排查Microsoft Defender防病毒服务启动问题

适用于:

在以下屏幕截图中,病毒 & 威胁防护显示一个红十字,其中显示威胁服务已停止。立即重启。

病毒和威胁防护通知的屏幕截图。

安全提供程序中,可以看到以下结果。

Microsoft Defender防病毒已关闭

安全提供程序的屏幕截图。

以下屏幕截图显示消息: 威胁服务已停止。立即重启。

威胁服务已停止的屏幕截图。

以下屏幕截图显示消息: 意外错误。很抱歉,我们遇到了问题。请重试。

选择“关闭”。

意外错误的屏幕截图。

事件

Windows Defender -作事件日志可能会显示以下事件:

事件 5007

Microsoft Defender防病毒的配置已更改。 如果预期出现此事件,请查看设置,因为它可能是恶意软件的结果。

旧值 新值
HKLM\SOFTWARE\Microsoft\Windows Defender\Diagnostics\RolledbackPlatformHealthData = <OVERALL>:<BAD>, <AGE>:<36>, <DIRTY_SHUTDOWNS>:<22> Default\Diagnostics\RolledbackPlatformHealthData = 0
Default\ServiceStartStates = 0x0 HKLM\SOFTWARE\Microsoft\Windows Defender\ServiceStartStates = 0x1
HKLM\SOFTWARE\Microsoft\Windows Defender\ServiceStartStates = 0x1 Default\ServiceStartStates = 0x0
Default\ProductAppDataPath = C:\ProgramData\Microsoft\Windows Defender HKLM\SOFTWARE\Microsoft\Windows Defender\ProductAppDataPath = C:\ProgramData\Microsft\Windows Defender
Default\IsServiceRunning = 0x0 HKLM\SOFTWARE\Microsoft\Windows Defender\IsServiceRunning = 0x1
Default\ProductAppDataPath = C:\ProgramData\Microsoft\Windows Defender HKLM\SOFTWARE\Microsoft\Windows Defender\ProductAppDataPath = C:\ProgramData\Microsoft\Windows Defender
Default\IsServiceRunning = 0x0 HKLM\SOFTWARE\Microsoft\Windows Defender\IsServiceRunning = 0x1

事件 5001

Microsoft Defender防病毒实时保护扫描恶意软件和其他可能不需要的软件已被禁用。

解决方案

请按照以下步骤解决此问题:

  1. 检查服务和筛选器驱动程序以Microsoft Defender防病毒。

    以管理员身份运行以下 PowerShell 命令。

    Get-Service WinDefend, WdBoot, WdFilter, WdNisSvc, WdNisDrv, SecurityHealthService, wscsvc | Format-Table -Auto DisplayName, Name, StartType, Status
    
    显示名称 名称 StartType 状态 Comments
    Windows 安全中心服务 SecurityHealthService 手动 正在运行
    Microsoft Defender防病毒启动驱动程序 WdBoot 启动 已停止 启动后停止是正常的。
    Microsoft Defender防病毒 Mini-Filter 驱动程序 WdFilter 启动 正在运行 如果已停止,检查步骤 3、6、7。
    Microsoft Defender防病毒网络检查系统驱动程序 WdNisDrv 手动 正在运行 如果已停止,检查步骤 3、6、7。
    Microsoft Defender防病毒网络检查服务 WdNisSvc 手动 正在运行 如果已停止,检查步骤 3、6、7。
    Microsoft Defender防病毒服务 WinDefend 自动 正在运行 如果已停止,检查步骤 3、6、7。
    wscsvc 安全中心 自动 正在运行
  2. 下载并运行Microsoft 安全扫描程序以排除任何恶意软件。

  3. 如果使用 Microsoft Defender 防病毒作为主要防病毒,请确保卸载第三方防病毒软件。

  4. 删除 安全智能引擎

    以管理员身份运行以下 PowerShell 命令。

    & "${env:ProgramFiles}\Windows Defender\MpCmdRun.exe" -RemoveDefinitions -All
    
  5. 重置 平台

    以管理员身份运行以下 PowerShell 命令。

    & "${env:ProgramFiles}\Windows Defender\MpCmdRun.exe" -ResetPlatform
    
  6. 备份Microsoft Defender防病毒策略。

    以管理员身份运行以下 PowerShell 命令。

    New-Item -Path "C:\temp" -ItemType Directory
    
    Invoke-Command {reg export 'HKLM\SOFTWARE\Policies\Microsoft\Windows Defender' C:\Temp\MDAV\_backup.reg
    
  7. 删除为 Microsoft Defender 防病毒设置的任何策略。

    以管理员身份运行以下 PowerShell 命令。

    Remove-Item -Path 'HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender' -Force
    

    有关详细信息,请参阅:排查Microsoft Defender防病毒设置问题。

  8. 重新启用Microsoft Defender防病毒。

    以管理员身份运行以下 PowerShell 命令。

    & "${env:ProgramFiles}\Windows Defender\MpCmdRun.exe" -WdEnable
    
  9. 更新安全智能。

    以管理员身份运行以下 PowerShell 命令。

    & "${env:ProgramFiles}\Windows Defender\MpCmdRun.exe" -SignatureUpdate -MMPC
    
  10. 确保已启用 篡改防护

    已启用篡改防护的屏幕截图。

  11. 运行 Microsoft Update