查看事件日志和错误代码，解决 Microsoft Defender 防病毒软件问题

如果遇到Microsoft Defender防病毒问题，可以搜索本文中的以下部分来查找匹配的问题和潜在的解决方案。

适用于：

• Microsoft Defender for Endpoint 计划 1
• Microsoft Defender for Endpoint 计划 2
• Microsoft Defender 防病毒

如何实现查看Microsoft Defender防病毒事件？

1. 打开事件查看器。

2. 在控制台树中，展开 WindowsWindows DefenderMicrosoft>>应用程序和服务日志>。

3. 双击“ 作”。

4. 在详细信息窗格中，查看各个事件的列表以查找事件。

5. 选择事件，在“ 常规 ”和“ 详细信息 ”选项卡下的下窗格中查看有关事件的特定详细信息。

事件 ID 1000

符号名称： MALWAREPROTECTION_SCAN_STARTED

消息：反恶意软件扫描启动。

说明:

• 扫描 ID：相关扫描的 ID 号。

• 扫描类型：扫描类型。 示例：防病毒、反间谍软件或反恶意软件

• 扫描参数：扫描参数。 示例：完全扫描、快速扫描或客户扫描

• 扫描资源：已扫描 (资源，例如文件/目录/BHO) 。

• 用户：Domain\User

事件 ID 1001

符号名称： MALWAREPROTECTION_SCAN_COMPLETED

消息：反恶意软件扫描已完成。

说明:

• 扫描 ID：相关扫描的 ID 号。

• 扫描类型：扫描类型。 示例：防病毒、反间谍软件或反恶意软件

• 扫描参数：扫描参数。 示例：完全扫描、快速扫描或客户扫描

• 用户：Domain\User

• 扫描时间：扫描的持续时间。

事件 ID 1002

符号名称： MALWAREPROTECTION_SCAN_CANCELLED

消息：反恶意软件扫描在完成之前已停止。

说明:

• 扫描 ID：相关扫描的 ID 号。

• 扫描类型：扫描类型。 示例：防病毒、反间谍软件或反恶意软件

• 扫描参数：扫描参数。 示例：完全扫描、快速扫描或客户扫描

• 用户：Domain\User

• 扫描时间：扫描的持续时间。

事件 ID 1006

符号名称： MALWAREPROTECTION_MALWARE_DETECTED

消息：反恶意软件引擎发现恶意软件或其他可能不需要的软件。

说明：有关详细信息，请参阅以下详细信息：

• 名称：威胁名称

• ID：威胁 ID

• 严重性：严重性。 示例：低、中、高或严重

• 类别：类别说明。 示例：任何威胁或恶意软件类型。

• 路径：文件路径

• 检测源：检测源。 示例：未知、本地计算机、网络共享、Internet、传入流量或传出流量

• 检测类型：检测类型。 示例：启发式签名、泛型签名、具体签名或动态签名

• 检测源：检测源，例如：

  • 用户：用户已启动

  • 系统：系统启动

  • 实时：实时组件已启动

  • IOAV：已启动 IE 下载和 Outlook Express 附件

  • NIS：网络检查系统

  • IEPROTECT：IE - IExtensionValidation;这可以防止恶意网页控件。

  • 提前启动反恶意软件 (ELAM) 。 此源包括启动序列检测到的恶意软件。

  • 远程证明

• 反恶意软件扫描接口 (AMSI) 。 主要用于 (PowerShell、VBS) 保护脚本，但第三方也可以调用它。 UAC。

• 状态：状态

• 用户：Domain\User

• 进程名称：PID 中的进程

• 签名版本：定义版本

• 引擎版本：反恶意软件引擎版本

事件 ID 1007

符号名称： MALWAREPROTECTION_MALWARE_ACTION_TAKEN

消息：反恶意软件平台执行了一项作来保护系统免受恶意软件或其他可能不需要的软件的攻击。

说明：Microsoft Defender防病毒已采取措施保护此计算机免受恶意软件或其他可能不需要的软件的攻击。 有关详细信息，请参阅以下详细信息：

• 用户：Domain\User

• 名称：威胁名称

• ID：威胁 ID

• 严重性：严重性。 示例：低、中、高或严重

• 类别：类别说明，例如，任何威胁或恶意软件类型。

• 作：作。 示例：

  • 清理：已清理资源。

  • 隔离：已隔离资源。

  • 删除：资源已删除。

  • 允许：允许资源执行/存在。

  • 用户定义：用户定义的作，通常来自用户指定的此作列表。

  • 无作：无作

  • 阻止：资源被阻止执行。

• 状态：状态

• 签名版本：定义版本

• 引擎版本：反恶意软件引擎版本

事件 ID 1008

符号名称： MALWAREPROTECTION_MALWARE_ACTION_FAILED

消息：反恶意软件平台尝试执行作来保护系统免受恶意软件或其他可能不需要的软件的攻击，但作失败。

说明：Microsoft Defender防病毒在对恶意软件或其他可能不需要的软件执行作时遇到错误。 有关详细信息，请参阅以下详细信息：

• 用户：Domain\User

• 名称：威胁名称

• ID：威胁 ID

• 严重性：严重性。 示例：低、中、高或严重

• 类别：类别说明，例如，任何威胁或恶意软件类型。

• 路径：文件路径

• 作：作。 示例：

  • 清理：已清理资源。

  • 隔离：已隔离资源。

  • 删除：资源已删除。

  • 允许：允许资源执行/存在。

  • 用户定义：用户定义的作，通常来自用户指定的此作列表。

  • 无作：无作

  • 阻止：资源被阻止执行。

• 错误代码：错误代码 与威胁状态关联的结果代码。 Standard HRESULT 值。

• 错误说明：错误说明 错误说明。

• 状态：状态

• 签名版本：定义版本

• 引擎版本：反恶意软件引擎版本

事件 ID 1009

符号名称： MALWAREPROTECTION_QUARANTINE_RESTORE

消息：反恶意软件平台从隔离区中还原了项。

说明：Microsoft Defender防病毒从隔离区还原了项目。 有关详细信息，请参阅以下详细信息：

• 名称：威胁名称

• ID：威胁 ID

• 严重性：严重性。 示例：低、中、高或严重

• 类别：类别说明，例如，任何威胁或恶意软件类型。

• 路径：文件路径

• 用户：Domain\User

• 签名版本：定义版本

• 引擎版本：反恶意软件引擎版本

事件 ID 1010

符号名称： MALWAREPROTECTION_QUARANTINE_RESTORE_FAILED

消息：反恶意软件平台无法从隔离区还原项目。

说明：Microsoft Defender防病毒在尝试从隔离区还原项目时遇到错误。 有关详细信息，请参阅以下详细信息：

• 名称：威胁名称

• ID：威胁 ID

• 严重性：严重性。 示例：低、中、高或严重

• 类别：类别说明，例如，任何威胁或恶意软件类型。

• 路径：文件路径

• 用户：Domain\User

• 错误代码：错误代码 与威胁状态关联的结果代码。 Standard HRESULT 值。

• 错误说明：错误说明 错误说明。

• 签名版本：定义版本

• 引擎版本：反恶意软件引擎版本

事件 ID 1011

符号名称： MALWAREPROTECTION_QUARANTINE_DELETE

消息：反恶意软件平台从隔离区中删除了项目。

说明：Microsoft Defender防病毒从隔离区中删除了项目。 有关详细信息，请参阅以下详细信息：

• 名称：威胁名称

• ID：威胁 ID

• 严重性：严重性。 示例：低、中、高或严重

• 类别：类别说明，例如，任何威胁或恶意软件类型。

• 路径：文件路径

• 用户：Domain\User

• 签名版本：定义版本

• 引擎版本：反恶意软件引擎版本

事件 ID 1012

符号名称： MALWAREPROTECTION_QUARANTINE_DELETE_FAILED

消息：反恶意软件平台无法从隔离区中删除项目。

说明：Microsoft Defender防病毒在尝试从隔离区中删除项目时遇到错误。 有关详细信息，请参阅以下详细信息：

• 名称：威胁名称

• ID：威胁 ID

• 严重性：严重性。 示例：低、中、高或严重

• 类别：类别说明，例如，任何威胁或恶意软件类型。

• 路径：文件路径

• 用户：Domain\User

• 错误代码：错误代码 与威胁状态关联的结果代码。 Standard HRESULT 值。

• 错误说明：错误说明 错误说明。

• 签名版本：定义版本

• 引擎版本：反恶意软件引擎版本

事件 ID 1013

符号名称： MALWAREPROTECTION_MALWARE_HISTORY_DELETE

消息：反恶意软件平台删除了恶意软件和其他可能不需要的软件的历史记录。

说明：Microsoft Defender防病毒删除了恶意软件和其他可能不需要的软件的历史记录。

• 时间：事件发生的时间，例如清除历史记录的时间。 此参数不在威胁事件中使用，因此不会混淆是修正时间还是感染时间。 对于此类事件，我们专门将它们称为“作时间”或“检测时间”。

• 用户：Domain\User

事件 ID 1014

符号名称： MALWAREPROTECTION_MALWARE_HISTORY_DELETE_FAILED

消息：反恶意软件平台无法删除恶意软件和其他可能不需要的软件的历史记录。

说明：Microsoft Defender防病毒在尝试删除恶意软件和其他可能不需要的软件的历史记录时遇到错误。

• 时间：事件发生的时间，例如清除历史记录的时间。 此参数不在威胁事件中使用，因此不会混淆是修正时间还是感染时间。 对于此类事件，我们专门将它们称为“作时间”或“检测时间”。

• 用户：Domain\User

• 错误代码：错误代码 与威胁状态关联的结果代码。 Standard HRESULT 值。

• 错误说明：错误说明 错误说明。

事件 ID 1015

符号名称： MALWAREPROTECTION_BEHAVIOR_DETECTED

消息：反恶意软件平台检测到可疑行为。

说明：Microsoft Defender防病毒检测到可疑行为。 有关详细信息，请参阅以下详细信息：

• 名称：威胁名称

• ID：威胁 ID

• 严重性：严重性。 示例：低、中、高或严重

• 类别：类别说明，例如，任何威胁或恶意软件类型。

• 路径：文件路径

• 检测源：检测源。 示例：未知、本地计算机、网络共享、Internet、传入流量或传出流量

• 检测类型：检测类型。 示例：启发式签名、泛型签名、具体签名或动态签名

• 检测源：检测源，例如：

  • 用户：用户已启动

  • 系统：系统启动

  • 实时：实时组件已启动

  • IOAV：已启动 IE 下载和 Outlook Express 附件

  • NIS：网络检查系统

  • IEPROTECT：IE - IExtensionValidation;此源可防止恶意网页控件。

  • 提前启动反恶意软件 (ELAM) 。 此源包括启动序列检测到的恶意软件。

  • 远程证明

• 反恶意软件扫描接口 (AMSI) 。 主要用于 (PowerShell、VBS) 保护脚本，但第三方也可以调用它。 UAC

• 状态：状态

• 用户：Domain\User

• 进程名称：PID 中的进程

• 签名 ID：枚举匹配严重性。

• 签名版本：定义版本

• 引擎版本：反恶意软件引擎版本

• 保真标签：

• 目标文件名：文件的文件名。

事件 ID 1116

符号名称： MALWAREPROTECTION_STATE_MALWARE_DETECTED

消息：反恶意软件平台检测到恶意软件或其他可能不需要的软件。

说明：Microsoft Defender防病毒检测到恶意软件或其他可能不需要的软件。 有关详细信息，请参阅以下详细信息：

• 名称：威胁名称

• ID：威胁 ID

• 严重性：严重性。 示例：低、中、高或严重

• 类别：类别说明，例如，任何威胁或恶意软件类型。

• 路径：文件路径

• 检测源：检测源。 示例：未知、本地计算机、网络共享、Internet、传入流量或传出流量

• 检测类型：检测类型。 示例：启发式签名、泛型签名、具体签名或动态签名

• 检测源：检测源，例如：

  • 用户：用户已启动

  • 系统：系统启动

  • 实时：实时组件已启动

  • IOAV：已启动 IE 下载和 Outlook Express 附件

  • NIS：网络检查系统

  • IEPROTECT：IE - IExtensionValidation;这可以防止恶意网页控件。

  • 提前启动反恶意软件 (ELAM) 。 这包括启动序列检测到的恶意软件。

  • 远程证明

• 反恶意软件扫描接口 (AMSI) 。 主要用于 (PowerShell、VBS) 保护脚本，但第三方也可以调用它。 UAC

• 用户：Domain\User

• 进程名称：PID 中的进程

• 签名版本：定义版本

• 引擎版本：反恶意软件引擎版本

用户作：无需执行任何作。 Microsoft Defender防病毒可以暂停并对此威胁执行例行作。 如果要手动删除威胁，请在“Microsoft Defender防病毒”界面中选择“清理计算机”。

事件 ID 1117

符号名称： MALWAREPROTECTION_STATE_MALWARE_ACTION_TAKEN

消息：反恶意软件平台执行了一项作来保护系统免受恶意软件或其他可能不需要的软件的攻击。

说明：Microsoft Defender防病毒已采取措施保护此计算机免受恶意软件或其他可能不需要的软件的攻击。 有关详细信息，请参阅以下详细信息：

• 名称：威胁名称

• ID：威胁 ID

• 严重性：严重性。 示例：低、中、高或严重

• 类别：类别说明，例如，任何威胁或恶意软件类型。

• 路径：文件路径

• 检测源：检测源。 示例：未知、本地计算机、网络共享、Internet、传入流量或传出流量

• 检测类型：检测类型。 示例：启发式签名、泛型签名、具体签名或动态签名

• 检测源：检测源，例如：

  • 用户：用户已启动

  • 系统：系统启动

  • 实时：实时组件已启动

  • IOAV：已启动 IE 下载和 Outlook Express 附件

  • NIS：网络检查系统

  • IEPROTECT：IE - IExtensionValidation;此源可防止恶意网页控件。

  • 提前启动反恶意软件 (ELAM) 。 这包括启动序列检测到的恶意软件。

  • 远程证明

• 反恶意软件扫描接口 (AMSI) 。 主要用于 (PowerShell、VBS) 保护脚本，但第三方也可以调用它。 UAC

• 用户：Domain\User

• 进程名称：PID 中的进程

• 作：作。 示例：

  • 清理：已清理资源。

  • 隔离：已隔离资源。

  • 删除：资源已删除。

  • 允许：允许资源执行/存在。

  • 用户定义：用户定义的作，通常来自用户指定的此作列表。

  • 无作：无作

  • 阻止：资源被阻止执行。

• 作状态：其他作的说明

• 错误代码：错误代码 与威胁状态关联的结果代码。 Standard HRESULT 值。

• 错误说明：错误说明 错误说明。

• 签名版本：定义版本

• 引擎版本：反恶意软件引擎版本

注意：每当Microsoft Defender防病毒软件、恶意软件删除工具或System Center Endpoint Protection检测到恶意软件时，它就会还原恶意软件可能已更改的以下系统设置和服务：

- Default Internet Explorer or Microsoft Edge setting

- User Access Control settings

- Chrome settings

- Boot Control Data

- Regedit and Task Manager registry settings

- Windows Update, Background Intelligent Transfer Service, and Remote Procedure Call service

- Windows Operating System files

上述上下文适用于以下客户端和服务器版本：

- Operating system: Client Operating System

  Operating system version: Windows Vista (Service Pack 1, or Service Pack 2), Windows 7 and later

- Operating system: Server Operating System

  Operating system version: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, and Windows Server 2016

用户作：无需执行任何作。 Microsoft Defender防病毒删除或隔离了威胁。

事件 ID 1118

符号名称： MALWAREPROTECTION_STATE_MALWARE_ACTION_FAILED

消息：反恶意软件平台尝试执行作来保护系统免受恶意软件或其他可能不需要的软件的攻击，但作失败。

说明：Microsoft Defender防病毒在对恶意软件或其他可能不需要的软件执行作时遇到非关键错误。 有关详细信息，请参阅以下详细信息：

• 名称：威胁名称

• ID：威胁 ID

• 严重性：严重性。 示例：低、中、高或严重

• 类别：类别说明，例如，任何威胁或恶意软件类型。

• 路径：文件路径

• 检测源：检测源。 示例：未知、本地计算机、网络共享、Internet、传入流量或传出流量

• 检测类型：检测类型。 示例：启发式签名、泛型签名、具体签名或动态签名

• 检测源：检测源，例如：

  • 用户：用户已启动

  • 系统：系统启动

  • 实时：实时组件已启动

  • IOAV：已启动 IE 下载和 Outlook Express 附件

  • NIS：网络检查系统

  • IEPROTECT：IE - IExtensionValidation;这可以防止恶意网页控件。

  • 提前启动反恶意软件 (ELAM) 。 这包括启动序列检测到的恶意软件。

  • 远程证明

• 反恶意软件扫描接口 (AMSI) 。 主要用于 (PowerShell、VBS) 保护脚本，但第三方也可以调用它。 UAC

• 用户：Domain\User

• 进程名称：PID 中的进程

• 作：作。 示例：

  • 清理：已清理资源。

  • 隔离：已隔离资源。

  • 删除：资源已删除。

  • 允许：允许资源执行/存在

  • 用户定义：用户定义的作，通常来自用户指定的此作列表。

  • 无作：无作

  • 阻止：阻止资源执行

• 作状态：其他作的说明

• 错误代码：错误代码 与威胁状态关联的结果代码。 Standard HRESULT 值。

• 错误说明：错误说明 错误说明。

• 签名版本：定义版本

• 引擎版本：反恶意软件引擎版本

用户作：无需执行任何作。 Microsoft Defender防病毒未能完成与恶意软件修正相关的任务。 这不是严重故障。

事件 ID 1119

符号名称： MALWAREPROTECTION_STATE_MALWARE_ACTION_CRITICALLY_FAILED

消息：反恶意软件平台尝试对恶意软件或其他可能不需要的软件执行作时遇到严重错误。 事件消息中提供了更多详细信息。

说明：Microsoft Defender防病毒在对恶意软件或其他可能不需要的软件执行作时遇到严重错误。 有关详细信息，请参阅以下详细信息：

• 名称：威胁名称

• ID：威胁 ID

• 严重性：严重性。 示例：低、中、高或严重

• 类别：类别说明，例如，任何威胁或恶意软件类型。

• 路径：文件路径

• 检测源：检测源。 示例：未知、本地计算机、网络共享、Internet、传入流量或传出流量

• 检测类型：检测类型。 示例：启发式签名、泛型签名、具体签名或动态签名

• 检测源：检测源，例如：

  • 用户：用户已启动

  • 系统：系统启动

  • 实时：实时组件已启动

  • IOAV：已启动 IE 下载和 Outlook Express 附件

  • NIS：网络检查系统

  • IEPROTECT：IE - IExtensionValidation;这可以防止恶意网页控件。

  • 提前启动反恶意软件 (ELAM) 。 这包括启动序列检测到的恶意软件

  • 远程证明

• 反恶意软件扫描接口 (AMSI) 。 主要用于 (PowerShell、VBS) 保护脚本，但第三方也可以调用它。 UAC

• 用户：Domain\User

• 进程名称：PID 中的进程

• 作：作。 示例：

  • 清理：已清理资源

  • 隔离：已隔离资源。

  • 删除：资源已删除。

  • 允许：允许资源执行/存在。

  • 用户定义：用户定义的作，通常来自用户指定的此作列表。

  • 无作：无作

  • 阻止：资源被阻止执行。

• 作状态：其他作的说明

• 错误代码：错误代码 与威胁状态关联的结果代码。 Standard HRESULT 值。

• 错误说明：错误说明 错误说明。

• 签名版本：定义版本

• 引擎版本：反恶意软件引擎版本

用户作：Microsoft Defender防病毒客户端由于严重问题而遇到此错误。 终结点可能不受保护。 查看错误说明，然后按照相关的 用户作步骤作 。

• 作：删除用户作：更新定义，然后验证删除是否成功。

• 作：清理用户作：更新定义，然后验证修正是否成功。

• 作：隔离用户作：更新定义并验证用户是否有权访问必要的资源。

• 作：允许用户作：验证用户是否有权访问必要的资源。

如果此事件仍然存在：

• 再次运行扫描。

• 如果以相同的方式失败，请转到Microsoft 支持部门站点，在“搜索”框中输入错误号以查找错误代码。

• 与 Microsoft 技术支持部门联系

事件 ID 1120

符号名称： MALWAREPROTECTION_THREAT_HASH

消息：Microsoft Defender防病毒推断出威胁资源的哈希。

说明：Microsoft Defender防病毒客户端处于正常状态并正常运行。

• 当前平台版本：当前平台版本

• 威胁资源路径：路径

• 哈希：哈希

注意：仅当设置了以下策略时，才会记录此事件：ThreatFileHashLogging unsigned。

事件 ID 1121

消息：在阻止模式下触发攻击面减少规则时的事件。

说明:

• 当前平台版本：当前平台版本

• 威胁资源路径：路径

• 哈希：哈希

事件 ID 1127

符号名称： MALWAREPROTECTION_FOLDER_GUARD_SECTOR_BLOCK

消息：受控文件夹访问 (CFA) 阻止不受信任的进程对内存进行更改。

说明：受控文件夹访问阻止了不受信任的进程可能修改磁盘扇区。 有关事件记录的详细信息，请参阅以下详细信息：

• EventID：EventID。 示例：1127

• 版本：版本。 示例：0

• 级别：级别。 示例：win：警告

• TimeCreated：SystemTime，创建事件的时间。

• EventRecordID：EventRecordID，事件日志中事件的索引号

• Execution ProcessID：Execution ProcessID，生成事件的进程

• 通道：事件通道。 示例：Microsoft-Windows-Windows Defender/Operational

• 计算机：计算机名称

• 安全用户 ID：安全用户 ID

• 产品名称：产品名称。 示例：Microsoft Defender防病毒

• 产品版本：产品版本

• 检测时间：检测时间、CFA 阻止不受信任的进程的时间

• 用户：Domain\User

• 路径：设备名称、不受信任的进程访问进行修改的设备或磁盘的名称

• 进程名称：进程路径，CFA 阻止访问设备或磁盘进行修改的进程路径名称

• 安全智能版本：安全智能版本

• 引擎版本：反恶意软件引擎版本

用户作：用户可以使用 PowerShell 或 Windows 安全中心 Center 将阻止的进程添加到 CFA 的“允许进程”列表。

事件 ID 1150

符号名称： MALWAREPROTECTION_SERVICE_HEALTHY

消息：如果反恶意软件平台向监视平台报告状态，则此事件指示反恶意软件平台正在运行并处于正常状态。

说明：Microsoft Defender防病毒客户端处于正常状态并正常运行。

• 平台版本：当前平台版本

• 签名版本：定义版本

• 引擎版本：反恶意软件引擎版本

用户作：无需执行任何作。 Microsoft Defender防病毒客户端处于正常状态。 此事件每小时报告一次。

事件 ID 1151

符号名称： MALWAREPROTECTION_SERVICE_HEALTH_REPORT

消息：Endpoint Protection 客户端运行状况报告 (UTC)

说明：防病毒客户端运行状况报告。

• 平台版本：当前平台版本

• 引擎版本：反恶意软件引擎版本

• 网络实时检查引擎版本：网络实时检查引擎版本

• 防病毒签名版本：防病毒签名版本

• 反间谍软件签名版本：反间谍软件签名版本

• 网络实时检查签名版本：网络实时检查签名版本

• RTP 状态：实时保护状态 (启用或禁用)

• OA 状态：访问状态 (启用或禁用)

• IOAV 状态：IE 下载和 Outlook Express 附件状态 (启用或禁用)

• BM 状态：行为监视状态 (启用或禁用)

• 防病毒签名期限：防病毒签名期限 (天)

• 反间谍软件签名期限：反间谍软件签名期限 (天)

• 上次快速扫描期限：上次快速扫描期限 (天)

• 上次完全扫描期限：上次完全扫描期限 (天)

• 防病毒签名创建时间：防病毒签名创建时间

• 反间谍软件签名创建时间：反间谍软件签名创建时间

• 上次快速扫描开始时间：上次快速扫描开始时间

• 上次快速扫描结束时间：上次快速扫描结束时间

• 上次快速扫描源：上次快速扫描源 (0 = 扫描未运行，1 = 用户启动，2 = 系统启动)

• 上次完全扫描开始时间：上次完全扫描开始时间

• 上次完全扫描结束时间：上次完全扫描结束时间

• 上次完全扫描源：上次完全扫描源 (0 = 扫描未运行，1 = 用户启动，2 = 系统启动)

• 产品状态：用于内部故障排除

事件 ID 2000

符号名称： MALWAREPROTECTION_SIGNATURE_UPDATED

消息：已成功更新反恶意软件定义。

说明：防病毒签名版本已更新。

• 当前签名版本：当前签名版本

• 以前的签名版本：以前的签名版本

• 签名类型：签名类型。 示例：防病毒、反间谍软件、反恶意软件或网络检查系统

• 更新类型：更新类型，“完整”或“增量”。

• 用户：Domain\User

• 当前引擎版本：当前引擎版本

• 以前的引擎版本：以前的引擎版本

用户作：无需执行任何作。 Microsoft Defender防病毒客户端处于正常状态。 成功更新签名时会报告此事件。

事件 ID 2001

符号名称： MALWAREPROTECTION_SIGNATURE_UPDATE_FAILED

消息：安全智能更新失败。

说明：Microsoft Defender防病毒在尝试更新签名时遇到错误。

• 新安全智能版本：新版本号

• 以前的安全智能版本：以前的版本

• 更新源：更新源。 示例：

  • 安全智能更新文件夹

  • 内部安全智能更新服务器

  • Microsoft更新服务器

  • 文件共享

  • Microsoft 恶意软件防护中心 (MMPC)

• 更新阶段：更新阶段。 示例：搜索、下载或安装

• 源路径：通用命名约定 (UNC) 的文件共享名称，Windows Server Update Services (WSUS) /Microsoft Update/ADL 的服务器名称。

• 签名类型：签名类型。 示例：防病毒、反间谍软件、反恶意软件或网络检查系统

• 更新类型：更新类型，“完整”或“增量”。

• 用户：Domain\User

• 当前引擎版本：当前引擎版本

• 以前的引擎版本：以前的引擎版本

• 错误代码：错误代码 与威胁状态关联的结果代码。 Standard HRESULT 值。

• 错误说明：错误说明 错误说明。

用户作：在更新定义时遇到问题时，会发生此错误。 若要对此事件进行故障排除，请：

• 更新定义 并直接在终结点上强制重新扫描。

• 有关此错误的详细信息，请查看 %Windir%\WindowsUpdate.log 文件中的条目。

• 与 Microsoft 技术支持部门联系

事件 ID 2002

符号名称： MALWAREPROTECTION_ENGINE_UPDATED

消息：反恶意软件引擎更新成功。

说明：Microsoft Defender防病毒引擎版本已更新。

• 当前引擎版本：当前引擎版本

• 以前的引擎版本：以前的引擎版本

• 引擎类型：引擎类型，反恶意软件引擎或网络检查系统引擎。

• 用户：Domain\User

用户作：无需执行任何作。 Microsoft Defender防病毒客户端处于正常状态。 成功更新反恶意软件引擎时，将报告此事件。

事件 ID 2003

符号名称： MALWAREPROTECTION_ENGINE_UPDATE_FAILED

消息：反恶意软件引擎更新失败。

说明：Microsoft Defender防病毒在尝试更新引擎时遇到错误。

• 新引擎版本：

• 以前的引擎版本：以前的引擎版本

• 引擎类型：引擎类型，反恶意软件引擎或网络检查系统引擎。

• 用户：Domain\User

• 错误代码：错误代码 与威胁状态关联的结果代码。 Standard HRESULT 值。

• 错误说明：错误说明 错误说明。

用户作：Microsoft Defender防病毒客户端更新失败。 当客户端无法更新自身时，会发生此事件。 此事件是由于更新期间网络连接中断造成的。 若要对此事件进行故障排除，请：

• 更新定义 并直接在终结点上强制重新扫描。

• 与 Microsoft 技术支持部门联系

事件 ID 2004

符号名称： MALWAREPROTECTION_SIGNATURE_REVERSION

消息：加载反恶意软件定义时出现问题。 反恶意软件引擎尝试加载上一个已知良好的定义集。

说明：Microsoft Defender防病毒在尝试加载签名时遇到错误，并将尝试还原为已知良好的签名集。

• 尝试的签名数：

• 错误代码：错误代码 与威胁状态关联的结果代码。 Standard HRESULT 值。

• 错误说明：错误说明 错误说明。

• 签名版本：定义版本

• 引擎版本：反恶意软件引擎版本

用户作：Microsoft Defender防病毒客户端尝试下载并安装最新的定义文件，但失败。 如果客户端在尝试加载定义时遇到错误，或者文件已损坏，则可能会出现此错误。 Microsoft Defender防病毒尝试还原回到已知良好的定义集。 若要对此事件进行故障排除，请：

• 重新启动计算机，然后重试。

• 从 Microsoft 安全智能 网站下载最新的定义。

  注意：从网站下载的定义文件的大小可能超过 60 MB，不应用作更新定义的长期解决方案。

• 与 Microsoft 技术支持部门联系

事件 ID 2005

符号名称： MALWAREPROTECTION_ENGINE_UPDATE_PLATFORMOUTOFDATE

消息：由于反恶意软件平台已过期，反恶意软件引擎无法加载。 反恶意软件平台加载上一个已知良好的反恶意软件引擎并尝试更新。

说明：Microsoft Defender防病毒无法加载反恶意软件引擎，因为当前平台版本不受支持。 Microsoft Defender防病毒将恢复为上一个已知良好的引擎，并尝试进行平台更新。

• 当前平台版本：当前平台版本

事件 ID 2006

符号名称： MALWAREPROTECTION_PLATFORM_UPDATE_FAILED

消息：平台更新失败。

说明：Microsoft Defender防病毒在尝试更新平台时遇到错误。

• 当前平台版本：当前平台版本

• 错误代码：错误代码 与威胁状态关联的结果代码。 Standard HRESULT 值。

• 错误说明：错误说明 错误说明。

事件 ID 2007

符号名称： MALWAREPROTECTION_PLATFORM_ALMOSTOUTOFDATE

消息：平台即将过期。 下载最新平台以维护最新保护。

说明：Microsoft Defender防病毒将很快需要更新的平台版本来支持反恶意软件引擎的未来版本。 下载最新的 Microsoft Defender 防病毒平台，以保持可用的最佳保护级别。

• 当前平台版本：当前平台版本

事件 ID 2010

符号名称： MALWAREPROTECTION_SIGNATURE_FASTPATH_UPDATED

消息：反恶意软件引擎使用动态签名服务获取其他定义。

说明：Microsoft Defender防病毒使用动态签名服务检索更多签名来帮助保护计算机。

• 当前签名版本：当前签名版本

• 签名类型：签名类型。 示例：防病毒、反间谍软件、反恶意软件或网络检查系统

• 当前引擎版本：当前引擎版本

• 动态签名类型：动态签名类型。 示例：版本、时间戳、无限制或持续时间

• 持久性路径：路径

• 动态签名版本：版本号

• 动态签名编译时间戳：时间戳

• 持久性限制类型：持久性限制类型。 示例：VDM 版本、时间戳或无限制

• 持久性限制：快速路径签名的持久性限制。

事件 ID 2011

符号名称： MALWAREPROTECTION_SIGNATURE_FASTPATH_DELETED

消息：动态签名服务删除了过期的动态定义。

更改为默认行为：更改为动态签名事件报告默认行为。

当 Defender for Endpoint 收到动态签名时，将报告 2010 事件。 但是，当动态签名过期或手动删除时，将报告 2011 事件。 在某些情况下，当新签名传递到 Defender for Endpoint 时，有时数百个动态签名同时过期，导致报告数百个 2011 事件。 生成如此多的 2011 事件可能会导致 SIEM) 服务器 (安全信息和事件管理泛滥。

为了避免这种位置，从 平台版本 4.18.2207.7 开始，默认情况下，Defender for Endpoint 不会报告 2011 年事件。 请记住以下几点：

• 此新的默认行为由以下注册表项控制： HKLM\SOFTWARE\Microsoft\Windows Defender\Reporting\EnableDynamicSignatureDroppedEventReporting
• 的 EnableDynamicSignatureDroppedEventReporting 默认值为 false，这意味着不会报告 2011 事件。 如果设置为 true，则会报告 2011 事件。

由于 2010 签名事件是偶尔及时分发的，因此此配置不会导致峰值，并且 2010 签名事件行为保持不变。

说明：Microsoft Defender防病毒使用动态签名服务放弃过时的签名。

• 当前签名版本：当前签名版本

• 签名类型：签名类型。 示例：防病毒、反间谍软件、反恶意软件或网络检查系统

• 当前引擎版本：当前引擎版本

• 动态签名类型：动态签名类型。 示例：版本、时间戳、无限制或持续时间

• 持久性路径：路径

• 动态签名版本：版本号

• 动态签名编译时间戳：时间戳

• 删除原因：

• 持久性限制类型：持久性限制类型。 示例：VDM 版本、时间戳或无限制

• 持久性限制：快速路径签名的持久性限制。

用户作：无需执行任何作。 Microsoft Defender防病毒客户端处于正常状态。 当动态签名服务成功删除过期的动态定义时，将报告此事件。

事件 ID 2012

符号名称： MALWAREPROTECTION_SIGNATURE_FASTPATH_UPDATE_FAILED

消息：反恶意软件引擎在尝试使用动态签名服务时遇到错误。

说明：Microsoft Defender防病毒在尝试使用动态签名服务时遇到错误。

• 当前签名版本：当前签名版本

• 签名类型：签名类型。 示例：防病毒、反间谍软件、反恶意软件或网络检查系统

• 当前引擎版本：当前引擎版本

• 错误代码：错误代码 与威胁状态关联的结果代码。 Standard HRESULT 值。

• 错误说明：错误说明 错误说明。

• 动态签名类型：动态签名类型。 示例：版本、时间戳、无限制或持续时间

• 持久性路径：路径

• 动态签名版本：版本号

• 动态签名编译时间戳：时间戳

• 持久性限制类型：持久性限制类型。 示例：VDM 版本、时间戳或无限制

• 持久性限制：快速路径签名的持久性限制。

用户作：检查 Internet 连接设置。

事件 ID 2013

符号名称： MALWAREPROTECTION_SIGNATURE_FASTPATH_DELETED_ALL

消息：动态签名服务删除了所有动态定义。

说明：Microsoft Defender防病毒放弃了所有动态签名服务签名。

• 当前签名版本：当前签名版本

事件 ID 2020

符号名称： MALWAREPROTECTION_CLOUD_CLEAN_RESTORE_FILE_DOWNLOADED

消息：反恶意软件引擎下载了一个干净文件。

说明：Microsoft Defender防病毒下载了干净文件。

• 文件名：文件名 文件的名称。

• 当前签名版本：当前签名版本

• 当前引擎版本：当前引擎版本

事件 ID 2021

符号名称： MALWAREPROTECTION_CLOUD_CLEAN_RESTORE_FILE_DOWNLOAD_FAILED

消息：反恶意软件引擎无法下载干净文件。

说明：Microsoft Defender防病毒在尝试下载干净文件时遇到错误。

• 文件名：文件名 文件的名称。

• 当前签名版本：当前签名版本

• 当前引擎版本：当前引擎版本

• 错误代码：错误代码 与威胁状态关联的结果代码。 Standard HRESULT 值。

• 错误说明：错误说明 错误说明。

用户作：检查 Internet 连接设置。 Microsoft Defender防病毒客户端在使用动态签名服务将最新定义下载到特定威胁时遇到错误。 此错误可能是由网络连接问题引起的。

事件 ID 2030

符号名称： MALWAREPROTECTION_OFFLINE_SCAN_INSTALLED

消息：反恶意软件引擎已下载，并配置为在下一次系统重启时脱机运行。

说明：Microsoft Defender防病毒下载并配置了脱机防病毒，以在下次重新启动时运行。

事件 ID 2031

符号名称： MALWAREPROTECTION_OFFLINE_SCAN_INSTALL_FAILED

消息：反恶意软件引擎无法下载和配置脱机扫描。

说明：Microsoft Defender防病毒在尝试下载和配置脱机防病毒时遇到错误。

• 错误代码：错误代码 与威胁状态关联的结果代码。 Standard HRESULT 值。

• 错误说明：错误说明 错误说明。

事件 ID 2040

符号名称： MALWAREPROTECTION_OS_EXPIRING

消息：此作系统版本的反恶意软件支持即将结束。

说明：对作系统的支持即将到期。 在不支持的作系统上运行Microsoft Defender防病毒并不是防范威胁的充分解决方案。

事件 ID 2041

符号名称： MALWAREPROTECTION_OS_EOL

消息：此作系统的反恶意软件支持已结束。 必须升级作系统才能继续获得支持。

说明：对作系统的支持已过期。 在不支持的作系统上运行Microsoft Defender防病毒并不是防范威胁的充分解决方案。

事件 ID 2042

符号名称： MALWAREPROTECTION_PROTECTION_EOL

消息：反恶意软件引擎不再支持此作系统，并且不再保护系统免受恶意软件的侵害。

说明：对作系统的支持已过期。 Microsoft Defender防病毒在作系统上不再受支持，已停止运行，并且无法防范恶意软件威胁。

事件 ID 3002

符号名称： MALWAREPROTECTION_RTP_FEATURE_FAILURE

消息：实时保护遇到错误并失败。

说明：Microsoft Defender防病毒 Real-Time 保护功能遇到错误并失败。

• 功能：功能。 示例：访问时、Internet Explorer 下载和Microsoft Outlook Express 附件、行为监视或网络检查系统。

• 错误代码：错误代码 与威胁状态关联的结果代码。 Standard HRESULT 值。

• 错误说明：错误说明 错误说明。

• 原因：防病毒实时保护Microsoft Defender重启功能的原因。

用户作：应重启系统，然后运行完全扫描，因为系统可能在一段时间内未受到保护。 Microsoft Defender防病毒客户端的实时保护功能遇到错误，因为其中一个服务无法启动。 如果后跟 3007 事件 ID，则故障是暂时的，并且反恶意软件客户端从故障中恢复。

事件 ID 3007

符号名称： MALWAREPROTECTION_RTP_FEATURE_RECOVERED

消息：从故障中恢复的实时保护。 建议在看到此错误时运行完整的系统扫描。

说明：Microsoft Defender防病毒实时保护重启了一项功能。 建议运行完整的系统扫描，以检测此代理关闭时可能错过的任何项目。

• 功能：功能。 示例：访问、IE 下载和 Outlook Express 附件、行为监视或网络检查系统

• 原因：防病毒实时保护Microsoft Defender重启功能的原因。

用户作：实时保护功能已重启。 如果再次发生此事件，请联系 Microsoft技术支持。

事件 ID 5000

符号名称： MALWAREPROTECTION_RTP_ENABLED

消息：已启用实时保护。

说明：Microsoft Defender启用了针对恶意软件和其他可能不需要的软件的防病毒实时保护扫描。

事件 ID 5001

符号名称： MALWAREPROTECTION_RTP_DISABLED

消息：实时保护已禁用。

说明：Microsoft Defender禁用了针对恶意软件和其他可能不需要的软件的防病毒实时保护扫描。

事件 ID 5004

符号名称： MALWAREPROTECTION_RTP_FEATURE_CONFIGURED

消息：实时保护配置已更改。

说明：Microsoft Defender防病毒实时保护功能配置已更改。

• 功能：功能。 示例：访问、IE 下载和 Outlook Express 附件、行为监视或网络检查系统
• 配置：

事件 ID 5007

符号名称： MALWAREPROTECTION_CONFIG_CHANGED

消息：反恶意软件平台配置已更改。

说明：Microsoft Defender防病毒配置已更改。 如果此事件是意外的，则应查看设置，因为该事件可能是恶意软件的结果。

• 旧值：旧值编号旧防病毒配置值。

• 新值：新值编号 新防病毒配置值。

事件 ID 5008

符号名称： MALWAREPROTECTION_ENGINE_FAILURE

消息：反恶意软件引擎遇到错误并失败。

说明：Microsoft Defender防病毒引擎因意外错误而终止。

• 失败类型：失败类型。 示例：崩溃或挂起

• 异常代码：错误代码

• 资源：资源

用户作：若要对此事件进行故障排除，请执行以下作：

• 尝试重启服务。

  • 对于反恶意软件、防病毒和间谍软件，请在提升的命令提示符下键入 net stop msmpsvc，然后键入 net start msmpsvc 以重启反恶意软件引擎。

  • 对于 网络检查系统，在提升的命令提示符下，键入 net start nissrv，然后使用 NiSSRV.exe 文件键入 net start nissrv 以重启 网络检查系统 引擎。

• 如果以相同的方式失败，请通过访问Microsoft 支持部门站点并在“搜索”框中输入错误号来查找错误代码，并联系Microsoft技术支持。

用户作：Microsoft Defender防病毒客户端引擎因意外错误而停止。 若要对此事件进行故障排除，请：

• 再次运行扫描。

• 如果以相同的方式失败，请转到Microsoft 支持部门站点，在“搜索”框中输入错误号以查找错误代码。

• 与 Microsoft 技术支持部门联系

事件 ID 5009

符号名称： MALWAREPROTECTION_ANTISPYWARE_ENABLED

消息：已启用扫描恶意软件和其他可能不需要的软件。

说明：Microsoft Defender启用防病毒扫描的恶意软件和其他可能不需要的软件。

事件 ID 5010

符号名称： MALWAREPROTECTION_ANTISPYWARE_DISABLED

消息：禁用扫描恶意软件和其他可能不需要的软件。

说明：Microsoft Defender禁用恶意软件和其他可能不需要的软件的防病毒扫描。

事件 ID 5011

符号名称： MALWAREPROTECTION_ANTIVIRUS_ENABLED

消息：已启用病毒扫描。

说明：Microsoft Defender病毒启用防病毒扫描。

事件 ID 5012

符号名称： MALWAREPROTECTION_ANTIVIRUS_DISABLED

消息：已禁用病毒扫描。

说明：已禁用病毒的防病毒扫描Microsoft Defender。

事件 ID 5013

符号名称： MALWAREPROTECTION_SCAN_CANCELLED

消息：篡改防护阻止了对 Microsoft Defender 防病毒的更改。

说明：如果启用了篡改保护，则会阻止任何更改 Defender 设置的尝试。 生成事件 ID 5013，并指出已阻止设置更改。

事件 ID 5100

符号名称： MALWAREPROTECTION_EXPIRATION_WARNING_STATE

消息：反恶意软件平台即将过期。

说明：Microsoft Defender防病毒进入宽限期，即将过期。 过期后，此程序将禁用针对病毒、间谍软件和其他可能不需要的软件的保护。

• 过期原因：防病毒Microsoft Defender过期的原因。

• 到期日期：防病毒Microsoft Defender到期日期。

事件 ID 5101

符号名称： MALWAREPROTECTION_DISABLED_EXPIRED_STATE

消息：反恶意软件平台已过期。

说明：Microsoft Defender防病毒宽限期已过期。 已禁用针对病毒、间谍软件和其他可能不需要的软件的防护。

• 错误代码：错误代码 与威胁状态关联的结果代码。 Standard HRESULT 值。

• 错误说明：错误说明 错误说明。

Microsoft Defender防病毒客户端错误代码

如果Microsoft Defender防病毒遇到任何问题，通常会提供错误代码来帮助你排查问题。 大多数情况下，错误意味着安装更新时出现问题。 本部分提供有关Microsoft Defender防病毒客户端错误的以下信息。

• 错误代码

• 错误的可能原因

• 关于现在做什么的建议

使用以下信息来帮助排查Microsoft Defender防病毒错误代码。

错误代码0x80508007

消息： ERR_MP_NO_MEMORY

可能的原因：此错误表示内存可能已用完。

解决方案：

• 检查设备上的可用内存。

• 关闭正在运行以释放设备上的内存的任何未使用的应用程序。

• 重启设备并再次运行扫描。

错误代码0x8050800C

消息： ERR_MP_BAD_INPUT_DATA

可能的原因：此错误表示安全产品可能存在问题。

解决方案：

• 更新定义。 也：

  • 在 Windows 安全中心 应用中获取安全智能更新。

    ，

  • 从 Microsoft 安全智能 网站下载最新的定义。

  [!注意] 从站点下载的定义文件的大小可能超过 60 MB，不应用作更新定义的长期解决方案。

• 运行完全扫描。

• 重启设备，然后重试。

错误代码0x80508020

消息： ERR_MP_BAD_CONFIGURATION

可能的原因：此错误表示可能存在引擎配置错误。 通常，此错误与不允许引擎正常运行的输入数据相关。

错误代码0x805080211

消息： ERR_MP_QUARANTINE_FAILED

可能的原因：此错误指示Microsoft Defender防病毒无法隔离威胁。

错误代码0x80508022

消息： ERR_MP_REBOOT_REQUIRED

可能的原因：此错误表示需要重新启动才能完成威胁删除。

错误代码0x80508023

消息： ERR_MP_THREAT_NOT_FOUND

可能的原因：此错误表示媒体上可能不再存在威胁，或者恶意软件可能阻止你扫描设备。

解决方法：运行Microsoft 安全扫描程序然后更新安全软件，然后重试。

错误代码0x80508024

消息： ERR_MP_FULL_SCAN_REQUIRED

可能的原因：此错误指示可能需要进行完整的系统扫描。

解决方法：运行完整系统扫描。

错误代码0x80508025

消息： ERR_MP_MANUAL_STEPS_REQUIRED

可能的原因：此错误表示需要手动步骤才能完成威胁删除。

解决方法：按照 Microsoft恶意软件防护百科全书中所述的手动修正步骤进行作。 可以在事件历史记录中找到特定于威胁的链接。

错误代码0x80508026

消息： ERR_MP_REMOVE_NOT_SUPPORTED

可能的原因：此错误表示可能不支持在容器类型内删除。

解决方法：Microsoft Defender防病毒无法修正存档中检测到的威胁。 请考虑手动删除检测到的资源。

错误代码0x80508027

消息： ERR_MP_REMOVE_LOW_MEDIUM_DISABLED

可能的原因：此错误指示可能已禁用删除低威胁和中等威胁。

解决方法：检查检测到的威胁并根据需要解决它们。

错误代码0x80508029

消息： ERROR_MP_RESCAN_REQUIRED

可能的原因：此错误表示需要重新扫描威胁。

解决方法：运行完整系统扫描。

错误代码0x80508030

消息： ERROR_MP_CALLISTO_REQUIRED

可能的原因：此错误指示需要脱机扫描。

解决方法：Microsoft Defender防病毒脱机运行。 有关详细信息，请参阅使用脱机Microsoft Defender帮助保护我的电脑。

错误代码0x80508031

消息： ERROR_MP_PLATFORM_OUTDATED

可能的原因：此错误指示Microsoft Defender防病毒不支持当前版本的平台，并且需要新版本的平台。

解决方法：只能在 Windows 10 和 Windows 11 中使用 Microsoft Defender 防病毒。 对于 Windows 8、Windows 7 和 Windows Vista，可以使用 System Center Endpoint Protection。

内部错误代码

在内部测试Microsoft Defender防病毒期间使用以下错误代码。

如果看到这些错误，可以尝试更新定义，并直接在终结点上强制重新扫描。

错误代码0x80501004

显示的消息： ERROR_MP_NO_INTERNET_CONN

错误和解决方法的可能原因：检查 Internet 连接，然后再次运行扫描。

错误代码0x80501000

显示的消息： ERROR_MP_UI_CONSOLIDATION_BASE

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

错误代码0x80501001

显示的消息： ERROR_MP_ACTIONS_FAILED

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

错误代码0x80501002

显示的消息： ERROR_MP_NOENGINE

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

错误代码0x80501003

显示的消息： ERROR_MP_ACTIVE_THREATS

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

错误代码0x805011011

显示的消息： MP_ERROR_CODE_LUA_CANCELLED

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

错误代码0x80501101

显示的消息： ERROR_LUA_CANCELLATION

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

错误代码0x80501102

显示的消息： MP_ERROR_CODE_ALREADY_SHUTDOWN

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

错误代码0x80501103

显示的消息： MP_ERROR_CODE_RDEVICE_S_ASYNC_CALL_PENDING

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

错误代码0x80501104

显示的消息： MP_ERROR_CODE_CANCELLED

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

错误代码0x80501105

显示的消息： MP_ERROR_CODE_NO_TARGETOS

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

错误代码0x80501106

显示的消息： MP_ERROR_CODE_BAD_REGEXP

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

错误代码0x80501107

显示的消息： MP_ERROR_TEST_INDUCED_ERROR

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

错误代码0x80501108

显示的消息： MP_ERROR_SIG_BACKUP_DISABLED

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

错误代码0x80508001

显示的消息： ERR_MP_BAD_INIT_MODULES

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

错误代码0x80508002

显示的消息： ERR_MP_BAD_DATABASE

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

错误代码0x80508004

显示的消息： ERR_MP_BAD_UFS

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

错误代码0x8050800C

显示的消息： ERR_MP_BAD_INPUT_DATA

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

错误代码0x8050800D

显示的消息： ERR_MP_BAD_GLOBAL_STORAGE

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

错误代码0x8050800E

显示的消息： ERR_MP_OBSOLETE

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

错误代码0x8050800F

显示的消息： ERR_MP_NOT_SUPPORTED

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

错误代码0x8050800F

显示的消息： ERR_MP_NO_MORE_ITEMS

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

错误代码0x80508010

显示的消息： ERR_MP_NO_MORE_ITEMS

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

错误代码0x80508011

显示的消息： ERR_MP_DUPLICATE_SCANID

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

错误代码0x80508012

显示的消息： ERR_MP_BAD_SCANID

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

错误代码0x80508013

显示的消息： ERR_MP_BAD_USERDB_VERSION

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

错误代码0x80508014

显示的消息： ERR_MP_RESTORE_FAILED

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

错误代码0x80508016

显示的消息： ERR_MP_BAD_ACTION

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

错误代码0x80508019

显示的消息： ERR_MP_NOT_FOUND

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

错误代码0x80509001

显示的消息： ERR_RELO_BAD_EHANDLE

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

错误代码0x80509003

显示的消息： ERR_RELO_KERNEL_NOT_LOADED

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

错误代码0x8050A001

显示的消息： ERR_MP_BADDB_OPEN

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

错误代码0x8050A002

显示的消息： ERR_MP_BADDB_HEADER

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

错误代码0x8050A003

显示的消息： ERR_MP_BADDB_OLDENGINE

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

错误代码0x8050A004

显示的消息： ERR_MP_BADDB_CONTENT

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

错误代码0x8050A005

显示的消息： ERR_MP_BADDB_NOTSIGNED

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

错误代码0x8050801

显示的消息： ERR_MP_REMOVE_FAILED

错误和解决方法的可能原因：此错误是内部的。 当恶意软件删除不成功时，可能会触发它。

错误代码0x80508018

显示的消息： ERR_MP_SCAN_ABORTED

错误和解决方法的可能原因：此错误是内部的。 扫描失败时，它可能已触发。

如果遇到Microsoft Defender防病毒问题，可以搜索本文中的以下部分来查找匹配的问题和潜在的解决方案。

适用于：

• Microsoft Defender for Endpoint 计划 1
• Microsoft Defender for Endpoint 计划 2
• Microsoft Defender 防病毒

1. 打开事件查看器。

2. 在控制台树中，展开 WindowsWindows DefenderMicrosoft>>应用程序和服务日志>。

3. 双击“ 作”。

4. 在详细信息窗格中，查看各个事件的列表以查找事件。

5. 选择事件，在“ 常规 ”和“ 详细信息 ”选项卡下的下窗格中查看有关事件的特定详细信息。

符号名称： MALWAREPROTECTION_SCAN_STARTED

消息：反恶意软件扫描启动。

说明:

• 扫描 ID：相关扫描的 ID 号。

• 扫描类型：扫描类型。 示例：防病毒、反间谍软件或反恶意软件

• 扫描参数：扫描参数。 示例：完全扫描、快速扫描或客户扫描

• 扫描资源：已扫描 (资源，例如文件/目录/BHO) 。

• 用户：Domain\User

符号名称： MALWAREPROTECTION_SCAN_COMPLETED

消息：反恶意软件扫描已完成。

说明:

• 扫描 ID：相关扫描的 ID 号。

• 扫描类型：扫描类型。 示例：防病毒、反间谍软件或反恶意软件

• 扫描参数：扫描参数。 示例：完全扫描、快速扫描或客户扫描

• 用户：Domain\User

• 扫描时间：扫描的持续时间。

符号名称： MALWAREPROTECTION_SCAN_CANCELLED

消息：反恶意软件扫描在完成之前已停止。

说明:

• 扫描 ID：相关扫描的 ID 号。

• 扫描类型：扫描类型。 示例：防病毒、反间谍软件或反恶意软件

• 扫描参数：扫描参数。 示例：完全扫描、快速扫描或客户扫描

• 用户：Domain\User

• 扫描时间：扫描的持续时间。

符号名称： MALWAREPROTECTION_MALWARE_DETECTED

消息：反恶意软件引擎发现恶意软件或其他可能不需要的软件。

说明：有关详细信息，请参阅以下详细信息：

• 名称：威胁名称

• ID：威胁 ID

• 严重性：严重性。 示例：低、中、高或严重

• 类别：类别说明。 示例：任何威胁或恶意软件类型。

• 路径：文件路径

• 检测源：检测源。 示例：未知、本地计算机、网络共享、Internet、传入流量或传出流量

• 检测类型：检测类型。 示例：启发式签名、泛型签名、具体签名或动态签名

• 检测源：检测源，例如：

  • 用户：用户已启动

  • 系统：系统启动

  • 实时：实时组件已启动

  • IOAV：已启动 IE 下载和 Outlook Express 附件

  • NIS：网络检查系统

  • IEPROTECT：IE - IExtensionValidation;这可以防止恶意网页控件。

  • 提前启动反恶意软件 (ELAM) 。 此源包括启动序列检测到的恶意软件。

  • 远程证明

• 反恶意软件扫描接口 (AMSI) 。 主要用于 (PowerShell、VBS) 保护脚本，但第三方也可以调用它。 UAC。

• 状态：状态

• 用户：Domain\User

• 进程名称：PID 中的进程

• 签名版本：定义版本

• 引擎版本：反恶意软件引擎版本

符号名称： MALWAREPROTECTION_MALWARE_ACTION_TAKEN

消息：反恶意软件平台执行了一项作来保护系统免受恶意软件或其他可能不需要的软件的攻击。

说明：Microsoft Defender防病毒已采取措施保护此计算机免受恶意软件或其他可能不需要的软件的攻击。 有关详细信息，请参阅以下详细信息：

• 用户：Domain\User

• 名称：威胁名称

• ID：威胁 ID

• 严重性：严重性。 示例：低、中、高或严重

• 类别：类别说明，例如，任何威胁或恶意软件类型。

• 作：作。 示例：

  • 清理：已清理资源。

  • 隔离：已隔离资源。

  • 删除：资源已删除。

  • 允许：允许资源执行/存在。

  • 用户定义：用户定义的作，通常来自用户指定的此作列表。

  • 无作：无作

  • 阻止：资源被阻止执行。

• 状态：状态

• 签名版本：定义版本

• 引擎版本：反恶意软件引擎版本

符号名称： MALWAREPROTECTION_MALWARE_ACTION_FAILED

消息：反恶意软件平台尝试执行作来保护系统免受恶意软件或其他可能不需要的软件的攻击，但作失败。

说明：Microsoft Defender防病毒在对恶意软件或其他可能不需要的软件执行作时遇到错误。 有关详细信息，请参阅以下详细信息：

• 用户：Domain\User

• 名称：威胁名称

• ID：威胁 ID

• 严重性：严重性。 示例：低、中、高或严重

• 类别：类别说明，例如，任何威胁或恶意软件类型。

• 路径：文件路径

• 作：作。 示例：

  • 清理：已清理资源。

  • 隔离：已隔离资源。

  • 删除：资源已删除。

  • 允许：允许资源执行/存在。

  • 用户定义：用户定义的作，通常来自用户指定的此作列表。

  • 无作：无作

  • 阻止：资源被阻止执行。

• 错误代码：错误代码 与威胁状态关联的结果代码。 Standard HRESULT 值。

• 错误说明：错误说明 错误说明。

• 状态：状态

• 签名版本：定义版本

• 引擎版本：反恶意软件引擎版本

符号名称： MALWAREPROTECTION_QUARANTINE_RESTORE

消息：反恶意软件平台从隔离区中还原了项。

说明：Microsoft Defender防病毒从隔离区还原了项目。 有关详细信息，请参阅以下详细信息：

• 名称：威胁名称

• ID：威胁 ID

• 严重性：严重性。 示例：低、中、高或严重

• 类别：类别说明，例如，任何威胁或恶意软件类型。

• 路径：文件路径

• 用户：Domain\User

• 签名版本：定义版本

• 引擎版本：反恶意软件引擎版本

符号名称： MALWAREPROTECTION_QUARANTINE_RESTORE_FAILED

消息：反恶意软件平台无法从隔离区还原项目。

说明：Microsoft Defender防病毒在尝试从隔离区还原项目时遇到错误。 有关详细信息，请参阅以下详细信息：

• 名称：威胁名称

• ID：威胁 ID

• 严重性：严重性。 示例：低、中、高或严重

• 类别：类别说明，例如，任何威胁或恶意软件类型。

• 路径：文件路径

• 用户：Domain\User

• 错误代码：错误代码 与威胁状态关联的结果代码。 Standard HRESULT 值。

• 错误说明：错误说明 错误说明。

• 签名版本：定义版本

• 引擎版本：反恶意软件引擎版本

符号名称： MALWAREPROTECTION_QUARANTINE_DELETE

消息：反恶意软件平台从隔离区中删除了项目。

说明：Microsoft Defender防病毒从隔离区中删除了项目。 有关详细信息，请参阅以下详细信息：

• 名称：威胁名称

• ID：威胁 ID

• 严重性：严重性。 示例：低、中、高或严重

• 类别：类别说明，例如，任何威胁或恶意软件类型。

• 路径：文件路径

• 用户：Domain\User

• 签名版本：定义版本

• 引擎版本：反恶意软件引擎版本

符号名称： MALWAREPROTECTION_QUARANTINE_DELETE_FAILED

消息：反恶意软件平台无法从隔离区中删除项目。

说明：Microsoft Defender防病毒在尝试从隔离区中删除项目时遇到错误。 有关详细信息，请参阅以下详细信息：

• 名称：威胁名称

• ID：威胁 ID

• 严重性：严重性。 示例：低、中、高或严重

• 类别：类别说明，例如，任何威胁或恶意软件类型。

• 路径：文件路径

• 用户：Domain\User

• 错误代码：错误代码 与威胁状态关联的结果代码。 Standard HRESULT 值。

• 错误说明：错误说明 错误说明。

• 签名版本：定义版本

• 引擎版本：反恶意软件引擎版本

符号名称： MALWAREPROTECTION_MALWARE_HISTORY_DELETE

消息：反恶意软件平台删除了恶意软件和其他可能不需要的软件的历史记录。

说明：Microsoft Defender防病毒删除了恶意软件和其他可能不需要的软件的历史记录。

• 时间：事件发生的时间，例如清除历史记录的时间。 此参数不在威胁事件中使用，因此不会混淆是修正时间还是感染时间。 对于此类事件，我们专门将它们称为“作时间”或“检测时间”。

• 用户：Domain\User

符号名称： MALWAREPROTECTION_MALWARE_HISTORY_DELETE_FAILED

消息：反恶意软件平台无法删除恶意软件和其他可能不需要的软件的历史记录。

说明：Microsoft Defender防病毒在尝试删除恶意软件和其他可能不需要的软件的历史记录时遇到错误。

• 时间：事件发生的时间，例如清除历史记录的时间。 此参数不在威胁事件中使用，因此不会混淆是修正时间还是感染时间。 对于此类事件，我们专门将它们称为“作时间”或“检测时间”。

• 用户：Domain\User

• 错误代码：错误代码 与威胁状态关联的结果代码。 Standard HRESULT 值。

• 错误说明：错误说明 错误说明。

符号名称： MALWAREPROTECTION_BEHAVIOR_DETECTED

消息：反恶意软件平台检测到可疑行为。

说明：Microsoft Defender防病毒检测到可疑行为。 有关详细信息，请参阅以下详细信息：

• 名称：威胁名称

• ID：威胁 ID

• 严重性：严重性。 示例：低、中、高或严重

• 类别：类别说明，例如，任何威胁或恶意软件类型。

• 路径：文件路径

• 检测源：检测源。 示例：未知、本地计算机、网络共享、Internet、传入流量或传出流量

• 检测类型：检测类型。 示例：启发式签名、泛型签名、具体签名或动态签名

• 检测源：检测源，例如：

  • 用户：用户已启动

  • 系统：系统启动

  • 实时：实时组件已启动

  • IOAV：已启动 IE 下载和 Outlook Express 附件

  • NIS：网络检查系统

  • IEPROTECT：IE - IExtensionValidation;此源可防止恶意网页控件。

  • 提前启动反恶意软件 (ELAM) 。 此源包括启动序列检测到的恶意软件。

  • 远程证明

• 反恶意软件扫描接口 (AMSI) 。 主要用于 (PowerShell、VBS) 保护脚本，但第三方也可以调用它。 UAC

• 状态：状态

• 用户：Domain\User

• 进程名称：PID 中的进程

• 签名 ID：枚举匹配严重性。

• 签名版本：定义版本

• 引擎版本：反恶意软件引擎版本

• 保真标签：

• 目标文件名：文件的文件名。

符号名称： MALWAREPROTECTION_STATE_MALWARE_DETECTED

消息：反恶意软件平台检测到恶意软件或其他可能不需要的软件。

说明：Microsoft Defender防病毒检测到恶意软件或其他可能不需要的软件。 有关详细信息，请参阅以下详细信息：

• 名称：威胁名称

• ID：威胁 ID

• 严重性：严重性。 示例：低、中、高或严重

• 类别：类别说明，例如，任何威胁或恶意软件类型。

• 路径：文件路径

• 检测源：检测源。 示例：未知、本地计算机、网络共享、Internet、传入流量或传出流量

• 检测类型：检测类型。 示例：启发式签名、泛型签名、具体签名或动态签名

• 检测源：检测源，例如：

  • 用户：用户已启动

  • 系统：系统启动

  • 实时：实时组件已启动

  • IOAV：已启动 IE 下载和 Outlook Express 附件

  • NIS：网络检查系统

  • IEPROTECT：IE - IExtensionValidation;这可以防止恶意网页控件。

  • 提前启动反恶意软件 (ELAM) 。 这包括启动序列检测到的恶意软件。

  • 远程证明

• 反恶意软件扫描接口 (AMSI) 。 主要用于 (PowerShell、VBS) 保护脚本，但第三方也可以调用它。 UAC

• 用户：Domain\User

• 进程名称：PID 中的进程

• 签名版本：定义版本

• 引擎版本：反恶意软件引擎版本

用户作：无需执行任何作。 Microsoft Defender防病毒可以暂停并对此威胁执行例行作。 如果要手动删除威胁，请在“Microsoft Defender防病毒”界面中选择“清理计算机”。

符号名称： MALWAREPROTECTION_STATE_MALWARE_ACTION_TAKEN

消息：反恶意软件平台执行了一项作来保护系统免受恶意软件或其他可能不需要的软件的攻击。

说明：Microsoft Defender防病毒已采取措施保护此计算机免受恶意软件或其他可能不需要的软件的攻击。 有关详细信息，请参阅以下详细信息：

• 名称：威胁名称

• ID：威胁 ID

• 严重性：严重性。 示例：低、中、高或严重

• 类别：类别说明，例如，任何威胁或恶意软件类型。

• 路径：文件路径

• 检测源：检测源。 示例：未知、本地计算机、网络共享、Internet、传入流量或传出流量

• 检测类型：检测类型。 示例：启发式签名、泛型签名、具体签名或动态签名

• 检测源：检测源，例如：

  • 用户：用户已启动

  • 系统：系统启动

  • 实时：实时组件已启动

  • IOAV：已启动 IE 下载和 Outlook Express 附件

  • NIS：网络检查系统

  • IEPROTECT：IE - IExtensionValidation;此源可防止恶意网页控件。

  • 提前启动反恶意软件 (ELAM) 。 这包括启动序列检测到的恶意软件。

  • 远程证明

• 反恶意软件扫描接口 (AMSI) 。 主要用于 (PowerShell、VBS) 保护脚本，但第三方也可以调用它。 UAC

• 用户：Domain\User

• 进程名称：PID 中的进程

• 作：作。 示例：

  • 清理：已清理资源。

  • 隔离：已隔离资源。

  • 删除：资源已删除。

  • 允许：允许资源执行/存在。

  • 用户定义：用户定义的作，通常来自用户指定的此作列表。

  • 无作：无作

  • 阻止：资源被阻止执行。

• 作状态：其他作的说明

• 错误代码：错误代码 与威胁状态关联的结果代码。 Standard HRESULT 值。

• 错误说明：错误说明 错误说明。

• 签名版本：定义版本

• 引擎版本：反恶意软件引擎版本

注意：每当Microsoft Defender防病毒软件、恶意软件删除工具或System Center Endpoint Protection检测到恶意软件时，它就会还原恶意软件可能已更改的以下系统设置和服务：

- Default Internet Explorer or Microsoft Edge setting

- User Access Control settings

- Chrome settings

- Boot Control Data

- Regedit and Task Manager registry settings

- Windows Update, Background Intelligent Transfer Service, and Remote Procedure Call service

- Windows Operating System files

上述上下文适用于以下客户端和服务器版本：

- Operating system: Client Operating System

  Operating system version: Windows Vista (Service Pack 1, or Service Pack 2), Windows 7 and later

- Operating system: Server Operating System

  Operating system version: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, and Windows Server 2016

用户作：无需执行任何作。 Microsoft Defender防病毒删除或隔离了威胁。

符号名称： MALWAREPROTECTION_STATE_MALWARE_ACTION_FAILED

消息：反恶意软件平台尝试执行作来保护系统免受恶意软件或其他可能不需要的软件的攻击，但作失败。

说明：Microsoft Defender防病毒在对恶意软件或其他可能不需要的软件执行作时遇到非关键错误。 有关详细信息，请参阅以下详细信息：

• 名称：威胁名称

• ID：威胁 ID

• 严重性：严重性。 示例：低、中、高或严重

• 类别：类别说明，例如，任何威胁或恶意软件类型。

• 路径：文件路径

• 检测源：检测源。 示例：未知、本地计算机、网络共享、Internet、传入流量或传出流量

• 检测类型：检测类型。 示例：启发式签名、泛型签名、具体签名或动态签名

• 检测源：检测源，例如：

  • 用户：用户已启动

  • 系统：系统启动

  • 实时：实时组件已启动

  • IOAV：已启动 IE 下载和 Outlook Express 附件

  • NIS：网络检查系统

  • IEPROTECT：IE - IExtensionValidation;这可以防止恶意网页控件。

  • 提前启动反恶意软件 (ELAM) 。 这包括启动序列检测到的恶意软件。

  • 远程证明

• 反恶意软件扫描接口 (AMSI) 。 主要用于 (PowerShell、VBS) 保护脚本，但第三方也可以调用它。 UAC

• 用户：Domain\User

• 进程名称：PID 中的进程

• 作：作。 示例：

  • 清理：已清理资源。

  • 隔离：已隔离资源。

  • 删除：资源已删除。

  • 允许：允许资源执行/存在

  • 用户定义：用户定义的作，通常来自用户指定的此作列表。

  • 无作：无作

  • 阻止：阻止资源执行

• 作状态：其他作的说明

• 错误代码：错误代码 与威胁状态关联的结果代码。 Standard HRESULT 值。

• 错误说明：错误说明 错误说明。

• 签名版本：定义版本

• 引擎版本：反恶意软件引擎版本

用户作：无需执行任何作。 Microsoft Defender防病毒未能完成与恶意软件修正相关的任务。 这不是严重故障。

符号名称： MALWAREPROTECTION_STATE_MALWARE_ACTION_CRITICALLY_FAILED

消息：反恶意软件平台尝试对恶意软件或其他可能不需要的软件执行作时遇到严重错误。 事件消息中提供了更多详细信息。

说明：Microsoft Defender防病毒在对恶意软件或其他可能不需要的软件执行作时遇到严重错误。 有关详细信息，请参阅以下详细信息：

• 名称：威胁名称

• ID：威胁 ID

• 严重性：严重性。 示例：低、中、高或严重

• 类别：类别说明，例如，任何威胁或恶意软件类型。

• 路径：文件路径

• 检测源：检测源。 示例：未知、本地计算机、网络共享、Internet、传入流量或传出流量

• 检测类型：检测类型。 示例：启发式签名、泛型签名、具体签名或动态签名

• 检测源：检测源，例如：

  • 用户：用户已启动

  • 系统：系统启动

  • 实时：实时组件已启动

  • IOAV：已启动 IE 下载和 Outlook Express 附件

  • NIS：网络检查系统

  • IEPROTECT：IE - IExtensionValidation;这可以防止恶意网页控件。

  • 提前启动反恶意软件 (ELAM) 。 这包括启动序列检测到的恶意软件

  • 远程证明

• 反恶意软件扫描接口 (AMSI) 。 主要用于 (PowerShell、VBS) 保护脚本，但第三方也可以调用它。 UAC

• 用户：Domain\User

• 进程名称：PID 中的进程

• 作：作。 示例：

  • 清理：已清理资源

  • 隔离：已隔离资源。

  • 删除：资源已删除。

  • 允许：允许资源执行/存在。

  • 用户定义：用户定义的作，通常来自用户指定的此作列表。

  • 无作：无作

  • 阻止：资源被阻止执行。

• 作状态：其他作的说明

• 错误代码：错误代码 与威胁状态关联的结果代码。 Standard HRESULT 值。

• 错误说明：错误说明 错误说明。

• 签名版本：定义版本

• 引擎版本：反恶意软件引擎版本

用户作：Microsoft Defender防病毒客户端由于严重问题而遇到此错误。 终结点可能不受保护。 查看错误说明，然后按照相关的 用户作步骤作 。

• 作：删除用户作：更新定义，然后验证删除是否成功。

• 作：清理用户作：更新定义，然后验证修正是否成功。

• 作：隔离用户作：更新定义并验证用户是否有权访问必要的资源。

• 作：允许用户作：验证用户是否有权访问必要的资源。

如果此事件仍然存在：

• 再次运行扫描。

• 如果以相同的方式失败，请转到Microsoft 支持部门站点，在“搜索”框中输入错误号以查找错误代码。

• 与 Microsoft 技术支持部门联系

符号名称： MALWAREPROTECTION_THREAT_HASH

消息：Microsoft Defender防病毒推断出威胁资源的哈希。

说明：Microsoft Defender防病毒客户端处于正常状态并正常运行。

• 当前平台版本：当前平台版本

• 威胁资源路径：路径

• 哈希：哈希

注意：仅当设置了以下策略时，才会记录此事件：ThreatFileHashLogging unsigned。

消息：在阻止模式下触发攻击面减少规则时的事件。

说明:

• 当前平台版本：当前平台版本

• 威胁资源路径：路径

• 哈希：哈希

符号名称： MALWAREPROTECTION_FOLDER_GUARD_SECTOR_BLOCK

消息：受控文件夹访问 (CFA) 阻止不受信任的进程对内存进行更改。

说明：受控文件夹访问阻止了不受信任的进程可能修改磁盘扇区。 有关事件记录的详细信息，请参阅以下详细信息：

• EventID：EventID。 示例：1127

• 版本：版本。 示例：0

• 级别：级别。 示例：win：警告

• TimeCreated：SystemTime，创建事件的时间。

• EventRecordID：EventRecordID，事件日志中事件的索引号

• Execution ProcessID：Execution ProcessID，生成事件的进程

• 通道：事件通道。 示例：Microsoft-Windows-Windows Defender/Operational

• 计算机：计算机名称

• 安全用户 ID：安全用户 ID

• 产品名称：产品名称。 示例：Microsoft Defender防病毒

• 产品版本：产品版本

• 检测时间：检测时间、CFA 阻止不受信任的进程的时间

• 用户：Domain\User

• 路径：设备名称、不受信任的进程访问进行修改的设备或磁盘的名称

• 进程名称：进程路径，CFA 阻止访问设备或磁盘进行修改的进程路径名称

• 安全智能版本：安全智能版本

• 引擎版本：反恶意软件引擎版本

用户作：用户可以使用 PowerShell 或 Windows 安全中心 Center 将阻止的进程添加到 CFA 的“允许进程”列表。

符号名称： MALWAREPROTECTION_SERVICE_HEALTHY

消息：如果反恶意软件平台向监视平台报告状态，则此事件指示反恶意软件平台正在运行并处于正常状态。

说明：Microsoft Defender防病毒客户端处于正常状态并正常运行。

• 平台版本：当前平台版本

• 签名版本：定义版本

• 引擎版本：反恶意软件引擎版本

用户作：无需执行任何作。 Microsoft Defender防病毒客户端处于正常状态。 此事件每小时报告一次。

符号名称： MALWAREPROTECTION_SERVICE_HEALTH_REPORT

消息：Endpoint Protection 客户端运行状况报告 (UTC)

说明：防病毒客户端运行状况报告。

• 平台版本：当前平台版本

• 引擎版本：反恶意软件引擎版本

• 网络实时检查引擎版本：网络实时检查引擎版本

• 防病毒签名版本：防病毒签名版本

• 反间谍软件签名版本：反间谍软件签名版本

• 网络实时检查签名版本：网络实时检查签名版本

• RTP 状态：实时保护状态 (启用或禁用)

• OA 状态：访问状态 (启用或禁用)

• IOAV 状态：IE 下载和 Outlook Express 附件状态 (启用或禁用)

• BM 状态：行为监视状态 (启用或禁用)

• 防病毒签名期限：防病毒签名期限 (天)

• 反间谍软件签名期限：反间谍软件签名期限 (天)

• 上次快速扫描期限：上次快速扫描期限 (天)

• 上次完全扫描期限：上次完全扫描期限 (天)

• 防病毒签名创建时间：防病毒签名创建时间

• 反间谍软件签名创建时间：反间谍软件签名创建时间

• 上次快速扫描开始时间：上次快速扫描开始时间

• 上次快速扫描结束时间：上次快速扫描结束时间

• 上次快速扫描源：上次快速扫描源 (0 = 扫描未运行，1 = 用户启动，2 = 系统启动)

• 上次完全扫描开始时间：上次完全扫描开始时间

• 上次完全扫描结束时间：上次完全扫描结束时间

• 上次完全扫描源：上次完全扫描源 (0 = 扫描未运行，1 = 用户启动，2 = 系统启动)

• 产品状态：用于内部故障排除

符号名称： MALWAREPROTECTION_SIGNATURE_UPDATED

消息：已成功更新反恶意软件定义。

说明：防病毒签名版本已更新。

• 当前签名版本：当前签名版本

• 以前的签名版本：以前的签名版本

• 签名类型：签名类型。 示例：防病毒、反间谍软件、反恶意软件或网络检查系统

• 更新类型：更新类型，“完整”或“增量”。

• 用户：Domain\User

• 当前引擎版本：当前引擎版本

• 以前的引擎版本：以前的引擎版本

用户作：无需执行任何作。 Microsoft Defender防病毒客户端处于正常状态。 成功更新签名时会报告此事件。

符号名称： MALWAREPROTECTION_SIGNATURE_UPDATE_FAILED

消息：安全智能更新失败。

说明：Microsoft Defender防病毒在尝试更新签名时遇到错误。

• 新安全智能版本：新版本号

• 以前的安全智能版本：以前的版本

• 更新源：更新源。 示例：

  • 安全智能更新文件夹

  • 内部安全智能更新服务器

  • Microsoft更新服务器

  • 文件共享

  • Microsoft 恶意软件防护中心 (MMPC)

• 更新阶段：更新阶段。 示例：搜索、下载或安装

• 源路径：通用命名约定 (UNC) 的文件共享名称，Windows Server Update Services (WSUS) /Microsoft Update/ADL 的服务器名称。

• 签名类型：签名类型。 示例：防病毒、反间谍软件、反恶意软件或网络检查系统

• 更新类型：更新类型，“完整”或“增量”。

• 用户：Domain\User

• 当前引擎版本：当前引擎版本

• 以前的引擎版本：以前的引擎版本

• 错误代码：错误代码 与威胁状态关联的结果代码。 Standard HRESULT 值。

• 错误说明：错误说明 错误说明。

用户作：在更新定义时遇到问题时，会发生此错误。 若要对此事件进行故障排除，请：

• 更新定义 并直接在终结点上强制重新扫描。

• 有关此错误的详细信息，请查看 %Windir%\WindowsUpdate.log 文件中的条目。

• 与 Microsoft 技术支持部门联系

符号名称： MALWAREPROTECTION_ENGINE_UPDATED

消息：反恶意软件引擎更新成功。

说明：Microsoft Defender防病毒引擎版本已更新。

• 当前引擎版本：当前引擎版本

• 以前的引擎版本：以前的引擎版本

• 引擎类型：引擎类型，反恶意软件引擎或网络检查系统引擎。

• 用户：Domain\User

用户作：无需执行任何作。 Microsoft Defender防病毒客户端处于正常状态。 成功更新反恶意软件引擎时，将报告此事件。

符号名称： MALWAREPROTECTION_ENGINE_UPDATE_FAILED

消息：反恶意软件引擎更新失败。

说明：Microsoft Defender防病毒在尝试更新引擎时遇到错误。

• 新引擎版本：

• 以前的引擎版本：以前的引擎版本

• 引擎类型：引擎类型，反恶意软件引擎或网络检查系统引擎。

• 用户：Domain\User

• 错误代码：错误代码 与威胁状态关联的结果代码。 Standard HRESULT 值。

• 错误说明：错误说明 错误说明。

用户作：Microsoft Defender防病毒客户端更新失败。 当客户端无法更新自身时，会发生此事件。 此事件是由于更新期间网络连接中断造成的。 若要对此事件进行故障排除，请：

• 更新定义 并直接在终结点上强制重新扫描。

• 与 Microsoft 技术支持部门联系

符号名称： MALWAREPROTECTION_SIGNATURE_REVERSION

消息：加载反恶意软件定义时出现问题。 反恶意软件引擎尝试加载上一个已知良好的定义集。

说明：Microsoft Defender防病毒在尝试加载签名时遇到错误，并将尝试还原为已知良好的签名集。

• 尝试的签名数：

• 错误代码：错误代码 与威胁状态关联的结果代码。 Standard HRESULT 值。

• 错误说明：错误说明 错误说明。

• 签名版本：定义版本

• 引擎版本：反恶意软件引擎版本

用户作：Microsoft Defender防病毒客户端尝试下载并安装最新的定义文件，但失败。 如果客户端在尝试加载定义时遇到错误，或者文件已损坏，则可能会出现此错误。 Microsoft Defender防病毒尝试还原回到已知良好的定义集。 若要对此事件进行故障排除，请：

• 重新启动计算机，然后重试。

• 从 Microsoft 安全智能 网站下载最新的定义。

  注意：从网站下载的定义文件的大小可能超过 60 MB，不应用作更新定义的长期解决方案。

• 与 Microsoft 技术支持部门联系

符号名称： MALWAREPROTECTION_ENGINE_UPDATE_PLATFORMOUTOFDATE

消息：由于反恶意软件平台已过期，反恶意软件引擎无法加载。 反恶意软件平台加载上一个已知良好的反恶意软件引擎并尝试更新。

说明：Microsoft Defender防病毒无法加载反恶意软件引擎，因为当前平台版本不受支持。 Microsoft Defender防病毒将恢复为上一个已知良好的引擎，并尝试进行平台更新。

• 当前平台版本：当前平台版本

符号名称： MALWAREPROTECTION_PLATFORM_UPDATE_FAILED

消息：平台更新失败。

说明：Microsoft Defender防病毒在尝试更新平台时遇到错误。

• 当前平台版本：当前平台版本

• 错误代码：错误代码 与威胁状态关联的结果代码。 Standard HRESULT 值。

• 错误说明：错误说明 错误说明。

符号名称： MALWAREPROTECTION_PLATFORM_ALMOSTOUTOFDATE

消息：平台即将过期。 下载最新平台以维护最新保护。

说明：Microsoft Defender防病毒将很快需要更新的平台版本来支持反恶意软件引擎的未来版本。 下载最新的 Microsoft Defender 防病毒平台，以保持可用的最佳保护级别。

• 当前平台版本：当前平台版本

符号名称： MALWAREPROTECTION_SIGNATURE_FASTPATH_UPDATED

消息：反恶意软件引擎使用动态签名服务获取其他定义。

说明：Microsoft Defender防病毒使用动态签名服务检索更多签名来帮助保护计算机。

• 当前签名版本：当前签名版本

• 签名类型：签名类型。 示例：防病毒、反间谍软件、反恶意软件或网络检查系统

• 当前引擎版本：当前引擎版本

• 动态签名类型：动态签名类型。 示例：版本、时间戳、无限制或持续时间

• 持久性路径：路径

• 动态签名版本：版本号

• 动态签名编译时间戳：时间戳

• 持久性限制类型：持久性限制类型。 示例：VDM 版本、时间戳或无限制

• 持久性限制：快速路径签名的持久性限制。

符号名称： MALWAREPROTECTION_SIGNATURE_FASTPATH_DELETED

消息：动态签名服务删除了过期的动态定义。

更改为默认行为：更改为动态签名事件报告默认行为。

当 Defender for Endpoint 收到动态签名时，将报告 2010 事件。 但是，当动态签名过期或手动删除时，将报告 2011 事件。 在某些情况下，当新签名传递到 Defender for Endpoint 时，有时数百个动态签名同时过期，导致报告数百个 2011 事件。 生成如此多的 2011 事件可能会导致 SIEM) 服务器 (安全信息和事件管理泛滥。

为了避免这种位置，从 平台版本 4.18.2207.7 开始，默认情况下，Defender for Endpoint 不会报告 2011 年事件。 请记住以下几点：

• 此新的默认行为由以下注册表项控制： HKLM\SOFTWARE\Microsoft\Windows Defender\Reporting\EnableDynamicSignatureDroppedEventReporting
• 的 EnableDynamicSignatureDroppedEventReporting 默认值为 false，这意味着不会报告 2011 事件。 如果设置为 true，则会报告 2011 事件。

由于 2010 签名事件是偶尔及时分发的，因此此配置不会导致峰值，并且 2010 签名事件行为保持不变。

说明：Microsoft Defender防病毒使用动态签名服务放弃过时的签名。

• 当前签名版本：当前签名版本

• 签名类型：签名类型。 示例：防病毒、反间谍软件、反恶意软件或网络检查系统

• 当前引擎版本：当前引擎版本

• 动态签名类型：动态签名类型。 示例：版本、时间戳、无限制或持续时间

• 持久性路径：路径

• 动态签名版本：版本号

• 动态签名编译时间戳：时间戳

• 删除原因：

• 持久性限制类型：持久性限制类型。 示例：VDM 版本、时间戳或无限制

• 持久性限制：快速路径签名的持久性限制。

用户作：无需执行任何作。 Microsoft Defender防病毒客户端处于正常状态。 当动态签名服务成功删除过期的动态定义时，将报告此事件。

符号名称： MALWAREPROTECTION_SIGNATURE_FASTPATH_UPDATE_FAILED

消息：反恶意软件引擎在尝试使用动态签名服务时遇到错误。

说明：Microsoft Defender防病毒在尝试使用动态签名服务时遇到错误。

• 当前签名版本：当前签名版本

• 签名类型：签名类型。 示例：防病毒、反间谍软件、反恶意软件或网络检查系统

• 当前引擎版本：当前引擎版本

• 错误代码：错误代码 与威胁状态关联的结果代码。 Standard HRESULT 值。

• 错误说明：错误说明 错误说明。

• 动态签名类型：动态签名类型。 示例：版本、时间戳、无限制或持续时间

• 持久性路径：路径

• 动态签名版本：版本号

• 动态签名编译时间戳：时间戳

• 持久性限制类型：持久性限制类型。 示例：VDM 版本、时间戳或无限制

• 持久性限制：快速路径签名的持久性限制。

用户作：检查 Internet 连接设置。

符号名称： MALWAREPROTECTION_SIGNATURE_FASTPATH_DELETED_ALL

消息：动态签名服务删除了所有动态定义。

说明：Microsoft Defender防病毒放弃了所有动态签名服务签名。

• 当前签名版本：当前签名版本

符号名称： MALWAREPROTECTION_CLOUD_CLEAN_RESTORE_FILE_DOWNLOADED

消息：反恶意软件引擎下载了一个干净文件。

说明：Microsoft Defender防病毒下载了干净文件。

• 文件名：文件名 文件的名称。

• 当前签名版本：当前签名版本

• 当前引擎版本：当前引擎版本

符号名称： MALWAREPROTECTION_CLOUD_CLEAN_RESTORE_FILE_DOWNLOAD_FAILED

消息：反恶意软件引擎无法下载干净文件。

说明：Microsoft Defender防病毒在尝试下载干净文件时遇到错误。

• 文件名：文件名 文件的名称。

• 当前签名版本：当前签名版本

• 当前引擎版本：当前引擎版本

• 错误代码：错误代码 与威胁状态关联的结果代码。 Standard HRESULT 值。

• 错误说明：错误说明 错误说明。

用户作：检查 Internet 连接设置。 Microsoft Defender防病毒客户端在使用动态签名服务将最新定义下载到特定威胁时遇到错误。 此错误可能是由网络连接问题引起的。

符号名称： MALWAREPROTECTION_OFFLINE_SCAN_INSTALLED

消息：反恶意软件引擎已下载，并配置为在下一次系统重启时脱机运行。

说明：Microsoft Defender防病毒下载并配置了脱机防病毒，以在下次重新启动时运行。

符号名称： MALWAREPROTECTION_OFFLINE_SCAN_INSTALL_FAILED

消息：反恶意软件引擎无法下载和配置脱机扫描。

说明：Microsoft Defender防病毒在尝试下载和配置脱机防病毒时遇到错误。

• 错误代码：错误代码 与威胁状态关联的结果代码。 Standard HRESULT 值。

• 错误说明：错误说明 错误说明。

符号名称： MALWAREPROTECTION_OS_EXPIRING

消息：此作系统版本的反恶意软件支持即将结束。

说明：对作系统的支持即将到期。 在不支持的作系统上运行Microsoft Defender防病毒并不是防范威胁的充分解决方案。

符号名称： MALWAREPROTECTION_OS_EOL

消息：此作系统的反恶意软件支持已结束。 必须升级作系统才能继续获得支持。

说明：对作系统的支持已过期。 在不支持的作系统上运行Microsoft Defender防病毒并不是防范威胁的充分解决方案。

符号名称： MALWAREPROTECTION_PROTECTION_EOL

消息：反恶意软件引擎不再支持此作系统，并且不再保护系统免受恶意软件的侵害。

说明：对作系统的支持已过期。 Microsoft Defender防病毒在作系统上不再受支持，已停止运行，并且无法防范恶意软件威胁。

符号名称： MALWAREPROTECTION_RTP_FEATURE_FAILURE

消息：实时保护遇到错误并失败。

说明：Microsoft Defender防病毒 Real-Time 保护功能遇到错误并失败。

• 功能：功能。 示例：访问时、Internet Explorer 下载和Microsoft Outlook Express 附件、行为监视或网络检查系统。

• 错误代码：错误代码 与威胁状态关联的结果代码。 Standard HRESULT 值。

• 错误说明：错误说明 错误说明。

• 原因：防病毒实时保护Microsoft Defender重启功能的原因。

用户作：应重启系统，然后运行完全扫描，因为系统可能在一段时间内未受到保护。 Microsoft Defender防病毒客户端的实时保护功能遇到错误，因为其中一个服务无法启动。 如果后跟 3007 事件 ID，则故障是暂时的，并且反恶意软件客户端从故障中恢复。

符号名称： MALWAREPROTECTION_RTP_FEATURE_RECOVERED

消息：从故障中恢复的实时保护。 建议在看到此错误时运行完整的系统扫描。

说明：Microsoft Defender防病毒实时保护重启了一项功能。 建议运行完整的系统扫描，以检测此代理关闭时可能错过的任何项目。

• 功能：功能。 示例：访问、IE 下载和 Outlook Express 附件、行为监视或网络检查系统

• 原因：防病毒实时保护Microsoft Defender重启功能的原因。

用户作：实时保护功能已重启。 如果再次发生此事件，请联系 Microsoft技术支持。

符号名称： MALWAREPROTECTION_RTP_ENABLED

消息：已启用实时保护。

说明：Microsoft Defender启用了针对恶意软件和其他可能不需要的软件的防病毒实时保护扫描。

符号名称： MALWAREPROTECTION_RTP_DISABLED

消息：实时保护已禁用。

说明：Microsoft Defender禁用了针对恶意软件和其他可能不需要的软件的防病毒实时保护扫描。

符号名称： MALWAREPROTECTION_RTP_FEATURE_CONFIGURED

消息：实时保护配置已更改。

说明：Microsoft Defender防病毒实时保护功能配置已更改。

• 功能：功能。 示例：访问、IE 下载和 Outlook Express 附件、行为监视或网络检查系统
• 配置：

符号名称： MALWAREPROTECTION_CONFIG_CHANGED

消息：反恶意软件平台配置已更改。

说明：Microsoft Defender防病毒配置已更改。 如果此事件是意外的，则应查看设置，因为该事件可能是恶意软件的结果。

• 旧值：旧值编号旧防病毒配置值。

• 新值：新值编号 新防病毒配置值。

符号名称： MALWAREPROTECTION_ENGINE_FAILURE

消息：反恶意软件引擎遇到错误并失败。

说明：Microsoft Defender防病毒引擎因意外错误而终止。

• 失败类型：失败类型。 示例：崩溃或挂起

• 异常代码：错误代码

• 资源：资源

用户作：若要对此事件进行故障排除，请执行以下作：

• 尝试重启服务。

  • 对于反恶意软件、防病毒和间谍软件，请在提升的命令提示符下键入 net stop msmpsvc，然后键入 net start msmpsvc 以重启反恶意软件引擎。

  • 对于 网络检查系统，在提升的命令提示符下，键入 net start nissrv，然后使用 NiSSRV.exe 文件键入 net start nissrv 以重启 网络检查系统 引擎。

• 如果以相同的方式失败，请通过访问Microsoft 支持部门站点并在“搜索”框中输入错误号来查找错误代码，并联系Microsoft技术支持。

用户作：Microsoft Defender防病毒客户端引擎因意外错误而停止。 若要对此事件进行故障排除，请：

• 再次运行扫描。

• 如果以相同的方式失败，请转到Microsoft 支持部门站点，在“搜索”框中输入错误号以查找错误代码。

• 与 Microsoft 技术支持部门联系

符号名称： MALWAREPROTECTION_ANTISPYWARE_ENABLED

消息：已启用扫描恶意软件和其他可能不需要的软件。

说明：Microsoft Defender启用防病毒扫描的恶意软件和其他可能不需要的软件。

符号名称： MALWAREPROTECTION_ANTISPYWARE_DISABLED

消息：禁用扫描恶意软件和其他可能不需要的软件。

说明：Microsoft Defender禁用恶意软件和其他可能不需要的软件的防病毒扫描。

符号名称： MALWAREPROTECTION_ANTIVIRUS_ENABLED

消息：已启用病毒扫描。

说明：Microsoft Defender病毒启用防病毒扫描。

符号名称： MALWAREPROTECTION_ANTIVIRUS_DISABLED

消息：已禁用病毒扫描。

说明：已禁用病毒的防病毒扫描Microsoft Defender。

符号名称： MALWAREPROTECTION_SCAN_CANCELLED

消息：篡改防护阻止了对 Microsoft Defender 防病毒的更改。

说明：如果启用了篡改保护，则会阻止任何更改 Defender 设置的尝试。 生成事件 ID 5013，并指出已阻止设置更改。

符号名称： MALWAREPROTECTION_EXPIRATION_WARNING_STATE

消息：反恶意软件平台即将过期。

说明：Microsoft Defender防病毒进入宽限期，即将过期。 过期后，此程序将禁用针对病毒、间谍软件和其他可能不需要的软件的保护。

• 过期原因：防病毒Microsoft Defender过期的原因。

• 到期日期：防病毒Microsoft Defender到期日期。

符号名称： MALWAREPROTECTION_DISABLED_EXPIRED_STATE

消息：反恶意软件平台已过期。

说明：Microsoft Defender防病毒宽限期已过期。 已禁用针对病毒、间谍软件和其他可能不需要的软件的防护。

• 错误代码：错误代码 与威胁状态关联的结果代码。 Standard HRESULT 值。

• 错误说明：错误说明 错误说明。

如果Microsoft Defender防病毒遇到任何问题，通常会提供错误代码来帮助你排查问题。 大多数情况下，错误意味着安装更新时出现问题。 本部分提供有关Microsoft Defender防病毒客户端错误的以下信息。

• 错误代码

• 错误的可能原因

• 关于现在做什么的建议

使用以下信息来帮助排查Microsoft Defender防病毒错误代码。

消息： ERR_MP_NO_MEMORY

可能的原因：此错误表示内存可能已用完。

解决方案：

• 检查设备上的可用内存。

• 关闭正在运行以释放设备上的内存的任何未使用的应用程序。

• 重启设备并再次运行扫描。

消息： ERR_MP_BAD_INPUT_DATA

可能的原因：此错误表示安全产品可能存在问题。

解决方案：

• 更新定义。 也：

  • 在 Windows 安全中心 应用中获取安全智能更新。

    ，

  • 从 Microsoft 安全智能 网站下载最新的定义。

  [!注意] 从站点下载的定义文件的大小可能超过 60 MB，不应用作更新定义的长期解决方案。

• 运行完全扫描。

• 重启设备，然后重试。

消息： ERR_MP_BAD_CONFIGURATION

可能的原因：此错误表示可能存在引擎配置错误。 通常，此错误与不允许引擎正常运行的输入数据相关。

消息： ERR_MP_QUARANTINE_FAILED

可能的原因：此错误指示Microsoft Defender防病毒无法隔离威胁。

消息： ERR_MP_REBOOT_REQUIRED

可能的原因：此错误表示需要重新启动才能完成威胁删除。

消息： ERR_MP_THREAT_NOT_FOUND

可能的原因：此错误表示媒体上可能不再存在威胁，或者恶意软件可能阻止你扫描设备。

解决方法：运行Microsoft 安全扫描程序然后更新安全软件，然后重试。

消息： ERR_MP_FULL_SCAN_REQUIRED

可能的原因：此错误指示可能需要进行完整的系统扫描。

解决方法：运行完整系统扫描。

消息： ERR_MP_MANUAL_STEPS_REQUIRED

可能的原因：此错误表示需要手动步骤才能完成威胁删除。

解决方法：按照 Microsoft恶意软件防护百科全书中所述的手动修正步骤进行作。 可以在事件历史记录中找到特定于威胁的链接。

消息： ERR_MP_REMOVE_NOT_SUPPORTED

可能的原因：此错误表示可能不支持在容器类型内删除。

解决方法：Microsoft Defender防病毒无法修正存档中检测到的威胁。 请考虑手动删除检测到的资源。

消息： ERR_MP_REMOVE_LOW_MEDIUM_DISABLED

可能的原因：此错误指示可能已禁用删除低威胁和中等威胁。

解决方法：检查检测到的威胁并根据需要解决它们。

消息： ERROR_MP_RESCAN_REQUIRED

可能的原因：此错误表示需要重新扫描威胁。

解决方法：运行完整系统扫描。

消息： ERROR_MP_CALLISTO_REQUIRED

可能的原因：此错误指示需要脱机扫描。

解决方法：Microsoft Defender防病毒脱机运行。 有关详细信息，请参阅使用脱机Microsoft Defender帮助保护我的电脑。

消息： ERROR_MP_PLATFORM_OUTDATED

可能的原因：此错误指示Microsoft Defender防病毒不支持当前版本的平台，并且需要新版本的平台。

解决方法：只能在 Windows 10 和 Windows 11 中使用 Microsoft Defender 防病毒。 对于 Windows 8、Windows 7 和 Windows Vista，可以使用 System Center Endpoint Protection。

在内部测试Microsoft Defender防病毒期间使用以下错误代码。

如果看到这些错误，可以尝试更新定义，并直接在终结点上强制重新扫描。

显示的消息： ERROR_MP_NO_INTERNET_CONN

错误和解决方法的可能原因：检查 Internet 连接，然后再次运行扫描。

显示的消息： ERROR_MP_UI_CONSOLIDATION_BASE

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

显示的消息： ERROR_MP_ACTIONS_FAILED

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

显示的消息： ERROR_MP_NOENGINE

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

显示的消息： ERROR_MP_ACTIVE_THREATS

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

显示的消息： MP_ERROR_CODE_LUA_CANCELLED

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

显示的消息： ERROR_LUA_CANCELLATION

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

显示的消息： MP_ERROR_CODE_ALREADY_SHUTDOWN

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

显示的消息： MP_ERROR_CODE_RDEVICE_S_ASYNC_CALL_PENDING

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

显示的消息： MP_ERROR_CODE_CANCELLED

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

显示的消息： MP_ERROR_CODE_NO_TARGETOS

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

显示的消息： MP_ERROR_CODE_BAD_REGEXP

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

显示的消息： MP_ERROR_TEST_INDUCED_ERROR

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

显示的消息： MP_ERROR_SIG_BACKUP_DISABLED

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

显示的消息： ERR_MP_BAD_INIT_MODULES

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

显示的消息： ERR_MP_BAD_DATABASE

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

显示的消息： ERR_MP_BAD_UFS

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

显示的消息： ERR_MP_BAD_INPUT_DATA

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

显示的消息： ERR_MP_BAD_GLOBAL_STORAGE

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

显示的消息： ERR_MP_OBSOLETE

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

显示的消息： ERR_MP_NOT_SUPPORTED

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

显示的消息： ERR_MP_NO_MORE_ITEMS

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

显示的消息： ERR_MP_NO_MORE_ITEMS

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

显示的消息： ERR_MP_DUPLICATE_SCANID

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

显示的消息： ERR_MP_BAD_SCANID

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

显示的消息： ERR_MP_BAD_USERDB_VERSION

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

显示的消息： ERR_MP_RESTORE_FAILED

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

显示的消息： ERR_MP_BAD_ACTION

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

显示的消息： ERR_MP_NOT_FOUND

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

显示的消息： ERR_RELO_BAD_EHANDLE

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

显示的消息： ERR_RELO_KERNEL_NOT_LOADED

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

显示的消息： ERR_MP_BADDB_OPEN

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

显示的消息： ERR_MP_BADDB_HEADER

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

显示的消息： ERR_MP_BADDB_OLDENGINE

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

显示的消息： ERR_MP_BADDB_CONTENT

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

显示的消息： ERR_MP_BADDB_NOTSIGNED

错误和解决方法的可能原因：此错误是内部的。 原因没有明确定义。

显示的消息： ERR_MP_REMOVE_FAILED

错误和解决方法的可能原因：此错误是内部的。 当恶意软件删除不成功时，可能会触发它。

显示的消息： ERR_MP_SCAN_ABORTED

错误和解决方法的可能原因：此错误是内部的。 扫描失败时，它可能已触发。