Просмотр журналов событий и кодов ошибок для устранения неполадок с антивирусной программой в Microsoft Defender

Если у вас возникла проблема с антивирусной программой Microsoft Defender, вы можете найти соответствующую проблему и возможное решение в следующих разделах этой статьи.

Область применения:

Разделы справки просмотреть событие антивирусной программы Microsoft Defender?

  1. Откройте Просмотр событий.

  2. В дереве консоли разверните узел Журналы> приложений и службMicrosoft>Windows>Defender.

  3. Дважды щелкните элемент Operational (Операционная).

  4. В области сведений просмотрите список отдельных событий, чтобы найти свое событие.

  5. Выберите событие, чтобы просмотреть конкретные сведения о событии на нижней панели на вкладках Общие и Сведения .

Идентификатор события 1000

Символическое имя: MALWAREPROTECTION_SCAN_STARTED

Сообщение. Запущена проверка антивредоносного ПО.

Описание:

  • Идентификатор сканирования: идентификатор соответствующего сканирования.

  • Тип сканирования: тип сканирования. Примеры: Антивирусная программа, Антишпионское ПО или Антивредоносное ПО

  • Параметры сканирования: параметры сканирования. Примеры: полная проверка, быстрая проверка или проверка клиентов

  • Ресурсы сканирования: ресурсы (например, файлы,каталоги/BHO), которые были проверены.

  • Пользователь: Домен\Пользователь

Идентификатор события 1001

Символическое имя: MALWAREPROTECTION_SCAN_COMPLETED

Сообщение. Проверка защиты от вредоносных программ завершена.

Описание:

  • Идентификатор сканирования: идентификатор соответствующего сканирования.

  • Тип сканирования: тип сканирования. Примеры: Антивирусная программа, Антишпионское ПО или Антивредоносное ПО

  • Параметры сканирования: параметры сканирования. Примеры: полная проверка, быстрая проверка или проверка клиентов

  • Пользователь: Домен\Пользователь

  • Время сканирования: длительность сканирования.

Идентификатор события 1002

Символическое имя: MALWAREPROTECTION_SCAN_CANCELLED

Сообщение. Проверка защиты от вредоносных программ была остановлена до ее завершения.

Описание:

  • Идентификатор сканирования: идентификатор соответствующего сканирования.

  • Тип сканирования: тип сканирования. Примеры: Антивирусная программа, Антишпионское ПО или Антивредоносное ПО

  • Параметры сканирования: параметры сканирования. Примеры: полная проверка, быстрая проверка или проверка клиентов

  • Пользователь: Домен\Пользователь

  • Время сканирования: длительность сканирования.

Идентификатор события 1003

Символическое имя: MALWAREPROTECTION_SCAN_PAUSED

Сообщение. Проверка защиты от вредоносных программ приостановлена.

Описание:

  • Идентификатор сканирования: идентификатор соответствующего сканирования.

  • Тип сканирования: тип сканирования. Примеры: Антивирусная программа, Антишпионское ПО или Антивредоносное ПО

  • Параметры сканирования: параметры сканирования. Примеры: полная проверка, быстрая проверка или проверка клиентов

  • Пользователь: Домен\Пользователь

Идентификатор события 1004

Символическое имя: MALWAREPROTECTION_SCAN_RESUMED

Сообщение. Проверка защиты от вредоносных программ была возобновлена.

Описание:

  • Идентификатор сканирования: идентификатор соответствующего сканирования.

  • Тип сканирования: тип сканирования. Примеры: Антивирусная программа, Антишпионское ПО или Антивредоносное ПО

  • Параметры сканирования: параметры сканирования. Примеры: полная проверка, быстрая проверка или проверка клиентов

  • Пользователь: Домен\Пользователь

Идентификатор события 1005

Символическое имя: MALWAREPROTECTION_SCAN_FAILED

Сообщение. Сбой проверки защиты от вредоносных программ.

Описание:

  • Идентификатор сканирования: идентификатор соответствующего сканирования.

  • Тип сканирования: тип сканирования. Примеры: Антивирусная программа, Антишпионское ПО или Антивредоносное ПО

  • Параметры сканирования: параметры сканирования. Примеры: полная проверка, быстрая проверка или настраиваемая проверка

  • Пользователь: Домен\Пользователь

  • Код ошибки: код ошибки. Код результата, связанный с состоянием угрозы. Стандартные значения HRESULT.

  • Описание ошибки: описание ошибки. Описание ошибки.

Действие пользователя:

Антивирусная программа обнаружила ошибку, и текущая проверка остановлена. Проверка может завершиться ошибкой из-за проблемы на стороне клиента. Эта запись события включает идентификатор сканирования, тип сканирования (Microsoft Defender антивирусная программа, антишпионское ПО, антивредоносное ПО), параметры сканирования, пользователь, который начал проверку, код ошибки и описание ошибки. Чтобы устранить неполадки с этим событием, выполните приведенные ниже действия.

- Run the scan again.

- If it fails in the same way, go to the [Microsoft Support site](https://support.microsoft.com/), enter the error number in the Search box to look for the error code.

- Contact [Microsoft Technical Support](/microsoft-365/admin/get-help-support).

Идентификатор события 1006

Символическое имя: MALWAREPROTECTION_MALWARE_DETECTED

Сообщение. Подсистема защиты от вредоносных программ обнаружила вредоносное ПО или другое потенциально нежелательное программное обеспечение.

Описание. Дополнительные сведения см. в следующих сведениях:

  • Имя: имя угрозы

  • Идентификатор: идентификатор угрозы

  • Серьезность: серьезность. Примеры: низкий, средний, высокий или тяжелый

  • Категория: описание категории. Примеры: любая угроза или вредоносные программы.

  • Путь: путь к файлу

  • Источник обнаружения: источник обнаружения. Примеры: Неизвестный, Локальный компьютер, Общая сетевая папка, Интернет, Входящий трафик или Исходящий трафик

  • Тип обнаружения: тип обнаружения. Примеры: эвристика, универсальная, конкретная или динамическая сигнатура

  • Источник обнаружения: источник обнаружения, например:

    • Пользователь: инициировано пользователем.

    • Система: инициировано системой

    • В режиме реального времени: компонент, инициированный в режиме реального времени

    • IOAV: инициированы загрузки IE и вложения Outlook Express

    • NIS: система проверки сети

    • IEPROTECT: IE — IExtensionValidation; защищает от вредоносных элементов управления веб-страницами.

    • Ранний запуск антивредоносного ПО (ELAM). Этот источник включает вредоносные программы, обнаруженные последовательностью загрузки.

    • Удаленная аттестация

  • Интерфейс проверки защиты от вредоносных программ (AMSI). В основном используется для защиты скриптов (PowerShell, VBS), хотя он также может вызываться сторонними разработчиками. Контроль учетных записей.

  • Состояние: Состояние

  • Пользователь: Домен\Пользователь

  • Имя процесса: процесс в PID

  • Версия сигнатуры: версия определения

  • Версия ядра: модуль защиты от вредоносных программ версия

Идентификатор события 1007

Символическое имя: MALWAREPROTECTION_MALWARE_ACTION_TAKEN

Сообщение. Платформа защиты от вредоносных программ выполнила действие для защиты системы от вредоносных программ или других потенциально нежелательных программ.

Описание: Microsoft Defender антивирусная программа приняла меры для защиты этого компьютера от вредоносных программ или других потенциально нежелательных программ. Дополнительные сведения см. в следующих сведениях:

  • Пользователь: Домен\Пользователь

  • Имя: имя угрозы

  • Идентификатор: идентификатор угрозы

  • Серьезность: серьезность. Примеры: низкий, средний, высокий или тяжелый

  • Категория: описание категории, например любой тип угрозы или вредоносного ПО.

  • Действие: действие. Примеры:

    • Очистить. Ресурс был очищен.

    • Карантин. Ресурс помещен в карантин.

    • Удалить. Ресурс был удален.

    • Разрешить: ресурсу разрешено выполнять или существовать.

    • Определяемое пользователем действие: определяемое пользователем действие, которое обычно входит в список действий, указанных пользователем.

    • Нет действия: нет действия

    • Блокировать. Ресурс был заблокирован для выполнения.

  • Состояние: Состояние

  • Версия сигнатуры: версия определения

  • Версия ядра: модуль защиты от вредоносных программ версия

Идентификатор события 1008

Символическое имя: MALWAREPROTECTION_MALWARE_ACTION_FAILED

Сообщение. Платформа защиты от вредоносных программ попыталась выполнить действие для защиты системы от вредоносных программ или другого потенциально нежелательного программного обеспечения, но действие завершилось ошибкой.

Описание: Microsoft Defender антивирусная программа обнаружила ошибку при выполнении действий с вредоносными программами или другим потенциально нежелательным программным обеспечением. Дополнительные сведения см. в следующих сведениях:

  • Пользователь: Домен\Пользователь

  • Имя: имя угрозы

  • Идентификатор: идентификатор угрозы

  • Серьезность: серьезность. Примеры: низкий, средний, высокий или тяжелый

  • Категория: описание категории, например любой тип угрозы или вредоносного ПО.

  • Путь: путь к файлу

  • Действие: действие. Примеры:

    • Очистить. Ресурс был очищен.

    • Карантин. Ресурс помещен в карантин.

    • Удалить. Ресурс был удален.

    • Разрешить: ресурсу разрешено выполнять или существовать.

    • Определяемое пользователем действие: определяемое пользователем действие, которое обычно входит в список действий, указанных пользователем.

    • Нет действия: нет действия

    • Блокировать. Ресурс был заблокирован для выполнения.

  • Код ошибки: код ошибки Код результата, связанный с состоянием угрозы. Стандартные значения HRESULT.

  • Описание ошибки: описание ошибки Описание ошибки.

  • Состояние: Состояние

  • Версия сигнатуры: версия определения

  • Версия ядра: модуль защиты от вредоносных программ версия

Идентификатор события 1009

Символическое имя: MALWAREPROTECTION_QUARANTINE_RESTORE

Сообщение. Платформа защиты от вредоносных программ восстановила элемент из карантина.

Описание: Microsoft Defender антивирусная программа восстановила элемент из карантина. Дополнительные сведения см. в следующих сведениях:

  • Имя: имя угрозы

  • Идентификатор: идентификатор угрозы

  • Серьезность: серьезность. Примеры: низкий, средний, высокий или тяжелый

  • Категория: описание категории, например любой тип угрозы или вредоносного ПО.

  • Путь: путь к файлу

  • Пользователь: Домен\Пользователь

  • Версия сигнатуры: версия определения

  • Версия ядра: модуль защиты от вредоносных программ версия

Идентификатор события 1010

Символическое имя: MALWAREPROTECTION_QUARANTINE_RESTORE_FAILED

Сообщение. Платформе защиты от вредоносных программ не удалось восстановить элемент из карантина.

Описание: Microsoft Defender антивирусная программа обнаружила ошибку при попытке восстановить элемент из карантина. Дополнительные сведения см. в следующих сведениях:

  • Имя: имя угрозы

  • Идентификатор: идентификатор угрозы

  • Серьезность: серьезность. Примеры: низкий, средний, высокий или тяжелый

  • Категория: описание категории, например любой тип угрозы или вредоносного ПО.

  • Путь: путь к файлу

  • Пользователь: Домен\Пользователь

  • Код ошибки: код ошибки Код результата, связанный с состоянием угрозы. Стандартные значения HRESULT.

  • Описание ошибки: описание ошибки Описание ошибки.

  • Версия сигнатуры: версия определения

  • Версия ядра: модуль защиты от вредоносных программ версия

Идентификатор события 1011

Символическое имя: MALWAREPROTECTION_QUARANTINE_DELETE

Сообщение. Платформа защиты от вредоносных программ удалила элемент из карантина.

Описание: Microsoft Defender антивирусная программа удалила элемент из карантина. Дополнительные сведения см. в следующих сведениях:

  • Имя: имя угрозы

  • Идентификатор: идентификатор угрозы

  • Серьезность: серьезность. Примеры: низкий, средний, высокий или тяжелый

  • Категория: описание категории, например любой тип угрозы или вредоносного ПО.

  • Путь: путь к файлу

  • Пользователь: Домен\Пользователь

  • Версия сигнатуры: версия определения

  • Версия ядра: модуль защиты от вредоносных программ версия

Идентификатор события 1012

Символическое имя: MALWAREPROTECTION_QUARANTINE_DELETE_FAILED

Сообщение. Платформе защиты от вредоносных программ не удалось удалить элемент из карантина.

Описание: Microsoft Defender антивирусная программа обнаружила ошибку при попытке удалить элемент из карантина. Дополнительные сведения см. в следующих сведениях:

  • Имя: имя угрозы

  • Идентификатор: идентификатор угрозы

  • Серьезность: серьезность. Примеры: низкий, средний, высокий или тяжелый

  • Категория: описание категории, например любой тип угрозы или вредоносного ПО.

  • Путь: путь к файлу

  • Пользователь: Домен\Пользователь

  • Код ошибки: код ошибки Код результата, связанный с состоянием угрозы. Стандартные значения HRESULT.

  • Описание ошибки: описание ошибки Описание ошибки.

  • Версия сигнатуры: версия определения

  • Версия ядра: модуль защиты от вредоносных программ версия

Идентификатор события 1013

Символическое имя: MALWAREPROTECTION_MALWARE_HISTORY_DELETE

Сообщение. Платформа защиты от вредоносных программ удалила журнал вредоносных программ и других потенциально нежелательных программ.

Описание: Microsoft Defender антивирусная программа удалила журнал вредоносных программ и других потенциально нежелательных программ.

  • Время: время возникновения события, например при очистке журнала. Этот параметр не используется в событиях угроз, чтобы не было путаницы относительно времени исправления или заражения. Для таких событий мы специально называем их временем действия или временем обнаружения.

  • Пользователь: Домен\Пользователь

Идентификатор события 1014

Символическое имя: MALWAREPROTECTION_MALWARE_HISTORY_DELETE_FAILED

Сообщение. Платформе защиты от вредоносных программ не удалось удалить журнал вредоносных программ и других потенциально нежелательных программ.

Описание: Microsoft Defender антивирусная программа обнаружила ошибку при попытке удалить журнал вредоносных программ и других потенциально нежелательных программ.

  • Время: время возникновения события, например при очистке журнала. Этот параметр не используется в событиях угроз, чтобы не было путаницы относительно времени исправления или заражения. Для таких событий мы специально называем их временем действия или временем обнаружения.

  • Пользователь: Домен\Пользователь

  • Код ошибки: код ошибки Код результата, связанный с состоянием угрозы. Стандартные значения HRESULT.

  • Описание ошибки: описание ошибки Описание ошибки.

Идентификатор события 1015

Символическое имя: MALWAREPROTECTION_BEHAVIOR_DETECTED

Сообщение. Платформа защиты от вредоносных программ обнаружила подозрительное поведение.

Описание: антивирусная программа Microsoft Defender обнаружила подозрительное поведение. Дополнительные сведения см. в следующих сведениях:

  • Имя: имя угрозы

  • Идентификатор: идентификатор угрозы

  • Серьезность: серьезность. Примеры: низкий, средний, высокий или тяжелый

  • Категория: описание категории, например любой тип угрозы или вредоносного ПО.

  • Путь: путь к файлу

  • Источник обнаружения: источник обнаружения. Примеры: Неизвестный, Локальный компьютер, Общая сетевая папка, Интернет, Входящий трафик или Исходящий трафик

  • Тип обнаружения: тип обнаружения. Примеры: эвристика, универсальная, конкретная или динамическая сигнатура

  • Источник обнаружения: источник обнаружения, например:

    • Пользователь: инициировано пользователем.

    • Система: инициировано системой

    • В режиме реального времени: компонент, инициированный в режиме реального времени

    • IOAV: инициированы загрузки IE и вложения Outlook Express

    • NIS: система проверки сети

    • IEPROTECT: IE — IExtensionValidation; этот источник защищает от вредоносных элементов управления веб-страницами.

    • Ранний запуск антивредоносного ПО (ELAM). Этот источник включает вредоносные программы, обнаруженные последовательностью загрузки.

    • Удаленная аттестация

  • Интерфейс проверки защиты от вредоносных программ (AMSI). В основном используется для защиты скриптов (PowerShell, VBS), хотя он также может вызываться сторонними разработчиками. Контроль учетных записей

  • Состояние: Состояние

  • Пользователь: Домен\Пользователь

  • Имя процесса: процесс в PID

  • Идентификатор сигнатуры: серьезность перечисления, соответствующего.

  • Версия сигнатуры: версия определения

  • Версия ядра: модуль защиты от вредоносных программ версия

  • Метка точности:

  • Имя целевого файла: имя файла.

Идентификатор события 1116

Символическое имя: MALWAREPROTECTION_STATE_MALWARE_DETECTED

Сообщение. Платформа защиты от вредоносных программ обнаружила вредоносное ПО или другое потенциально нежелательное программное обеспечение.

Описание: Microsoft Defender антивирусная программа обнаружила вредоносные программы или другое потенциально нежелательное программное обеспечение. Дополнительные сведения см. в следующих сведениях:

  • Имя: имя угрозы

  • Идентификатор: идентификатор угрозы

  • Серьезность: серьезность. Примеры: низкий, средний, высокий или тяжелый

  • Категория: описание категории, например любой тип угрозы или вредоносного ПО.

  • Путь: путь к файлу

  • Источник обнаружения: источник обнаружения. Примеры: Неизвестный, Локальный компьютер, Общая сетевая папка, Интернет, Входящий трафик или Исходящий трафик

  • Тип обнаружения: тип обнаружения. Примеры: эвристика, универсальная, конкретная или динамическая сигнатура

  • Источник обнаружения: источник обнаружения, например:

    • Пользователь: инициировано пользователем.

    • Система: инициировано системой

    • В режиме реального времени: компонент, инициированный в режиме реального времени

    • IOAV: инициированы загрузки IE и вложения Outlook Express

    • NIS: система проверки сети

    • IEPROTECT: IE — IExtensionValidation; защищает от вредоносных элементов управления веб-страницами.

    • Ранний запуск антивредоносного ПО (ELAM). Сюда входят вредоносные программы, обнаруженные последовательностью загрузки.

    • Удаленная аттестация

  • Интерфейс проверки защиты от вредоносных программ (AMSI). В основном используется для защиты скриптов (PowerShell, VBS), хотя он также может вызываться сторонними разработчиками. Контроль учетных записей

  • Пользователь: Домен\Пользователь

  • Имя процесса: процесс в PID

  • Версия сигнатуры: версия определения

  • Версия ядра: модуль защиты от вредоносных программ версия

Действие пользователя: никаких действий не требуется. Microsoft Defender антивирусная программа может приостановить эту угрозу и принять обычные меры. Если вы хотите удалить угрозу вручную, в интерфейсе антивирусной программы Microsoft Defender выберите Очистить компьютер.

Идентификатор события 1117

Символическое имя: MALWAREPROTECTION_STATE_MALWARE_ACTION_TAKEN

Сообщение. Платформа защиты от вредоносных программ выполнила действие для защиты системы от вредоносных программ или других потенциально нежелательных программ.

Описание: Microsoft Defender антивирусная программа приняла меры для защиты этого компьютера от вредоносных программ или других потенциально нежелательных программ. Дополнительные сведения см. в следующих сведениях:

  • Имя: имя угрозы

  • Идентификатор: идентификатор угрозы

  • Серьезность: серьезность. Примеры: низкий, средний, высокий или тяжелый

  • Категория: описание категории, например любой тип угрозы или вредоносного ПО.

  • Путь: путь к файлу

  • Источник обнаружения: источник обнаружения. Примеры: Неизвестный, Локальный компьютер, Общая сетевая папка, Интернет, Входящий трафик или Исходящий трафик

  • Тип обнаружения: тип обнаружения. Примеры: эвристика, универсальная, конкретная или динамическая сигнатура

  • Источник обнаружения: источник обнаружения, например:

    • Пользователь: инициировано пользователем.

    • Система: инициировано системой

    • В режиме реального времени: компонент, инициированный в режиме реального времени

    • IOAV: инициированы загрузки IE и вложения Outlook Express

    • NIS: система проверки сети

    • IEPROTECT: IE — IExtensionValidation; этот источник защищает от вредоносных элементов управления веб-страницами.

    • Ранний запуск антивредоносного ПО (ELAM). Сюда входят вредоносные программы, обнаруженные последовательностью загрузки.

    • Удаленная аттестация

  • Интерфейс проверки защиты от вредоносных программ (AMSI). В основном используется для защиты скриптов (PowerShell, VBS), хотя он также может вызываться сторонними разработчиками. Контроль учетных записей

  • Пользователь: Домен\Пользователь

  • Имя процесса: процесс в PID

  • Действие: действие. Примеры:

    • Очистить. Ресурс был очищен.

    • Карантин. Ресурс помещен в карантин.

    • Удалить. Ресурс был удален.

    • Разрешить: ресурсу разрешено выполнять или существовать.

    • Определяемое пользователем действие: определяемое пользователем действие, которое обычно входит в список действий, указанных пользователем.

    • Нет действия: нет действия

    • Блокировать. Ресурс был заблокирован для выполнения.

  • Состояние действия: описание других действий

  • Код ошибки: код ошибки Код результата, связанный с состоянием угрозы. Стандартные значения HRESULT.

  • Описание ошибки: описание ошибки Описание ошибки.

  • Версия сигнатуры: версия определения

  • Версия ядра: модуль защиты от вредоносных программ версия

Примечание. Каждый раз, когда Microsoft Defender антивирусная программа, средство удаления вредоносных программ или System Center Endpoint Protection обнаруживает вредоносную программу, она восстанавливает следующие системные параметры и службы, которые могли быть изменены вредоносными программами:

- Default Internet Explorer or Microsoft Edge setting

- User Access Control settings

- Chrome settings

- Boot Control Data

- Regedit and Task Manager registry settings

- Windows Update, Background Intelligent Transfer Service, and Remote Procedure Call service

- Windows Operating System files

Приведенный выше контекст применяется к следующим версиям клиента и сервера:

- Operating system: Client Operating System

  Operating system version: Windows Vista (Service Pack 1, or Service Pack 2), Windows 7 and later

- Operating system: Server Operating System

  Operating system version: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, and Windows Server 2016

Действие пользователя: никаких действий не требуется. Microsoft Defender антивирусная программа удалила угрозу или помещена в карантин.

Идентификатор события 1118

Символическое имя: MALWAREPROTECTION_STATE_MALWARE_ACTION_FAILED

Сообщение. Платформа защиты от вредоносных программ попыталась выполнить действие для защиты системы от вредоносных программ или другого потенциально нежелательного программного обеспечения, но действие завершилось ошибкой.

Описание: Microsoft Defender антивирусная программа обнаружила некритичную ошибку при выполнении действий с вредоносными программами или другим потенциально нежелательным программным обеспечением. Дополнительные сведения см. в следующих сведениях:

  • Имя: имя угрозы

  • Идентификатор: идентификатор угрозы

  • Серьезность: серьезность. Примеры: низкий, средний, высокий или тяжелый

  • Категория: описание категории, например любой тип угрозы или вредоносного ПО.

  • Путь: путь к файлу

  • Источник обнаружения: источник обнаружения. Примеры: Неизвестный, Локальный компьютер, Общая сетевая папка, Интернет, Входящий трафик или Исходящий трафик

  • Тип обнаружения: тип обнаружения. Примеры: эвристика, универсальная, конкретная или динамическая сигнатура

  • Источник обнаружения: источник обнаружения, например:

    • Пользователь: инициировано пользователем.

    • Система: инициировано системой

    • В режиме реального времени: компонент, инициированный в режиме реального времени

    • IOAV: инициированы загрузки IE и вложения Outlook Express

    • NIS: система проверки сети

    • IEPROTECT: IE — IExtensionValidation; защищает от вредоносных элементов управления веб-страницами.

    • Ранний запуск антивредоносного ПО (ELAM). Сюда входят вредоносные программы, обнаруженные последовательностью загрузки.

    • Удаленная аттестация

  • Интерфейс проверки защиты от вредоносных программ (AMSI). В основном используется для защиты скриптов (PowerShell, VBS), хотя он также может вызываться сторонними разработчиками. Контроль учетных записей

  • Пользователь: Домен\Пользователь

  • Имя процесса: процесс в PID

  • Действие: действие. Примеры:

    • Очистить. Ресурс был очищен.

    • Карантин. Ресурс помещен в карантин.

    • Удалить. Ресурс был удален.

    • Разрешить: ресурсу разрешено выполнять или существовать.

    • Определяемое пользователем действие: определяемое пользователем действие, которое обычно входит в список действий, указанных пользователем.

    • Нет действия: нет действия

    • Блокировать: ресурс не может выполняться.

  • Состояние действия: описание дополнительных действий

  • Код ошибки: код ошибки Код результата, связанный с состоянием угрозы. Стандартные значения HRESULT.

  • Описание ошибки: описание ошибки Описание ошибки.

  • Версия сигнатуры: версия определения

  • Версия ядра: модуль защиты от вредоносных программ версия

Действие пользователя: никаких действий не требуется. Microsoft Defender антивирусной программе не удалось выполнить задачу, связанную с исправлением вредоносных программ. Это не критический сбой.

Идентификатор события 1119

Символическое имя: MALWAREPROTECTION_STATE_MALWARE_ACTION_CRITICALLY_FAILED

Сообщение. Платформа защиты от вредоносных программ обнаружила критическую ошибку при попытке предпринять действия с вредоносными программами или другим потенциально нежелательным программным обеспечением. Дополнительные сведения см. в сообщении о событии.

Описание: Microsoft Defender антивирусная программа столкнулась с критической ошибкой при выполнении действий с вредоносными программами или другим потенциально нежелательным программным обеспечением. Дополнительные сведения см. в следующих сведениях:

  • Имя: имя угрозы

  • Идентификатор: идентификатор угрозы

  • Серьезность: серьезность. Примеры: низкий, средний, высокий или тяжелый

  • Категория: описание категории, например любой тип угрозы или вредоносного ПО.

  • Путь: путь к файлу

  • Источник обнаружения: источник обнаружения. Примеры: Неизвестный, Локальный компьютер, Общая сетевая папка, Интернет, Входящий трафик или Исходящий трафик

  • Тип обнаружения: тип обнаружения. Примеры: эвристика, универсальная, конкретная или динамическая сигнатура

  • Источник обнаружения: источник обнаружения, например:

    • Пользователь: инициировано пользователем.

    • Система: инициировано системой

    • В режиме реального времени: компонент, инициированный в режиме реального времени

    • IOAV: инициированы загрузки IE и вложения Outlook Express

    • NIS: система проверки сети

    • IEPROTECT: IE — IExtensionValidation; защищает от вредоносных элементов управления веб-страницами.

    • Ранний запуск антивредоносного ПО (ELAM). Сюда входят вредоносные программы, обнаруженные последовательностью загрузки.

    • Удаленная аттестация

  • Интерфейс проверки защиты от вредоносных программ (AMSI). В основном используется для защиты скриптов (PowerShell, VBS), хотя он также может вызываться сторонними разработчиками. Контроль учетных записей

  • Пользователь: Домен\Пользователь

  • Имя процесса: процесс в PID

  • Действие: действие. Примеры:

    • Очистка: ресурс был очищен

    • Карантин. Ресурс помещен в карантин.

    • Удалить. Ресурс был удален.

    • Разрешить: ресурсу разрешено выполнять или существовать.

    • Определяемое пользователем действие: определяемое пользователем действие, которое обычно входит в список действий, указанных пользователем.

    • Нет действия: нет действия

    • Блокировать. Ресурс был заблокирован для выполнения.

  • Состояние действия: описание других действий

  • Код ошибки: код ошибки Код результата, связанный с состоянием угрозы. Стандартные значения HRESULT.

  • Описание ошибки: описание ошибки Описание ошибки.

  • Версия сигнатуры: версия определения

  • Версия ядра: модуль защиты от вредоносных программ версия

Действие пользователя. Клиент антивирусной программы Microsoft Defender обнаружил эту ошибку из-за критических проблем. Возможно, конечная точка не защищена. Просмотрите описание ошибки, а затем выполните соответствующие действия пользователя .

  • Действие: удалить действие пользователя: обновите определения, а затем убедитесь, что удаление прошло успешно.

  • Действие. Действие Очистка пользователя: обновите определения, а затем убедитесь, что исправление прошло успешно.

  • Действие. Действие "Карантин пользователя". Обновите определения и убедитесь, что у пользователя есть разрешение на доступ к необходимым ресурсам.

  • Действие: разрешить действие пользователя. Убедитесь, что у пользователя есть разрешение на доступ к необходимым ресурсам.

Если это событие сохраняется:

Идентификатор события 1120

Символическое имя: MALWAREPROTECTION_THREAT_HASH

Сообщение: Microsoft Defender антивирусная программа вывела хэши для ресурса угрозы.

Описание: Microsoft Defender антивирусная программа работает в работоспособном состоянии.

  • Текущая версия платформы: текущая версия платформы

  • Путь к ресурсу угрозы: путь

  • Хэши: Хэши

Примечание. Это событие регистрируется только в том случае, если задана следующая политика: ThreatFileHashLogging без знака.

Идентификатор события 1121

Сообщение. Событие, когда правило сокращения направлений атаки срабатывает в режиме блокировки.

Описание:

  • Текущая версия платформы: текущая версия платформы

  • Путь к ресурсу угрозы: путь

  • Хэши: Хэши

Идентификатор события 1127

Символическое имя: MALWAREPROTECTION_FOLDER_GUARD_SECTOR_BLOCK

Сообщение: Контролируемый доступ к папкам (CFA) заблокировал ненадежный процесс от внесения изменений в память.

Описание. Контролируемый доступ к папкам заблокировал ненадежный процесс, потенциально изменяющий секторы диска. Дополнительные сведения о записи события см. в следующих сведениях:

  • EventID: EventID. Примеры: 1127

  • Версия: версия. Примеры: 0

  • Уровень: Уровень. Примеры: win: Warning

  • TimeCreated: SystemTime, время создания события.

  • EventRecordID: EventRecordID, номер индекса события в журнале событий.

  • Execution ProcessID: Execution ProcessID, процесс, создающий событие.

  • Канал: канал событий. Примеры: Microsoft-Windows-Defender/Operational

  • Компьютер: имя компьютера

  • Security UserID: Security UserID

  • Название продукта: название продукта. Примеры: антивирусная программа Microsoft Defender

  • Версия продукта: версия продукта

  • Время обнаружения: время обнаружения, время, когда CFA заблокировал ненадежный процесс.

  • Пользователь: Домен\Пользователь

  • Путь: имя устройства, имя устройства или диска, к которому ненадежный процесс обращается для изменения.

  • Имя процесса: путь процесса, имя пути процесса, которое CFA заблокировало доступ к устройству или диску для изменения.

  • Версия аналитики безопасности: версия аналитики безопасности

  • Версия ядра: модуль защиты от вредоносных программ версия

Действие пользователя. Пользователь может добавить заблокированный процесс в список разрешенных процессов для CFA с помощью PowerShell или центра Безопасность Windows.

Идентификатор события 1150

Символическое имя: MALWAREPROTECTION_SERVICE_HEALTHY

Сообщение. Если платформа защиты от вредоносных программ сообщает о состоянии на платформу мониторинга, это событие указывает на то, что платформа защиты от вредоносных программ работает и находится в работоспособном состоянии.

Описание: Microsoft Defender антивирусная программа работает в работоспособном состоянии.

  • Версия платформы: текущая версия платформы

  • Версия сигнатуры: версия определения

  • Версия ядра: модуль защиты от вредоносных программ версия

Действие пользователя: никаких действий не требуется. Клиент антивирусной программы Microsoft Defender находится в работоспособном состоянии. Это событие сообщается на ежечасной основе.

Идентификатор события 1151

Символическое имя: MALWAREPROTECTION_SERVICE_HEALTH_REPORT

Сообщение: Отчет о работоспособности клиента Endpoint Protection (время в формате UTC)

Описание: отчет о работоспособности антивирусного клиента.

  • Версия платформы: текущая версия платформы

  • Версия ядра: модуль защиты от вредоносных программ версия

  • Версия подсистемы проверки в реальном времени сети: версия подсистемы проверки в реальном времени сети

  • Версия сигнатуры антивирусной программы: версия сигнатуры антивирусной программы

  • Версия подписи антишпионских программ: версия подписи антишпионского ПО

  • Версия сигнатуры сетевого реального времени: версия сигнатуры проверки сети в реальном времени

  • Состояние RTP: состояние защиты в реальном времени (включено или отключено)

  • Состояние OA: в состоянии "Доступ" (включено или отключено)

  • Состояние IOAV: загрузки IE и вложения Outlook Express (включено или отключено)

  • Состояние BM: состояние мониторинга поведения (включено или отключено)

  • Возраст сигнатуры антивирусной программы: возраст подписи антивирусной программы (в днях)

  • Возраст подписи антишпионских программ: возраст подписи антишпионских программ (в днях)

  • Время последней быстрой проверки: срок последней быстрой проверки (в днях)

  • Возраст последнего полного сканирования: возраст последнего полного сканирования (в днях)

  • Время создания сигнатуры антивирусной программы: время создания сигнатуры антивирусной программы

  • Время создания подписи антишпионских программ: время создания подписи антишпионского ПО

  • Время запуска последней быстрой проверки: время начала последней быстрой проверки

  • Время окончания последней быстрой проверки: время окончания последней быстрой проверки

  • Источник последней быстрой проверки: источник последней быстрой проверки (0 = сканирование не выполнено, 1 = инициировано пользователем, 2 = инициировано системой)

  • Время начала последней полной проверки: время начала последней полной проверки

  • Время окончания последней полной проверки: время окончания последней полной проверки

  • Источник последней полной проверки: источник последней полной проверки (0 = сканирование не выполнено, 1 = инициировано пользователем, 2 = инициировано системой)

  • Состояние продукта: для внутреннего устранения неполадок

Идентификатор события 2000

Символическое имя: MALWAREPROTECTION_SIGNATURE_UPDATED

Сообщение. Определения антивредоносных программ обновлены успешно.

Описание: обновлена версия сигнатуры антивирусной программы.

  • Текущая версия сигнатуры: текущая версия сигнатуры

  • Предыдущая версия сигнатуры: предыдущая версия сигнатуры

  • Тип подписи: тип подписи. Примеры: антивирусная программа, антишпионское ПО, антивредоносное ПО или система проверки сети

  • Тип обновления: тип обновления, полный или разностный.

  • Пользователь: Домен\Пользователь

  • Текущая версия обработчика: текущая версия подсистемы

  • Предыдущая версия обработчика: предыдущая версия обработчика

Действие пользователя: никаких действий не требуется. Клиент антивирусной программы Microsoft Defender находится в работоспособном состоянии. Это событие сообщается при успешном обновлении подписей.

Идентификатор события 2001

Символическое имя: MALWAREPROTECTION_SIGNATURE_UPDATE_FAILED

Сообщение. Сбой обновления аналитики безопасности.

Описание: Microsoft Defender антивирусная программа обнаружила ошибку при попытке обновить сигнатуры.

  • Новая версия аналитики безопасности: новый номер версии

  • Предыдущая версия аналитики безопасности: предыдущая версия

  • Источник обновления: источник обновления. Примеры:

    • Папка обновления аналитики безопасности

    • Внутренний сервер обновления аналитики безопасности

    • Microsoft Update Server

    • Файловый ресурс

    • Центр Майкрософт по защите от вредоносных программ (MMPC)

  • Этап обновления: этап обновления. Примеры: поиск, скачивание или установка

  • Исходный путь: имя общей папки для универсального соглашения об именовании (UNC), имя сервера для Windows Server Update Services (WSUS)/Центра обновления Майкрософт/ADL.

  • Тип подписи: тип подписи. Примеры: антивирусная программа, антишпионское ПО, антивредоносное ПО или система проверки сети

  • Тип обновления: тип обновления, полный или разностный.

  • Пользователь: Домен\Пользователь

  • Текущая версия обработчика: текущая версия подсистемы

  • Предыдущая версия обработчика: предыдущая версия обработчика

  • Код ошибки: код ошибки Код результата, связанный с состоянием угрозы. Стандартные значения HRESULT.

  • Описание ошибки: описание ошибки Описание ошибки.

Действие пользователя. Эта ошибка возникает при проблеме с обновлением определений. Чтобы устранить неполадки с этим событием, выполните приведенные ниже действия.

Идентификатор события 2002

Символическое имя: MALWAREPROTECTION_ENGINE_UPDATED

Сообщение. Подсистема защиты от вредоносных программ успешно обновлена.

Описание: обновлена версия антивирусного ядра Microsoft Defender.

  • Текущая версия обработчика: текущая версия подсистемы

  • Предыдущая версия обработчика: предыдущая версия обработчика

  • Тип обработчика: тип обработчика, подсистема защиты от вредоносных программ или подсистема системы проверки сети.

  • Пользователь: Домен\Пользователь

Действие пользователя: никаких действий не требуется. Клиент антивирусной программы Microsoft Defender находится в работоспособном состоянии. Это событие сообщается при успешном обновлении модуля защиты от вредоносных программ.

Идентификатор события 2003

Символическое имя: MALWAREPROTECTION_ENGINE_UPDATE_FAILED

Сообщение. Сбой обновления ядра защиты от вредоносных программ.

Описание: Microsoft Defender антивирусная программа обнаружила ошибку при попытке обновить подсистему.

  • Новая версия обработчика:

  • Предыдущая версия обработчика: предыдущая версия обработчика

  • Тип обработчика: тип обработчика, подсистема защиты от вредоносных программ или подсистема системы проверки сети.

  • Пользователь: Домен\Пользователь

  • Код ошибки: код ошибки Код результата, связанный с состоянием угрозы. Стандартные значения HRESULT.

  • Описание ошибки: описание ошибки Описание ошибки.

Действие пользователя: сбой обновления клиента антивирусной программы Microsoft Defender. Это событие возникает, когда клиенту не удается обновить себя. Это событие связано с прерыванием сетевого подключения во время обновления. Чтобы устранить неполадки с этим событием, выполните приведенные ниже действия.

Идентификатор события 2004

Символическое имя: MALWAREPROTECTION_SIGNATURE_REVERSION

Сообщение. Возникла проблема с загрузкой определения защиты от вредоносных программ. Подсистема защиты от вредоносных программ пытается загрузить последний известный хороший набор определений.

Описание: Microsoft Defender антивирусная программа обнаружила ошибку при попытке загрузить подписи и попытается вернуться к известному набору подписей.

  • Предпринята попытка подписей:

  • Код ошибки: код ошибки Код результата, связанный с состоянием угрозы. Стандартные значения HRESULT.

  • Описание ошибки: описание ошибки Описание ошибки.

  • Версия сигнатуры: версия определения

  • Версия обработчика: версия модуля защиты от вредоносных программ

Действие пользователя. Клиент антивирусной программы Microsoft Defender пытался скачать и установить последний файл определений и не удалось. Эта ошибка может возникать, когда клиент обнаруживает ошибку при попытке загрузить определения или если файл поврежден. Microsoft Defender антивирусная программа пытается отменить изменения к известному набору определений. Чтобы устранить неполадки с этим событием, выполните приведенные ниже действия.

Идентификатор события 2005

Символическое имя: MALWAREPROTECTION_ENGINE_UPDATE_PLATFORMOUTOFDATE

Сообщение. Не удалось загрузить подсистему защиты от вредоносных программ, так как платформа защиты от вредоносных программ устарела. Платформа защиты от вредоносных программ загружает последний известный хороший модуль защиты от вредоносных программ и пытается выполнить обновление.

Описание: Microsoft Defender антивирусной программе не удалось загрузить подсистему защиты от вредоносных программ, так как текущая версия платформы не поддерживается. Microsoft Defender антивирусная программа возвращается к последнему хорошо известному движку, и будет предпринята попытка обновить платформу.

  • Текущая версия платформы: текущая версия платформы

Идентификатор события 2006

Символическое имя: MALWAREPROTECTION_PLATFORM_UPDATE_FAILED

Сообщение. Сбой обновления платформы.

Описание: Microsoft Defender антивирусная программа обнаружила ошибку при попытке обновить платформу.

  • Текущая версия платформы: текущая версия платформы

  • Код ошибки: код ошибки Код результата, связанный с состоянием угрозы. Стандартные значения HRESULT.

  • Описание ошибки: описание ошибки Описание ошибки.

Идентификатор события 2007

Символическое имя: MALWAREPROTECTION_PLATFORM_ALMOSTOUTOFDATE

Сообщение. Скоро платформа будет устаревшей. Скачайте последнюю версию платформы для поддержания актуальной защиты.

Описание: Microsoft Defender антивирусной программе скоро потребуется новая версия платформы для поддержки будущих версий модуля защиты от вредоносных программ. Скачайте последнюю версию антивирусной платформы Microsoft Defender, чтобы обеспечить наилучший уровень защиты.

  • Текущая версия платформы: текущая версия платформы

Идентификатор события 2010

Символическое имя: MALWAREPROTECTION_SIGNATURE_FASTPATH_UPDATED

Сообщение. Подсистема защиты от вредоносных программ использовала службу динамических подписей для получения других определений.

Описание. Антивирусная программа Microsoft Defender использовала службу динамических подписей для получения дополнительных подписей для защиты компьютера.

  • Текущая версия сигнатуры: текущая версия сигнатуры

  • Тип подписи: тип подписи. Примеры: антивирусная программа, антишпионское ПО, антивредоносное ПО или система проверки сети

  • Текущая версия обработчика: текущая версия подсистемы

  • Динамический тип подписи: тип динамической подписи. Примеры: Version, Timestamp, No limit или Duration

  • Путь сохраняемости: путь

  • Версия динамической сигнатуры: номер версии

  • Метка времени компиляции динамической сигнатуры: метка времени

  • Тип ограничения сохраняемости: тип ограничения сохраняемости. Примеры: версия VDM, метка времени или Без ограничения

  • Предел сохраняемости: ограничение сохраняемости для сигнатуры fastpath.

Идентификатор события 2011

Символическое имя: MALWAREPROTECTION_SIGNATURE_FASTPATH_DELETED

Сообщение. Служба динамических подписей удалила устаревшие динамические определения.

Изменение поведения по умолчанию. Измените на поведение по умолчанию для отчетов о событиях динамической сигнатуры.

При получении динамической сигнатуры MDE сообщается о событии 2010 года. Однако при истечении срока действия динамической сигнатуры или удалении вручную сообщается о событии 2011 года. В некоторых случаях при доставке новой подписи в MDE иногда сотни динамических подписей истекают одновременно, поэтому сообщается о сотнях событий 2011 года. Создание стольких событий 2011 может привести к переполнению сервера управления информационной безопасностью и событиями безопасности (SIEM).

Чтобы избежать описанной ранее ситуации , начиная с версии платформы 4.18.2207.7, по умолчанию Defender для конечной точки не сообщает о событиях 2011:

  • Это новое поведение по умолчанию управляется записью реестра: HKLM\SOFTWARE\Microsoft\Windows Defender\Reporting\EnableDynamicSignatureDroppedEventReporting.
  • Значение по умолчанию для EnableDynamicSignatureDroppedEventReportingfalse, что означает, что события 2011 года не передаются. Если задано значение true, сообщается о событиях 2011 года.

Так как события сигнатуры 2010 года своевременно распределяются спорадически и не вызывают всплеска, поведение события сигнатуры 2010 года остается неизменным.

Описание: антивирусная программа Microsoft Defender использовала службу динамических подписей для отмены устаревших подписей.

  • Текущая версия сигнатуры: текущая версия сигнатуры

  • Тип подписи: тип подписи. Примеры: антивирусная программа, антишпионское ПО, антивредоносное ПО или система проверки сети

  • Текущая версия обработчика: текущая версия подсистемы

  • Динамический тип подписи: тип динамической подписи. Примеры: Version, Timestamp, No limit или Duration

  • Путь сохраняемости: путь

  • Версия динамической сигнатуры: номер версии

  • Метка времени компиляции динамической сигнатуры: метка времени

  • Причина удаления:

  • Тип ограничения сохраняемости: тип ограничения сохраняемости. Примеры: версия VDM, метка времени или Без ограничения

  • Предел сохраняемости: ограничение сохраняемости для сигнатуры fastpath.

Действие пользователя: никаких действий не требуется. Клиент антивирусной программы Microsoft Defender находится в работоспособном состоянии. Это событие сообщается, когда служба динамических подписей успешно удаляет устаревшие динамические определения.

Идентификатор события 2012

Символическое имя: MALWAREPROTECTION_SIGNATURE_FASTPATH_UPDATE_FAILED

Сообщение. Подсистема защиты от вредоносных программ обнаружила ошибку при попытке использовать службу динамических подписей.

Описание: Microsoft Defender антивирусная программа обнаружила ошибку при попытке использовать службу динамических подписей.

  • Текущая версия сигнатуры: текущая версия сигнатуры

  • Тип подписи: тип подписи. Примеры: антивирусная программа, антишпионское ПО, антивредоносное ПО или система проверки сети

  • Текущая версия обработчика: текущая версия подсистемы

  • Код ошибки: код ошибки Код результата, связанный с состоянием угрозы. Стандартные значения HRESULT.

  • Описание ошибки: описание ошибки Описание ошибки.

  • Динамический тип подписи: тип динамической подписи. Примеры: Version, Timestamp, No limit или Duration

  • Путь сохраняемости: путь

  • Версия динамической сигнатуры: номер версии

  • Метка времени компиляции динамической сигнатуры: метка времени

  • Тип ограничения сохраняемости: тип ограничения сохраняемости. Примеры: версия VDM, метка времени или Без ограничения

  • Предел сохраняемости: ограничение сохраняемости для сигнатуры fastpath.

Действие пользователя: проверьте параметры подключения к Интернету.

Идентификатор события 2013

Символическое имя: MALWAREPROTECTION_SIGNATURE_FASTPATH_DELETED_ALL

Сообщение. Служба динамических подписей удалила все динамические определения.

Описание: Microsoft Defender антивирусная программа отбрасывает все подписи службы динамических подписей.

  • Текущая версия сигнатуры: текущая версия сигнатуры

Идентификатор события 2020

Символическое имя: MALWAREPROTECTION_CLOUD_CLEAN_RESTORE_FILE_DOWNLOADED

Сообщение. Подсистема защиты от вредоносных программ скачала чистый файл.

Описание: Microsoft Defender антивирусная программа загрузила чистый файл.

  • Имя файла: имя файла Имя файла.

  • Текущая версия сигнатуры: текущая версия сигнатуры

  • Текущая версия обработчика: текущая версия подсистемы

Идентификатор события 2021

Символическое имя: MALWAREPROTECTION_CLOUD_CLEAN_RESTORE_FILE_DOWNLOAD_FAILED

Сообщение. Подсистеме защиты от вредоносных программ не удалось скачать чистый файл.

Описание: Microsoft Defender антивирусная программа обнаружила ошибку при попытке загрузить чистый файл.

  • Имя файла: имя файла Имя файла.

  • Текущая версия сигнатуры: текущая версия сигнатуры

  • Текущая версия обработчика: текущая версия подсистемы

  • Код ошибки: код ошибки Код результата, связанный с состоянием угрозы. Стандартные значения HRESULT.

  • Описание ошибки: описание ошибки Описание ошибки.

Действие пользователя: проверьте параметры подключения к Интернету. Клиент антивирусной программы Microsoft Defender обнаружил ошибку при использовании службы динамических подписей для скачивания последних определений для конкретной угрозы. Эта ошибка, скорее всего, вызвана проблемой с сетевым подключением.

Идентификатор события 2030

Символическое имя: MALWAREPROTECTION_OFFLINE_SCAN_INSTALLED

Сообщение. Подсистема защиты от вредоносных программ была загружена и настроена для запуска в автономном режиме при следующем перезапуске системы.

Описание: Microsoft Defender антивирусная программа скачан и настроена для автономного запуска при следующей перезагрузке.

Идентификатор события 2031

Символическое имя: MALWAREPROTECTION_OFFLINE_SCAN_INSTALL_FAILED

Сообщение. Подсистеме защиты от вредоносных программ не удалось скачать и настроить проверку в автономном режиме.

Описание: Microsoft Defender антивирусная программа обнаружила ошибку при попытке загрузить и настроить автономную антивирусную программу.

  • Код ошибки: код ошибки Код результата, связанный с состоянием угрозы. Стандартные значения HRESULT.

  • Описание ошибки: описание ошибки Описание ошибки.

Идентификатор события 2040

Символическое имя: MALWAREPROTECTION_OS_EXPIRING

Сообщение. Поддержка антивредоносных программ для этой версии операционной системы скоро прекратится.

Описание. Поддержка вашей операционной системы скоро истекает. Запуск Microsoft Defender антивирусной программы в операционной системе без поддержки не является адекватным решением для защиты от угроз.

Идентификатор события 2041

Символическое имя: MALWAREPROTECTION_OS_EOL

Сообщение. Поддержка антивредоносных программ для этой операционной системы прекращена. Для дальнейшей поддержки необходимо обновить операционную систему.

Описание: срок поддержки вашей операционной системы истек. Запуск Microsoft Defender антивирусной программы в операционной системе без поддержки не является адекватным решением для защиты от угроз.

Идентификатор события 2042

Символическое имя: MALWAREPROTECTION_PROTECTION_EOL

Сообщение. Подсистема защиты от вредоносных программ больше не поддерживает эту операционную систему и больше не защищает систему от вредоносных программ.

Описание: срок поддержки вашей операционной системы истек. Microsoft Defender антивирусная программа больше не поддерживается в вашей операционной системе, перестала работать и не защищает от вредоносных программ.

Идентификатор события 3002

Символическое имя: MALWAREPROTECTION_RTP_FEATURE_FAILURE

Сообщение. Защита в режиме реального времени обнаружила ошибку и завершилась сбоем.

Описание: Microsoft Defender антивирусная защита Real-Time обнаружила ошибку и сбой.

  • Признак: компонент. Примеры: в Access, в Интернете Обозреватель загрузки и вложения Microsoft Outlook Express, мониторинг поведения или система проверки сети.

  • Код ошибки: код ошибки Код результата, связанный с состоянием угрозы. Стандартные значения HRESULT.

  • Описание ошибки: описание ошибки Описание ошибки.

  • Причина: Microsoft Defender антивирусная защита в режиме реального времени перезапустила функцию.

Действия пользователя. Необходимо перезапустить систему, а затем выполнить полную проверку, так как возможно, система не была защищена в течение некоторого времени. Функция защиты клиента антивирусной программы Microsoft Defender в режиме реального времени обнаружила ошибку, так как не удалось запустить одну из служб. Если за ним следует идентификатор события 3007, сбой был временным и клиент защиты от вредоносных программ был восстановлен после сбоя.

Идентификатор события 3007

Символическое имя: MALWAREPROTECTION_RTP_FEATURE_RECOVERED

Сообщение. Защита в режиме реального времени восстановлена после сбоя. При возникновении этой ошибки рекомендуется выполнить полную проверку системы.

Описание: Microsoft Defender Антивирусная защита в режиме реального времени перезапустила функцию. Рекомендуется выполнить полную проверку системы, чтобы обнаружить все элементы, которые могли быть пропущены во время работы этого агента.

  • Признак: компонент. Примеры: в Access, загрузки IE и вложения Outlook Express, мониторинг поведения или система проверки сети

  • Причина: Microsoft Defender антивирусная защита в режиме реального времени перезапустила функцию.

Действие пользователя: функция защиты в режиме реального времени перезапущена. Если это событие повторится, обратитесь в службу технической поддержки Майкрософт.

Идентификатор события 5000

Символическое имя: MALWAREPROTECTION_RTP_ENABLED

Сообщение. Включена защита в режиме реального времени.

Описание: Microsoft Defender включена проверка антивирусной программы в режиме реального времени на наличие вредоносных программ и других потенциально нежелательных программ.

Идентификатор события 5001

Символическое имя: MALWAREPROTECTION_RTP_DISABLED

Сообщение. Защита в режиме реального времени отключена.

Описание: Microsoft Defender антивирусная программа в режиме реального времени отключила проверку на наличие вредоносных программ и других потенциально нежелательных программ.

Идентификатор события 5004

Символическое имя: MALWAREPROTECTION_RTP_FEATURE_CONFIGURED

Сообщение. Конфигурация защиты в режиме реального времени изменена.

Описание: Microsoft Defender изменена конфигурация функции защиты антивирусной программы в режиме реального времени.

  • Признак: компонент. Примеры: в Access, загрузки IE и вложения Outlook Express, мониторинг поведения или система проверки сети
  • Конфигурация:

Идентификатор события 5007

Символическое имя: MALWAREPROTECTION_CONFIG_CHANGED

Сообщение. Конфигурация платформы защиты от вредоносных программ изменена.

Описание: Microsoft Defender конфигурация антивирусной программы изменена. Если это событие непредвиденное, следует просмотреть параметры, так как это событие может быть результатом вредоносных программ.

  • Старое значение: номер старого значения Старое значение конфигурации антивирусной программы.

  • Новое значение: номер нового значения Новое значение конфигурации антивирусной программы.

Идентификатор события 5008

Символическое имя: MALWAREPROTECTION_ENGINE_FAILURE

Сообщение. Подсистема защиты от вредоносных программ обнаружила ошибку и завершилась сбоем.

Описание: Microsoft Defender антивирусная программа была остановена из-за непредвиденной ошибки.

  • Тип сбоя: тип сбоя. Примеры: сбой или зависание

  • Код исключения: код ошибки

  • Ресурс: Ресурс

Действия пользователя. Чтобы устранить неполадки с этим событием, выполните следующее:

  • Попробуйте перезапустить службу.

    • Для антивредоносных, антивирусных и шпионских программ в командной строке с повышенными привилегиями введите net stop msmpsvc, а затем введите net start msmpsvc , чтобы перезапустить подсистему защиты от вредоносных программ.

    • Для системы проверки сети в командной строке с повышенными привилегиями введите net start nissrv, а затем введите net start nissrv , чтобы перезапустить подсистему системы проверки сети с помощью файла NiSSRV.exe.

  • Если ошибка завершается аналогичным образом, найдите код ошибки, перейдя на сайт служба поддержки Майкрософт и введя номер ошибки в поле Поиска, а затем обратитесь в службу технической поддержки Майкрософт.

Действие пользователя. Ядро клиента антивирусной программы Microsoft Defender остановлено из-за непредвиденной ошибки. Чтобы устранить неполадки с этим событием, выполните приведенные ниже действия.

Идентификатор события 5009

Символическое имя: MALWAREPROTECTION_ANTISPYWARE_ENABLED

Сообщение. Включена проверка на наличие вредоносных программ и другого потенциально нежелательного программного обеспечения.

Описание: Microsoft Defender антивирусная программа с поддержкой проверки на наличие вредоносных программ и других потенциально нежелательных программ.

Идентификатор события 5010

Символическое имя: MALWAREPROTECTION_ANTISPYWARE_DISABLED

Сообщение. Сканирование на наличие вредоносных программ и других потенциально нежелательных программ отключено.

Описание: Microsoft Defender антивирусная проверка на наличие вредоносных программ и других потенциально нежелательных программ отключена.

Идентификатор события 5011

Символическое имя: MALWAREPROTECTION_ANTIVIRUS_ENABLED

Сообщение. Проверка на наличие вирусов включена.

Описание: Microsoft Defender антивирусная программа с включенной проверкой на наличие вирусов.

Идентификатор события 5012

Символическое имя: MALWAREPROTECTION_ANTIVIRUS_DISABLED

Сообщение. Проверка на наличие вирусов отключена.

Описание: Microsoft Defender антивирусная проверка на наличие вирусов отключена.

Идентификатор события 5013

Символическое имя: MALWAREPROTECTION_SCAN_CANCELLED

Сообщение. Защита от незаконного изменения заблокировала изменение Microsoft Defender антивирусной программы.

Описание. Если включена защита от незаконного изменения, любая попытка изменить какие-либо параметры Defender блокируется. Создается событие с идентификатором 5013, в котором указано, какое изменение параметра было заблокировано.

Идентификатор события 5100

Символическое имя: MALWAREPROTECTION_EXPIRATION_WARNING_STATE

Сообщение. Скоро истекает срок действия платформы защиты от вредоносных программ.

Описание: Microsoft Defender Антивирусная программа ввела льготный период и скоро истечет. По истечении срока действия эта программа отключит защиту от вирусов, шпионских программ и других потенциально нежелательных программ.

  • Причина истечения срока действия: причина истечения срока действия антивирусной программы Microsoft Defender.

  • Дата окончания срока действия: дата истечения срока действия антивирусной программы Microsoft Defender.

Код события: 5101

Символическое имя: MALWAREPROTECTION_DISABLED_EXPIRED_STATE

Сообщение. Срок действия платформы защиты от вредоносных программ истек.

Описание: Microsoft Defender истек льготный период антивирусной программы. Защита от вирусов, шпионских программ и других потенциально нежелательных программ отключена.

  • Код ошибки: код ошибки Код результата, связанный с состоянием угрозы. Стандартные значения HRESULT.

  • Описание ошибки: описание ошибки Описание ошибки.

Коды ошибок клиента антивирусной программы Microsoft Defender

Если Microsoft Defender антивирусная программа испытывает какие-либо проблемы, она обычно выдает код ошибки, помогающий устранить проблему. Чаще всего ошибка означает, что возникла проблема с установкой обновления. В этом разделе приведены следующие сведения об ошибках клиента антивирусной программы Microsoft Defender.

  • Код ошибки

  • Возможная причина ошибки

  • Советы о том, что делать сейчас

Используйте следующие сведения для устранения неполадок Microsoft Defender кодов ошибок антивирусной программы.

Код ошибки 0x80508007

Сообщение: ERR_MP_NO_MEMORY

Возможная причина. Эта ошибка указывает на то, что у вас может быть нехватка памяти.

Решение.

  • Проверьте доступную память на устройстве.

  • Закройте все неиспользуемые приложения, которые выполняются, чтобы освободить память на устройстве.

  • Перезапустите устройство и снова запустите проверку.

Код ошибки 0x8050800C

Сообщение: ERR_MP_BAD_INPUT_DATA

Возможная причина. Эта ошибка указывает на то, что может возникнуть проблема с продуктом безопасности.

Решение.

  • Обновите определения. Каждый:

    [! Примечание. Размер файла определений, скачанный с сайта, может превышать 60 МБ и не должен использоваться в качестве долгосрочного решения для обновления определений.

  • Выполните полную проверку.

  • Перезапустите устройство и повторите попытку.

Код ошибки 0x80508020

Сообщение: ERR_MP_BAD_CONFIGURATION

Возможная причина. Эта ошибка указывает, что может возникнуть ошибка конфигурации подсистемы. Как правило, эта ошибка связана с входным данными, которые не позволяют обработчику правильно работать.

Код ошибки 0x805080211

Сообщение: ERR_MP_QUARANTINE_FAILED

Возможная причина. Эта ошибка указывает на то, что Microsoft Defender антивирусной программе не удалось поместить в карантин угрозу.

Код ошибки 0x80508022

Сообщение: ERR_MP_REBOOT_REQUIRED

Возможная причина: эта ошибка указывает, что для удаления угрозы требуется перезагрузка.

Код ошибки 0x80508023

Сообщение: ERR_MP_THREAT_NOT_FOUND

Возможная причина. Эта ошибка указывает на то, что угроза больше не присутствует на носителе или вредоносная программа может помешать вам сканировать устройство.

Решение. Запустите средство проверки безопасности (Майкрософт) обновите программное обеспечение безопасности и повторите попытку.

Код ошибки 0x80508024

Сообщение: ERR_MP_FULL_SCAN_REQUIRED

Возможная причина. Эта ошибка указывает, что может потребоваться полная проверка системы.

Решение. Выполните полную проверку системы.

Код ошибки 0x80508025

Сообщение: ERR_MP_MANUAL_STEPS_REQUIRED

Возможная причина. Эта ошибка указывает на то, что для удаления угрозы требуются действия вручную.

Решение. Выполните действия по исправлению вручную, описанные в энциклопедии Защиты от вредоносных программ Майкрософт. Вы можете найти ссылку для конкретной угрозы в журнале событий.

Код ошибки 0x80508026

Сообщение: ERR_MP_REMOVE_NOT_SUPPORTED

Возможная причина. Эта ошибка указывает на то, что удаление внутри типа контейнера может не поддерживаться.

Решение: Microsoft Defender антивирусная программа не может устранять угрозы, обнаруженные в архиве. Рассмотрите возможность удаления обнаруженных ресурсов вручную.

Код ошибки 0x80508027

Сообщение: ERR_MP_REMOVE_LOW_MEDIUM_DISABLED

Возможная причина. Эта ошибка указывает на то, что удаление низкой и средней угроз может быть отключено.

Решение. Проверьте обнаруженные угрозы и устраните их при необходимости.

Код ошибки 0x80508029

Сообщение: ERROR_MP_RESCAN_REQUIRED

Возможная причина: эта ошибка указывает, что требуется повторное сканирование угрозы.

Решение. Выполните полную проверку системы.

Код ошибки 0x80508030

Сообщение: ERROR_MP_CALLISTO_REQUIRED

Возможная причина: эта ошибка указывает, что требуется проверка в автономном режиме.

Решение. Запуск в автономном режиме Microsoft Defender антивирусной программы. Дополнительные сведения см. в статье Защита компьютера с помощью Microsoft Defender в автономном режиме.

Код ошибки 0x80508031

Сообщение: ERROR_MP_PLATFORM_OUTDATED

Возможная причина. Эта ошибка указывает на то, что антивирусная программа Microsoft Defender не поддерживает текущую версию платформы и требует новой версии платформы.

Решение. Антивирусную программу Microsoft Defender можно использовать только в Windows 10 и Windows 11. Для Windows 8, Windows 7 и Windows Vista можно использовать System Center Endpoint Protection.

Коды внутренних ошибок

При внутреннем тестировании антивирусной программы Microsoft Defender используются следующие коды ошибок.

Если вы видите эти ошибки, можно попытаться обновить определения и принудительно выполнить повторное сканирование непосредственно в конечной точке.

Код ошибки 0x80501004

Отображается сообщение: ERROR_MP_NO_INTERNET_CONN

Возможная причина ошибки и устранения неполадок: проверьте подключение к Интернету, а затем запустите проверку еще раз.

Код ошибки 0x80501000

Отображается сообщение: ERROR_MP_UI_CONSOLIDATION_BASE

Возможная причина ошибки и ее устранения: эта ошибка является внутренней. Причина не определена четко.

Код ошибки 0x80501001

Отображается сообщение: ERROR_MP_ACTIONS_FAILED

Возможная причина ошибки и ее устранения: эта ошибка является внутренней. Причина не определена четко.

Код ошибки 0x80501002

Отображается сообщение: ERROR_MP_NOENGINE

Возможная причина ошибки и ее устранения: эта ошибка является внутренней. Причина не определена четко.

Код ошибки 0x80501003

Отображается сообщение: ERROR_MP_ACTIVE_THREATS

Возможная причина ошибки и ее устранения: эта ошибка является внутренней. Причина не определена четко.

Код ошибки 0x805011011

Отображается сообщение: MP_ERROR_CODE_LUA_CANCELLED

Возможная причина ошибки и ее устранения: эта ошибка является внутренней. Причина не определена четко.

Код ошибки 0x80501101

Отображается сообщение: ERROR_LUA_CANCELLATION

Возможная причина ошибки и ее устранения: эта ошибка является внутренней. Причина не определена четко.

Код ошибки 0x80501102

Отображается сообщение: MP_ERROR_CODE_ALREADY_SHUTDOWN

Возможная причина ошибки и ее устранения: эта ошибка является внутренней. Причина не определена четко.

Код ошибки 0x80501103

Отображается сообщение: MP_ERROR_CODE_RDEVICE_S_ASYNC_CALL_PENDING

Возможная причина ошибки и ее устранения: эта ошибка является внутренней. Причина не определена четко.

Код ошибки 0x80501104

Отображается сообщение: MP_ERROR_CODE_CANCELLED

Возможная причина ошибки и ее устранения: эта ошибка является внутренней. Причина не определена четко.

Код ошибки 0x80501105

Отображается сообщение: MP_ERROR_CODE_NO_TARGETOS

Возможная причина ошибки и ее устранения: эта ошибка является внутренней. Причина не определена четко.

Код ошибки 0x80501106

Отображается сообщение: MP_ERROR_CODE_BAD_REGEXP

Возможная причина ошибки и ее устранения: эта ошибка является внутренней. Причина не определена четко.

Код ошибки 0x80501107

Отображается сообщение: MP_ERROR_TEST_INDUCED_ERROR

Возможная причина ошибки и ее устранения: эта ошибка является внутренней. Причина не определена четко.

Код ошибки 0x80501108

Отображается сообщение: MP_ERROR_SIG_BACKUP_DISABLED

Возможная причина ошибки и ее устранения: эта ошибка является внутренней. Причина не определена четко.

Код ошибки 0x80508001

Отображается сообщение: ERR_MP_BAD_INIT_MODULES

Возможная причина ошибки и ее устранения: эта ошибка является внутренней. Причина не определена четко.

Код ошибки 0x80508002

Отображается сообщение: ERR_MP_BAD_DATABASE

Возможная причина ошибки и ее устранения: эта ошибка является внутренней. Причина не определена четко.

Код ошибки 0x80508004

Отображается сообщение: ERR_MP_BAD_UFS

Возможная причина ошибки и ее устранения: эта ошибка является внутренней. Причина не определена четко.

Код ошибки 0x8050800C

Отображается сообщение: ERR_MP_BAD_INPUT_DATA

Возможная причина ошибки и ее устранения: эта ошибка является внутренней. Причина не определена четко.

Код ошибки 0x8050800D

Отображается сообщение: ERR_MP_BAD_GLOBAL_STORAGE

Возможная причина ошибки и ее устранения: эта ошибка является внутренней. Причина не определена четко.

Код ошибки 0x8050800E

Отображается сообщение: ERR_MP_OBSOLETE

Возможная причина ошибки и ее устранения: эта ошибка является внутренней. Причина не определена четко.

Код ошибки 0x8050800F

Отображается сообщение: ERR_MP_NOT_SUPPORTED

Возможная причина ошибки и ее устранения: эта ошибка является внутренней. Причина не определена четко.

Код ошибки 0x8050800F

Отображается сообщение: ERR_MP_NO_MORE_ITEMS

Возможная причина ошибки и ее устранения: эта ошибка является внутренней. Причина не определена четко.

Код ошибки 0x80508010

Отображается сообщение: ERR_MP_NO_MORE_ITEMS

Возможная причина ошибки и ее устранения: эта ошибка является внутренней. Причина не определена четко.

Код ошибки 0x80508011

Отображается сообщение: ERR_MP_DUPLICATE_SCANID

Возможная причина ошибки и ее устранения: эта ошибка является внутренней. Причина не определена четко.

Код ошибки 0x80508012

Отображается сообщение: ERR_MP_BAD_SCANID

Возможная причина ошибки и ее устранения: эта ошибка является внутренней. Причина не определена четко.

Код ошибки 0x80508013

Отображается сообщение: ERR_MP_BAD_USERDB_VERSION

Возможная причина ошибки и ее устранения: эта ошибка является внутренней. Причина не определена четко.

Код ошибки 0x80508014

Отображается сообщение: ERR_MP_RESTORE_FAILED

Возможная причина ошибки и ее устранения: эта ошибка является внутренней. Причина не определена четко.

Код ошибки 0x80508016

Отображается сообщение: ERR_MP_BAD_ACTION

Возможная причина ошибки и ее устранения: эта ошибка является внутренней. Причина не определена четко.

Код ошибки 0x80508019

Отображается сообщение: ERR_MP_NOT_FOUND

Возможная причина ошибки и ее устранения: эта ошибка является внутренней. Причина не определена четко.

Код ошибки 0x80509001

Отображается сообщение: ERR_RELO_BAD_EHANDLE

Возможная причина ошибки и ее устранения: эта ошибка является внутренней. Причина не определена четко.

Код ошибки 0x80509003

Отображается сообщение: ERR_RELO_KERNEL_NOT_LOADED

Возможная причина ошибки и ее устранения: эта ошибка является внутренней. Причина не определена четко.

Код ошибки 0x8050A001

Отображается сообщение: ERR_MP_BADDB_OPEN

Возможная причина ошибки и ее устранения: эта ошибка является внутренней. Причина не определена четко.

Код ошибки 0x8050A002

Отображается сообщение: ERR_MP_BADDB_HEADER

Возможная причина ошибки и ее устранения: эта ошибка является внутренней. Причина не определена четко.

Код ошибки 0x8050A003

Отображается сообщение: ERR_MP_BADDB_OLDENGINE

Возможная причина ошибки и ее устранения: эта ошибка является внутренней. Причина не определена четко.

Код ошибки 0x8050A004

Отображается сообщение: ERR_MP_BADDB_CONTENT

Возможная причина ошибки и ее устранения: эта ошибка является внутренней. Причина не определена четко.

Код ошибки 0x8050A005

Отображается сообщение: ERR_MP_BADDB_NOTSIGNED

Возможная причина ошибки и ее устранения: эта ошибка является внутренней. Причина не определена четко.

Код ошибки 0x8050801

Отображается сообщение: ERR_MP_REMOVE_FAILED

Возможная причина ошибки и ее устранения: эта ошибка является внутренней. Он может быть активирован, если удаление вредоносных программ не будет успешным.

Код ошибки 0x80508018

Отображается сообщение: ERR_MP_SCAN_ABORTED

Возможная причина ошибки и ее устранения: эта ошибка является внутренней. Он мог срабатывать при сбое сканирования.