排查Microsoft Defender防病毒服务启动问题

适用于：

• Microsoft Defender XDR
• Microsoft Defender for Endpoint计划 1 和 2
• Microsoft Defender 商业版
• 个人Microsoft Defender
• Microsoft Defender 防病毒

在以下屏幕截图中，病毒 & 威胁防护显示一个红十字，其中显示威胁服务已停止。立即重启。

在 安全提供程序中，可以看到以下结果。

Microsoft Defender防病毒已关闭。

以下屏幕截图显示消息： 威胁服务已停止。立即重启。

以下屏幕截图显示消息： 意外错误。很抱歉，我们遇到了问题。请重试。

选择“关闭”。

事件

Windows Defender -作事件日志可能会显示以下事件：

事件 5007

Microsoft Defender防病毒的配置已更改。 如果预期出现此事件，请查看设置，因为它可能是恶意软件的结果。

旧值	新值
HKLM\SOFTWARE\Microsoft\Windows Defender\Diagnostics\RolledbackPlatformHealthData = <OVERALL>:<BAD>, <AGE>:<36>, <DIRTY_SHUTDOWNS>:<22>	Default\Diagnostics\RolledbackPlatformHealthData = 0
Default\ServiceStartStates = 0x0	HKLM\SOFTWARE\Microsoft\Windows Defender\ServiceStartStates = 0x1
HKLM\SOFTWARE\Microsoft\Windows Defender\ServiceStartStates = 0x1	Default\ServiceStartStates = 0x0
Default\ProductAppDataPath = C:\ProgramData\Microsoft\Windows Defender	HKLM\SOFTWARE\Microsoft\Windows Defender\ProductAppDataPath = C:\ProgramData\Microsft\Windows Defender
Default\IsServiceRunning = 0x0	HKLM\SOFTWARE\Microsoft\Windows Defender\IsServiceRunning = 0x1
Default\ProductAppDataPath = C:\ProgramData\Microsoft\Windows Defender	HKLM\SOFTWARE\Microsoft\Windows Defender\ProductAppDataPath = C:\ProgramData\Microsoft\Windows Defender
Default\IsServiceRunning = 0x0	HKLM\SOFTWARE\Microsoft\Windows Defender\IsServiceRunning = 0x1

事件 5001

Microsoft Defender防病毒实时保护扫描恶意软件和其他可能不需要的软件已被禁用。

解决方案

请按照以下步骤解决此问题：

1. 检查服务和筛选器驱动程序以Microsoft Defender防病毒。

   以管理员身份运行以下 PowerShell 命令。

   Get-Service WinDefend, WdBoot, WdFilter, WdNisSvc, WdNisDrv, SecurityHealthService, wscsvc | Format-Table -Auto DisplayName, Name, StartType, Status
   

   显示名称	名称	StartType	状态	Comments
   Windows 安全中心服务	SecurityHealthService	手动	正在运行
   Microsoft Defender防病毒启动驱动程序	WdBoot	启动	已停止	启动后停止是正常的。
   Microsoft Defender防病毒 Mini-Filter 驱动程序	WdFilter	启动	正在运行	如果已停止，检查步骤 3、6、7。
   Microsoft Defender防病毒网络检查系统驱动程序	WdNisDrv	手动	正在运行	如果已停止，检查步骤 3、6、7。
   Microsoft Defender防病毒网络检查服务	WdNisSvc	手动	正在运行	如果已停止，检查步骤 3、6、7。
   Microsoft Defender防病毒服务	WinDefend	自动	正在运行	如果已停止，检查步骤 3、6、7。
   wscsvc	安全中心	自动	正在运行

2. 下载并运行Microsoft 安全扫描程序以排除任何恶意软件。

3. 如果使用 Microsoft Defender 防病毒作为主要防病毒，请确保卸载第三方防病毒软件。

4. 删除 安全智能 和 引擎。

   以管理员身份运行以下 PowerShell 命令。

   & "${env:ProgramFiles}\Windows Defender\MpCmdRun.exe" -RemoveDefinitions -All
   

5. 重置 平台。

   以管理员身份运行以下 PowerShell 命令。

   & "${env:ProgramFiles}\Windows Defender\MpCmdRun.exe" -ResetPlatform
   

6. 备份Microsoft Defender防病毒策略。

   以管理员身份运行以下 PowerShell 命令。

   New-Item -Path "C:\temp" -ItemType Directory
   
   Invoke-Command {reg export 'HKLM\SOFTWARE\Policies\Microsoft\Windows Defender' C:\Temp\MDAV\_backup.reg
   

7. 删除为 Microsoft Defender 防病毒设置的任何策略。

   以管理员身份运行以下 PowerShell 命令。

   Remove-Item -Path 'HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender' -Force
   

   有关详细信息，请参阅：排查Microsoft Defender防病毒设置问题。

8. 重新启用Microsoft Defender防病毒。

   以管理员身份运行以下 PowerShell 命令。

   & "${env:ProgramFiles}\Windows Defender\MpCmdRun.exe" -WdEnable
   

9. 更新安全智能。

   以管理员身份运行以下 PowerShell 命令。

   & "${env:ProgramFiles}\Windows Defender\MpCmdRun.exe" -SignatureUpdate -MMPC
   

10. 确保已启用 篡改防护 。

    

11. 运行 Microsoft Update。