eventi 2011.
Poiché gli eventi di firma 2010 vengono distribuiti sporadicamente in modo sporadico e non causeranno un picco, il comportamento degli eventi di firma 2010 rimane invariato.
Descrizione: Microsoft Defender Antivirus ha usato il servizio firma dinamica per eliminare le firme obsolete.
Versione della firma corrente: versione della firma corrente
Tipo di firma: tipo di firma. Esempi: Antivirus, Antispyware, Antimalware o Network Inspection System
Versione corrente del motore: versione corrente del motore
Tipo di firma dinamica: tipo di firma dinamica. Esempi: Versione, Timestamp, Nessun limite o Durata
Percorso di persistenza: Percorso
Versione firma dinamica: numero di versione
Timestamp di compilazione della firma dinamica: timestamp
Motivo della rimozione:
Tipo limite di persistenza: tipo di limite di persistenza. Esempi: versione VDM, Timestamp o Nessun limite
Limite di persistenza: limite di persistenza della firma fastpath.
Azione utente: non è necessaria alcuna azione. Lo stato del client antivirus Microsoft Defender è integro. Questo evento viene segnalato quando il servizio di firma dinamica elimina correttamente le definizioni dinamiche non aggiornate.
ID evento 2012
Nome simbolico: MALWAREPROTECTION_SIGNATURE_FASTPATH_UPDATE_FAILED
Messaggio: il motore antimalware ha rilevato un errore durante il tentativo di usare il servizio firma dinamica.
Descrizione: Microsoft Defender Antivirus ha rilevato un errore durante il tentativo di usare il servizio firma dinamica.
Versione della firma corrente: versione della firma corrente
Tipo di firma: tipo di firma. Esempi: Antivirus, Antispyware, Antimalware o Network Inspection System
Versione corrente del motore: versione corrente del motore
Codice di errore: codice di errore Codice risultato associato allo stato della minaccia. Valori HRESULT standard.
Descrizione errore: descrizione dell'errore Descrizione dell'errore.
Tipo di firma dinamica: tipo di firma dinamica. Esempi: Versione, Timestamp, Nessun limite o Durata
Percorso di persistenza: Percorso
Versione firma dinamica: numero di versione
Timestamp di compilazione della firma dinamica: timestamp
Tipo limite di persistenza: tipo di limite di persistenza. Esempi: versione VDM, Timestamp o Nessun limite
Limite di persistenza: limite di persistenza della firma fastpath.
Azione utente: controllare le impostazioni di connettività Internet.
ID evento 2013
Nome simbolico: MALWAREPROTECTION_SIGNATURE_FASTPATH_DELETED_ALL
Messaggio: il servizio di firma dinamica ha eliminato tutte le definizioni dinamiche.
Descrizione: Microsoft Defender Antivirus ha eliminato tutte le firme del servizio di firma dinamica.
- Versione della firma corrente: versione della firma corrente
ID evento 2020
Nome simbolico: MALWAREPROTECTION_CLOUD_CLEAN_RESTORE_FILE_DOWNLOADED
Messaggio: il motore antimalware ha scaricato un file pulito.
Descrizione: Microsoft Defender Antivirus ha scaricato un file pulito.
Nome file: nome file Nome del file.
Versione della firma corrente: versione della firma corrente
Versione corrente del motore: versione corrente del motore
ID evento 2021
Nome simbolico: MALWAREPROTECTION_CLOUD_CLEAN_RESTORE_FILE_DOWNLOAD_FAILED
Messaggio: il motore antimalware non è riuscito a scaricare un file pulito.
Descrizione: Microsoft Defender Antivirus ha rilevato un errore durante il tentativo di scaricare un file pulito.
Nome file: nome file Nome del file.
Versione della firma corrente: versione della firma corrente
Versione corrente del motore: versione corrente del motore
Codice di errore: codice di errore Codice risultato associato allo stato della minaccia. Valori HRESULT standard.
Descrizione errore: descrizione dell'errore Descrizione dell'errore.
Azione utente: controllare le impostazioni di connettività Internet. Il client antivirus Microsoft Defender ha rilevato un errore durante l'uso del servizio di firma dinamica per scaricare le definizioni più recenti in una minaccia specifica. Questo errore è probabilmente causato da un problema di connettività di rete.
ID evento 2030
Nome simbolico: MALWAREPROTECTION_OFFLINE_SCAN_INSTALLED
Messaggio: il motore antimalware è stato scaricato ed è configurato per l'esecuzione offline al successivo riavvio del sistema.
Descrizione: Microsoft Defender Antivirus scaricato e configurato antivirus offline per l'esecuzione al riavvio successivo.
ID evento 2031
Nome simbolico: MALWAREPROTECTION_OFFLINE_SCAN_INSTALL_FAILED
Messaggio: il motore antimalware non è riuscito a scaricare e configurare un'analisi offline.
Descrizione: Microsoft Defender Antivirus ha rilevato un errore durante il tentativo di scaricare e configurare l'antivirus offline.
Codice di errore: codice di errore Codice risultato associato allo stato della minaccia. Valori HRESULT standard.
Descrizione errore: descrizione dell'errore Descrizione dell'errore.
ID evento 2040
Nome simbolico: MALWAREPROTECTION_OS_EXPIRING
Messaggio: il supporto antimalware per questa versione del sistema operativo terminerà presto.
Descrizione: il supporto per il sistema operativo scade a breve. L'esecuzione di Microsoft Defender Antivirus in un sistema operativo fuori supporto non è una soluzione adeguata per la protezione dalle minacce.
ID evento 2041
Nome simbolico: MALWAREPROTECTION_OS_EOL
Messaggio: il supporto antimalware per questo sistema operativo è terminato. È necessario aggiornare il sistema operativo per continuare a supportare.
Descrizione: il supporto per il sistema operativo è scaduto. L'esecuzione di Microsoft Defender Antivirus in un sistema operativo fuori supporto non è una soluzione adeguata per la protezione dalle minacce.
ID evento 2042
Nome simbolico: MALWAREPROTECTION_PROTECTION_EOL
Messaggio: il motore antimalware non supporta più questo sistema operativo e non protegge più il sistema dal malware.
Descrizione: il supporto per il sistema operativo è scaduto. Microsoft Defender Antivirus non è più supportato nel sistema operativo, ha smesso di funzionare e non protegge dalle minacce malware.
ID evento 3002
Nome simbolico: MALWAREPROTECTION_RTP_FEATURE_FAILURE
Messaggio: la protezione in tempo reale ha rilevato un errore e non è riuscita.
Descrizione: Microsoft Defender funzionalità Antivirus Real-Time Protection ha rilevato un errore e non è riuscito.
Funzionalità: funzionalità. Esempi: in Access, Internet Explorer scarica e allegati di Microsoft Outlook Express, monitoraggio del comportamento o Sistema di ispezione di rete.
Codice di errore: codice di errore Codice risultato associato allo stato della minaccia. Valori HRESULT standard.
Descrizione errore: descrizione dell'errore Descrizione dell'errore.
Motivo: il motivo Microsoft Defender protezione antivirus in tempo reale ha riavviato una funzionalità.
Azione utente: è necessario riavviare il sistema ed eseguire un'analisi completa perché è possibile che il sistema non sia stato protetto per qualche tempo. La funzionalità di protezione in tempo reale del client antivirus Microsoft Defender ha rilevato un errore perché non è stato possibile avviare uno dei servizi. Se è seguito da un ID evento 3007, l'errore è stato temporaneo e il client antimalware è stato ripristinato dall'errore.
ID evento 3007
Nome simbolico: MALWAREPROTECTION_RTP_FEATURE_RECOVERED
Messaggio: protezione in tempo reale ripristinata da un errore. Quando viene visualizzato questo errore, è consigliabile eseguire un'analisi completa del sistema.
Descrizione: Microsoft Defender Protezione antivirus in tempo reale ha riavviato una funzionalità. È consigliabile eseguire un'analisi completa del sistema per rilevare eventuali elementi che potrebbero essere stati persi mentre l'agente era inattivo.
Funzionalità: funzionalità. Esempi: in Access, i download di Internet Explorer e gli allegati di Outlook Express, il monitoraggio del comportamento o il sistema di ispezione della rete
Motivo: il motivo Microsoft Defender protezione antivirus in tempo reale ha riavviato una funzionalità.
Azione utente: la funzionalità di protezione in tempo reale è stata riavviata. Se questo evento si verifica di nuovo, contattare il supporto tecnico Microsoft.
ID evento 5000
Nome simbolico: MALWAREPROTECTION_RTP_ENABLED
Messaggio: la protezione in tempo reale è abilitata.
Descrizione: Microsoft Defender antivirus è stata abilitata l'analisi della protezione in tempo reale per la ricerca di malware e altro software potenzialmente indesiderato.
ID evento 5001
Nome simbolico: MALWAREPROTECTION_RTP_DISABLED
Messaggio: la protezione in tempo reale è disabilitata.
Descrizione: Microsoft Defender l'analisi della protezione antivirus in tempo reale per la ricerca di malware e altro software potenzialmente indesiderato è stato disabilitato.
ID evento 5004
Nome simbolico: MALWAREPROTECTION_RTP_FEATURE_CONFIGURED
Messaggio: la configurazione della protezione in tempo reale è stata modificata.
Descrizione: Microsoft Defender la configurazione della funzionalità di protezione antivirus in tempo reale è stata modificata.
- Funzionalità: funzionalità. Esempi: in Access, i download di Internet Explorer e gli allegati di Outlook Express, il monitoraggio del comportamento o il sistema di ispezione della rete
- Configurazione:
ID evento 5007
Nome simbolico: MALWAREPROTECTION_CONFIG_CHANGED
Messaggio: la configurazione della piattaforma antimalware è stata modificata.
Descrizione: Microsoft Defender configurazione antivirus modificata. Se questo evento è imprevisto, è consigliabile esaminare le impostazioni in quanto l'evento potrebbe essere il risultato di malware.
Valore precedente: numero di valore precedente Valore di configurazione antivirus precedente.
Nuovo valore: nuovo numero di valore Nuovo valore di configurazione antivirus.
ID evento 5008
Nome simbolico: MALWAREPROTECTION_ENGINE_FAILURE
Messaggio: il motore antimalware ha rilevato un errore e non è riuscito.
Descrizione: Microsoft Defender motore antivirus è stato terminato a causa di un errore imprevisto.
Tipo di errore: tipo di errore. Esempi: arresto anomalo o blocco
Codice eccezione: codice di errore
Risorsa: Risorsa
Azione utente: per risolvere questo evento:
Provare a riavviare il servizio.
Per antimalware, antivirus e spyware, al prompt dei comandi con privilegi elevati digitare net stop msmpsvc e quindi digitare net start msmpsvc per riavviare il motore antimalware.
Per Network Inspection System, al prompt dei comandi con privilegi elevati digitare net start nissrv e quindi digitare net start nissrv per riavviare il motore network inspection system usando il file NiSSRV.exe.
Se ha esito negativo nello stesso modo, cercare il codice di errore accedendo al sito supporto tecnico Microsoft e immettendo il numero di errore nella casella di ricerca e contattando il supporto tecnico Microsoft.
Azione utente: il motore client Microsoft Defender Antivirus si è arrestato a causa di un errore imprevisto. Per risolvere questo evento:
Eseguire di nuovo l'analisi.
Se ha esito negativo nello stesso modo, passare al sito supporto tecnico Microsoft, immettere il numero di errore nella casella Di ricerca per cercare il codice di errore.
Contatta il Supporto tecnico Microsoft.
ID evento 5009
Nome simbolico: MALWAREPROTECTION_ANTISPYWARE_ENABLED
Messaggio: l'analisi di malware e altro software potenzialmente indesiderato è abilitata.
Descrizione: Microsoft Defender antivirus ha abilitato l'analisi del malware e di altro software potenzialmente indesiderato.
ID evento 5010
Nome simbolico: MALWAREPROTECTION_ANTISPYWARE_DISABLED
Messaggio: l'analisi di malware e altro software potenzialmente indesiderato è disabilitata.
Descrizione: Microsoft Defender l'analisi antivirus del malware e di altro software potenzialmente indesiderato è disabilitata.
ID evento 5011
Nome simbolico: MALWAREPROTECTION_ANTIVIRUS_ENABLED
Messaggio: l'analisi dei virus è abilitata.
Descrizione: Microsoft Defender l'analisi dei virus abilitata per l'antivirus.
ID evento 5012
Nome simbolico: MALWAREPROTECTION_ANTIVIRUS_DISABLED
Messaggio: l'analisi della presenza di virus è disabilitata.
Descrizione: Microsoft Defender l'analisi antivirus per i virus è disabilitata.
ID evento 5013
Nome simbolico: MALWAREPROTECTION_SCAN_CANCELLED
Messaggio: la protezione da manomissione ha bloccato una modifica a Microsoft Defender Antivirus.
Descrizione: se la protezione da manomissione è abilitata, qualsiasi tentativo di modificare le impostazioni di Defender viene bloccato. L'ID evento 5013 viene generato e indica quale modifica dell'impostazione è stata bloccata.
ID evento 5100
Nome simbolico: MALWAREPROTECTION_EXPIRATION_WARNING_STATE
Messaggio: la piattaforma antimalware scade presto.
Descrizione: Microsoft Defender Antivirus ha immesso un periodo di tolleranza e scadrà presto. Dopo la scadenza, questo programma disabiliterà la protezione da virus, spyware e altro software potenzialmente indesiderato.
Motivo della scadenza: il motivo Microsoft Defender antivirus scade.
Data di scadenza: data di scadenza Microsoft Defender Antivirus.
ID evento 5101
Nome simbolico: MALWAREPROTECTION_DISABLED_EXPIRED_STATE
Messaggio: la piattaforma antimalware è scaduta.
Descrizione: Microsoft Defender periodo di tolleranza antivirus è scaduto. La protezione da virus, spyware e altro software potenzialmente indesiderato è disabilitata.
Codice di errore: codice di errore Codice risultato associato allo stato della minaccia. Valori HRESULT standard.
Descrizione errore: descrizione dell'errore Descrizione dell'errore.
codici di errore del client antivirus Microsoft Defender
Se Microsoft Defender Antivirus presenta problemi, in genere fornisce un codice di errore che consente di risolvere il problema. Molto spesso un errore indica che si è verificato un problema durante l'installazione di un aggiornamento. In questa sezione vengono fornite le informazioni seguenti sugli errori del client antivirus Microsoft Defender.
Codice di errore
Il possibile motivo dell'errore
Consigli su cosa fare ora
Usare le informazioni seguenti per risolvere i problemi relativi ai codici di errore Microsoft Defender Antivirus.
Codice di errore 0x80508007
Messaggio: ERR_MP_NO_MEMORY
Possibile motivo: questo errore indica che la memoria potrebbe essere esaurita.
Risoluzione:
Controllare la memoria disponibile nel dispositivo.
Chiudere tutte le applicazioni inutilizzate in esecuzione per liberare memoria nel dispositivo.
Riavviare il dispositivo ed eseguire di nuovo l'analisi.
Codice di errore 0x8050800C
Messaggio: ERR_MP_BAD_INPUT_DATA
Possibile motivo: questo errore indica che potrebbe esserci un problema con il prodotto di sicurezza.
Risoluzione:
Aggiornare le definizioni. O:
Ottenere gli aggiornamenti dell'intelligence per la sicurezza nell'app Sicurezza di Windows.
,
Scaricare le definizioni più recenti dal sito Intelligence di sicurezza Microsoft.
[! NOTA] Le dimensioni del file di definizioni scaricato dal sito possono superare i 60 MB e non devono essere usate come soluzione a lungo termine per l'aggiornamento delle definizioni.
Eseguire un'analisi completa.
Riavviare il dispositivo e riprovare.
Codice di errore 0x80508020
Messaggio: ERR_MP_BAD_CONFIGURATION
Possibile motivo: questo errore indica che potrebbe essere presente un errore di configurazione del motore. In genere, questo errore è correlato ai dati di input che non consentono al motore di funzionare correttamente.
Codice di errore 0x805080211
Messaggio: ERR_MP_QUARANTINE_FAILED
Possibile motivo: questo errore indica che Microsoft Defender Antivirus non è riuscito a mettere in quarantena una minaccia.
Codice di errore 0x80508022
Messaggio: ERR_MP_REBOOT_REQUIRED
Possibile motivo: questo errore indica che è necessario un riavvio per completare la rimozione delle minacce.
Codice di errore 0x80508023
Messaggio: ERR_MP_THREAT_NOT_FOUND
Possibile motivo: questo errore indica che la minaccia potrebbe non essere più presente nel supporto o che il malware potrebbe impedire l'analisi del dispositivo.
Risoluzione: eseguire il Microsoft Safety Scanner quindi aggiornare il software di sicurezza e riprovare.
Codice di errore 0x80508024
Messaggio: ERR_MP_FULL_SCAN_REQUIRED
Possibile motivo: questo errore indica che potrebbe essere necessaria un'analisi completa del sistema.
Risoluzione: eseguire un'analisi completa del sistema.
Codice di errore 0x80508025
Messaggio: ERR_MP_MANUAL_STEPS_REQUIRED
Possibile motivo: questo errore indica che sono necessari passaggi manuali per completare la rimozione delle minacce.
Risoluzione: seguire i passaggi di correzione manuali descritti in Microsoft Malware Protection Enciclopedia. È possibile trovare un collegamento specifico della minaccia nella cronologia eventi.
Codice di errore 0x80508026
Messaggio: ERR_MP_REMOVE_NOT_SUPPORTED
Possibile motivo: questo errore indica che la rimozione all'interno del tipo di contenitore potrebbe non essere supportata.
Risoluzione: Microsoft Defender Antivirus non è in grado di correggere le minacce rilevate all'interno dell'archivio. Prendere in considerazione la rimozione manuale delle risorse rilevate.
Codice di errore 0x80508027
Messaggio: ERR_MP_REMOVE_LOW_MEDIUM_DISABLED
Possibile motivo: questo errore indica che la rimozione di minacce medio-basse potrebbe essere disabilitata.
Risoluzione: controllare le minacce rilevate e risolverle in base alle esigenze.
Codice di errore 0x80508029
Messaggio: ERROR_MP_RESCAN_REQUIRED
Possibile motivo: questo errore indica che è necessaria una nuova analisi della minaccia.
Risoluzione: eseguire un'analisi completa del sistema.
Codice di errore 0x80508030
Messaggio: ERROR_MP_CALLISTO_REQUIRED
Possibile motivo: questo errore indica che è necessaria un'analisi offline.
Risoluzione: eseguire offline Microsoft Defender Antivirus. Per altre informazioni, vedere Proteggere il PC con Microsoft Defender Offline.
Codice di errore 0x80508031
Messaggio: ERROR_MP_PLATFORM_OUTDATED
Possibile motivo: questo errore indica che Microsoft Defender Antivirus non supporta la versione corrente della piattaforma e richiede una nuova versione della piattaforma.
Risoluzione: è possibile usare Microsoft Defender Antivirus solo in Windows 10 e Windows 11. Per Windows 8, Windows 7 e Windows Vista, è possibile usare System Center Endpoint Protection.
Codici di errore interni
Durante il test interno di Microsoft Defender Antivirus vengono usati i codici di errore seguenti.
Se vengono visualizzati questi errori, è possibile provare ad aggiornare le definizioni e forzare la ripetizione dell'analisi direttamente nell'endpoint.
Codice di errore 0x80501004
Messaggio visualizzato: ERROR_MP_NO_INTERNET_CONN
Possibile motivo di errore e risoluzione: controllare la connessione Internet, quindi eseguire di nuovo l'analisi.
Codice di errore 0x80501000
Messaggio visualizzato: ERROR_MP_UI_CONSOLIDATION_BASE
Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.
Codice di errore 0x80501001
Messaggio visualizzato: ERROR_MP_ACTIONS_FAILED
Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.
Codice di errore 0x80501002
Messaggio visualizzato: ERROR_MP_NOENGINE
Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.
Codice di errore 0x80501003
Messaggio visualizzato: ERROR_MP_ACTIVE_THREATS
Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.
Codice di errore 0x805011011
Messaggio visualizzato: MP_ERROR_CODE_LUA_CANCELLED
Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.
Codice di errore 0x80501101
Messaggio visualizzato: ERROR_LUA_CANCELLATION
Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.
Codice di errore 0x80501102
Messaggio visualizzato: MP_ERROR_CODE_ALREADY_SHUTDOWN
Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.
Codice di errore 0x80501103
Messaggio visualizzato: MP_ERROR_CODE_RDEVICE_S_ASYNC_CALL_PENDING
Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.
Codice di errore 0x80501104
Messaggio visualizzato: MP_ERROR_CODE_CANCELLED
Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.
Codice di errore 0x80501105
Messaggio visualizzato: MP_ERROR_CODE_NO_TARGETOS
Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.
Codice di errore 0x80501106
Messaggio visualizzato: MP_ERROR_CODE_BAD_REGEXP
Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.
Codice di errore 0x80501107
Messaggio visualizzato: MP_ERROR_TEST_INDUCED_ERROR
Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.
Codice di errore 0x80501108
Messaggio visualizzato: MP_ERROR_SIG_BACKUP_DISABLED
Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.
Codice di errore 0x80508001
Messaggio visualizzato: ERR_MP_BAD_INIT_MODULES
Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.
Codice di errore 0x80508002
Messaggio visualizzato: ERR_MP_BAD_DATABASE
Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.
Codice di errore 0x80508004
Messaggio visualizzato: ERR_MP_BAD_UFS
Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.
Codice di errore 0x8050800C
Messaggio visualizzato: ERR_MP_BAD_INPUT_DATA
Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.
Codice di errore 0x8050800D
Messaggio visualizzato: ERR_MP_BAD_GLOBAL_STORAGE
Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.
Codice di errore 0x8050800E
Messaggio visualizzato: ERR_MP_OBSOLETE
Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.
Codice di errore 0x8050800F
Messaggio visualizzato: ERR_MP_NOT_SUPPORTED
Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.
Codice di errore 0x8050800F
Messaggio visualizzato: ERR_MP_NO_MORE_ITEMS
Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.
Codice di errore 0x80508010
Messaggio visualizzato: ERR_MP_NO_MORE_ITEMS
Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.
Codice di errore 0x80508011
Messaggio visualizzato: ERR_MP_DUPLICATE_SCANID
Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.
Codice di errore 0x80508012
Messaggio visualizzato: ERR_MP_BAD_SCANID
Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.
Codice di errore 0x80508013
Messaggio visualizzato: ERR_MP_BAD_USERDB_VERSION
Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.
Codice di errore 0x80508014
Messaggio visualizzato: ERR_MP_RESTORE_FAILED
Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.
Codice di errore 0x80508016
Messaggio visualizzato: ERR_MP_BAD_ACTION
Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.
Codice di errore 0x80508019
Messaggio visualizzato: ERR_MP_NOT_FOUND
Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.
Codice di errore 0x80509001
Messaggio visualizzato: ERR_RELO_BAD_EHANDLE
Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.
Codice di errore 0x80509003
Messaggio visualizzato: ERR_RELO_KERNEL_NOT_LOADED
Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.
Codice di errore 0x8050A001
Messaggio visualizzato: ERR_MP_BADDB_OPEN
Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.
Codice di errore 0x8050A002
Messaggio visualizzato: ERR_MP_BADDB_HEADER
Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.
Codice di errore 0x8050A003
Messaggio visualizzato: ERR_MP_BADDB_OLDENGINE
Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.
Codice di errore 0x8050A004
Messaggio visualizzato: ERR_MP_BADDB_CONTENT
Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.
Codice di errore 0x8050A005
Messaggio visualizzato: ERR_MP_BADDB_NOTSIGNED
Possibile motivo dell'errore e della risoluzione: questo errore è interno. La causa non è chiaramente definita.
Codice di errore 0x8050801
Messaggio visualizzato: ERR_MP_REMOVE_FAILED
Possibile motivo dell'errore e della risoluzione: questo errore è interno. Potrebbe essere attivato quando la rimozione del malware non riesce.
Codice di errore 0x80508018
Messaggio visualizzato: ERR_MP_SCAN_ABORTED
Possibile motivo dell'errore e della risoluzione: questo errore è interno. Potrebbe essere stata attivata quando non è possibile completare un'analisi.