Нажмите "Enter", чтобы перейти к содержанию

Журнал защитника windows 10: Журнал защиты

Содержание

Журнал защиты

На странице Журнал защиты в приложении для обеспечения безопасности Windows вы можете перейти к действиям по просмотру антивирусной программы защитника Майкрософт от вашего имени, потенциально нежелательных приложений , которые были удалены, или о том, что отключены ключевые службы.

Примечание: История защиты сохраняет события только в течение двух недель, после чего они исчезнут с этой страницы.

События отображаются как серии карточек в истории защиты. Если вам нужно ваше внимание на карточке, вы увидите один из двух цветных значков на значке карточки.

  • Красный — это серьезный элемент, который требует немедленного внимания.

  • Желтый — этот элемент не является срочным, но его следует проверять по возможности.

Щелкнув карточку, вы можете развернуть ее и получить дополнительные сведения. Ниже приведены некоторые наиболее распространенные записи, которые могут быть видны.

Оповещения о вредоносных программах

Если антивирусная программа Microsoft Defender обнаруживает часть вредоносных программ, она будет записана в журнал защиты.

Обнаружена угроза безопасности: требуется действие

Это говорит о том, что в антивирусной программе Microsoft Defender обнаружена возможная угроза, и вам нужно принять решение о том, как ее обрабатывать. Если выбрать раскрывающийся список действия в правом нижнем углу, вы можете подать ему возможность помещать его в карантин, а также в случае уверенности в том, что этот элемент был ложным, как угроза, которую можно

Разрешить на устройстве.

Внимание: Если вы не уверены в том, что элемент является надежным или вы не знаете, как это сделать, лучше всего выбрать пункт Карантин. Если выбрать Разрешить на устройстве , файл будет продолжен и, если это действительно угроза, ваши данные. личные данные или устройство теперь могут быть подвержены риску.

Если вы выберете вариант Разрешить и позже хотите отменить это действие, перейдите на страницу Разрешенные угрозы и вы можете удалить ее из списка разрешенных. 

Угроза в карантине

Это свидетельствует о том, что угроза заблокирована и помещена в карантин. Оно еще не удалено, но не может представлять опасность для ваших данных или устройств. Существует два действия , которые можно выполнить.

  • Удаление — удаляет угрозу с устройства.

  • Restore (восстановление ) — этот файл снова помещается на устройство, и защитник снова обнаружит его как угрозу и создаст новую угрозу — элемент требуется действие в истории защиты. Если вы уверены, что idem безопасно, вам нужно будет перейти на него и выбрать вариант Разрешить на устройстве .

Угроза заблокирована

Это означает, что защитник заблокировал и удалил угрозу на вашем устройстве. На вашем веб-этапе никаких действий не требуется, но вы можете решить, как она достигают вашего компьютера, чтобы снизить риск повторения ошибки. Наиболее распространенные способы получения угрозы включают в себя небезопасное вложение в сообщение электронной почты, которое можно загрузить с небезопасного веб-сайта или с помощью зараженного устройства USB Storage.

Если вы считаете, что это «ложный», и что файл безопасен, вы можете выбрать действия и нажать кнопку Разрешить. Эта угроза уже удалена, поэтому она доступна только при следующем просмотре этого файла. Если вы хотите использовать его, вам потребуется скачать файл заново.

Исправление не завершено

Это говорит о том, что антивирусная программа Microsoft Defender выполнила шаги по устранению угрозы, но не может успешно завершить эту чистку. Выберите карточку, чтобы развернуть ее, и просмотрите дополнительные действия, которые необходимо выполнить.

Потенциально нежелательные приложения (к)

Нежелательные приложения — это категория программного обеспечения, которая может вызвать медленное выполнение вашего компьютера, отобразить неожиданные баннеры или, в худшем случае, установить другое программное обеспечение, которое может быть более опасным или ненавязчивым. Она не передается на уровень вредоносных программ, но она по-прежнему делает все, что вы, возможно, не сделаете.

Если вы хотите убедиться, что для вашего устройства включена функция блокировки к, ознакомьтесь со статьей защита компьютера от потенциально нежелательных приложений.

Это приложение заблокировано

SmartScreen защитника Майкрософт может блокировать потенциально нежелательные приложения до их установки, и если это случится, вы увидите в журнале защиты событие «заблокировано». 

Если вы считаете, что блок был ошибочным и вы хотите разрешить выполнение этого файла, вы можете выбрать действия, а затем Разрешить. На этом этапе вам потребуется загрузить файл, чтобы использовать его.

Если вы выберете вариант Разрешить и позже хотите отменить это действие, перейдите на страницу Разрешенные угрозы и вы можете удалить ее из списка разрешенных. 

Важная служба отключена

Журнал защиты также может уведомлять вас о том, что при отключении важной службы, например SmartScreen для Microsoft Edge. Выберите карточку для этого оповещения и в разделе действия , на которые можно включить эту функцию.

Дополнительные сведения

Рекомендации по защите от вирусов

Как вредоносные программы могут заразить свое устройство

Очистить журнал защиты в Защитнике Windows в Windows 10 с помощью средства просмотра событий

Защитник Windows — это антивирусная защита для Windows 10, которая встроена в ОС. Он предлагает защиту в реальном времени для вашего ПК с Windows 10, защищая его от любых вирусов, вредоносных программ или шпионского ПО, которые могут атаковать любые ваши часто используемые программы, такие как электронная почта, Интернет, облако или любые другие приложения.

Каждый раз, когда Защитник Windows запускает сканирование на вашем компьютере, он автоматически сохраняет журнал защиты. Если вы хотите очистить историю защиты, вы можете использовать метод ниже.



Как очистить историю защиты в Защитнике Windows в Windows 10 с помощью средства просмотра событий

Способ 1

1. Нажмите Клавиша Windows + X вместе с клавиатуры и нажмите File explorer, чтобы открыть файловый менеджер.


2. Зайдите внутрь C : Папка, обычно в которой установлена ​​ваша ОС Windows.


3. Щелкните на Вид и убедитесь, что скрытые предметы проверено.

4. Теперь вы увидите скрытую папку. Данные программы. Нажмите здесь.


Теперь иди внутрь: —

  • Microsoft
  • Защитник Windows
  • Сканы
  • История
  • Служба

5. Теперь, Удалить все файлы внутри него.


Вот и все, и ваша проблема будет решена.

Способ 2

Шаг 1: Нажать на Начинать кнопку, в поле поиска введите Просмотрщик событий , и ударил Войти , чтобы открыть окно просмотра событий.


Шаг 2: Под Средство просмотра событий (локальное) в левой части панели разверните Журналы приложений и служб вариант. Под этим разверните Microsoft вариант и нажмите на Окна . Он откроет список всех своих файлов в правой части панели.


Шаг 3: Прокрутите вниз, найдите Защитник Windows из списка файлов щелкните его правой кнопкой мыши и выберите Открыть .


Шаг 4: Из двух вариантов щелкните правой кнопкой мыши на Оперативный и нажмите Открыть .

Шаг 5: Он откроет все прошлые журналы. Далее перейдите к Защитник Windows папку на левой панели, щелкните правой кнопкой мыши Оперативный . Нажмите на Очистить журнал в меню.

Шаг 6: Откроется окно с тремя вариантами. Выбирать Прозрачный или же Сохранить и очистить в зависимости от ваших требований, и вы закончили очистку журнала защиты в Защитнике Windows.

Рекомендуется для вас:
  1. Как очистить все журналы событий в Windows 10
  2. Как включить защиту от программ-вымогателей в Windows 10
  3. Исправлено — Не удается очистить историю временной шкалы в Windows 10.
  4. Как включить / выключить защиту от изменений в Windows 10
  5. Как ограничить использование ЦП Защитником Windows в Windows 10
  6. Как удалить историю поиска Кортаны в Windows 10?

Как очистить журнал защиты Защитника Windows в Windows 10

Удалить историю защиты Защитника Windows

Это указывает количество дней, в течение которых элементы хранятся в папке журнала сканирования. По истечении этого времени Защитник Windows удаляет элементы.

Если вы укажете нулевое значение, Защитник Windows не будет удалять элементы.

Если вы не укажете значение, Защитник Windows удалит элементы из папки журнала сканирования по умолчанию, то есть за 30 дней.

Однако, если вы хотите очистить журнал защиты вручную, вы можете сделать это одним из трех следующих способов;

  1. Использование командлета PowerShell Set-MpPreference
  2. Удалить папку службы Защитника Windows с локального диска
  3. Использование средства просмотра событий

Давайте посмотрим на шаги, связанные с каждым из перечисленных методов.

1. Использование командлета PowerShell Set-MpPreference

Set-MpPreference  командлета конфигурирует настройки для Windows Defender сканирует и обновления. Вы можете изменить расширения имен файлов исключений, пути или процессы, а также указать действие по умолчанию для высокого, среднего и низкого уровней угрозы.

Вы можете указать другой период задержки (в днях), запустив приведенный ниже командлет в режиме администратора PowerShell (нажмите Win + X, а затем нажмите A на клавиатуре):

Set-MpPreference -ScanPurgeItemsAfterDelay 1

Указанное число 1 — это количество дней, по истечении которых журнал истории защиты и элементы в папке журнала будут очищены.

2.Удалите папку службы Защитника Windows с локального диска.

Чтобы вручную очистить журнал защиты, этот метод требует, чтобы вы удалили папку Service в папке Защитника Windows на локальном диске.

Вот как:

  • Нажмите клавишу Win + R, чтобы вызвать диалоговое окно «Выполнить».
  • В диалоговом окне «Выполнить» скопируйте и вставьте путь, указанный ниже, и нажмите Enter (при появлении запроса нажмите « Продолжить» ).
C: \ ProgramData \ Microsoft \ Защитник Windows \ Scans \ History
  • Теперь кликните правой кнопкой мыши папку Service в этом месте и выберите Удалить.

Вы можете выйти из проводника.

  • Затем откройте Безопасность Windows > Защита от вирусов и угроз > Управление настройками.
  • Переключите кнопку в положение «Выкл». А затем снова в положение « Вкл.» Для защиты в реальном времени и защиты с помощью  облака.
3.Использование средства просмотра событий

Чтобы вручную очистить журнал защиты Защитника Windows с помощью средства просмотра событий (eventvwr), выполните следующие действия:

Как удалить Журнал Защиты Безопасности Windows. G-ek.com

Защитник Windows ведет журнал заблокированных угроз. Вы можете просмотреть заблокированные элементы или обнаруженные угрозы в журнале защиты. Элементы, перечисленные там, будут оставаться в журнале, даже если они были помечены для удаления или помещены в карантин. Это вызывает нежелательный эффект: значок Защитника Windows на панели задач будет отображаться с красной отметкой или желтым восклицательным знаком. Чтобы избавиться от предупреждающих знаков, нужно очистить журнал защиты.

В Windows 10 и Windows 11 невозможно очистить историю журнала защитника используя интерфейс «Безопасность Windows», кнопка «

Очистить журнал» отсутствует, информация обнаружения вредоносных программ или ложных срабатываний хранится в журнале.

Защитник Windows хранит историю обнаруженных угроз в течение 30 дней, однако этот период может быть сокращен или продлен. Если журнал показывает угрозы, которые старше тридцати дней, вы можете изменить срок хранения или просто удалить все. Мы подробно рассмотрим оба способа, и вам решать, что вам больше подходит.

Как удалить, очистить «Журнал Защиты» Безопасности Windows

Если вам не хочется ждать, пока журнал защитника Windows 11, 10 будет очищен автоматически через 30 дней, вы можете удалить все записи вручную. Для этого вам понадобятся права администратора.

Шаг 1: Откройте проводник.

Шаг 2: Перейдите в следующую папку.


C:\ProgramData\Microsoft\Windows Defender\Scans\History

Шаг 2: Здесь вы найдете папку под названием

«Service». Удалите ее, или ее содержимое.

Откройте Защитник Windows, и история защиты будет очищена. Значок на панели задач Защитника Windows больше не будет иметь желтый или красный знак.

Как изменить срок хранения «Журнала Защиты» и очистить его  – с помощью Powershell.

Чтобы изменить срок хранения элемента в журнале службы «Безопасность Windows», выполните следующие действия.

Шаг 1: Откройте Powershell от имени администратора (см. как).

Шаг 2: Введите или скопируйте и вставьте командлет который, получает настройки для сканирования и обновлений Защитника Windows:


Get-MpPreference

Чтобы изменить время очистки журнала, используйте связанный элемент — «ScanPurgeItemsAfterDelay» по умолчанию имеет значение 15 (то есть 15 дней).

Шаг 3: Чтобы изменить его, введите в нужное количество дней хранения журнала:


Set-MpPreference -ScanPurgeItemsAfterDelay 
Х

Где Х это количество дней, после которого журнал будет удален, в моем случае — 3 дня. Теперь журнал защитника Windows будет хранится всего три дня, после чего будет автоматически очищен.

Все! Надеюсь, информация пригодится.

Рекомендуем:  Как исправить, Защитник Windows: Некоторыми параметрами управляет ваша организация.


Как принудительно очистить журнал Windows Defender и избавиться от предупреждающих значков на иконке Защитника

Подобно другим антивирусам, встроенный Защитник Windows ведет историю обнаруженных угроз, просмотреть которую можно в журнале защиты. Эти записи будут отображаться в журнале, даже если опасный файл обезврежен и помещен в карантин, что может вызвать своеобразный побочный эффект, проявляющийся наличием красного или желтого значка на иконке Защитника в системном лотке. в Windows 10 2004 разработчики вроде бы должны были решить эту проблему.

Но, судя по отзывам пользователей, сталкиваться с ней приходится и в последней стабильной версии системы.

Чтобы избавиться от этих предупреждающих о несуществующей уже угрозе значков, нужно очистить журнал Windows Defender. В сборках до релиза 1903 сделать это можно было через интерфейс управления безопасностью Windows, в более поздних сборках системы кнопка очистки журнала отсутствует. Данные журнала удаляются автоматически по истечении 30-и дней, но вы можете сократить этот период или просто удалить их принудительно.

Изменение срока хранения Журнала Защитника

Для изменения срока хранения записей в журнале Защитника Windows 10 мы предлагаем использовать консоль PowerShell.

Запустив ее от имени администратора, выполните в ней команду Get-MpPreference и найдите в полученном списке параметр ScanPurgeItemsAfterDelay.

В Windows 10 2004 его значение равняется 15, то есть данные журнала хранятся 15 дней. Чтобы сократить этот срок, скажем, до двух дней, выполните в PowerShell такую команду:

Set-MpPreference -ScanPurgeItemsAfterDelay 2

Принудительная очистка Журнала Защитника

Если вы хотите очистить журнал прямо сейчас, выполните следующие действия.

Перейдите в Проводнике в папку C:\ProgramData\Microsoft\Windows Defender\Scans, а затем зайдите в расположенную в ней папку History, подтвердив вход с правами администратора.

В свою очередь, в ней найдите папку Service и удалите ее.

Вместе с ней будет удалена и история действий Windows Defender.

Должен исчезнуть и значок предупреждения на иконке Защитника. Однако, если у вас не настроены базовые функции безопасности, желтый значок предупреждения будет отображаться независимо от того, имеются в журнале записи или нет.

Как очистить журнал защиты Защитника Windows в Windows 10

На странице «Журнал защиты» показаны обнаруженные Защитником Windows подробные и понятные сведения об угрозах и доступных действиях. Начиная со сборки 18305, она включает блоки контролируемого доступа к папкам, а также любые блоки, созданные с помощью организационной конфигурации правил уменьшения поверхности атаки. В этом посте мы покажем вам, как вручную очистить историю защиты в Защитнике Windows в Windows 10.

Если вы используете инструмент автономного сканирования Защитника Windows, любые обнаруженные им ошибки теперь также будут отображаться в этой истории. Кроме того, в списке истории вы увидите все ожидающие выполнения рекомендации (красные или желтые состояния по всему приложению).

Удалить историю защиты Защитника Windows

Это указывает количество дней, в течение которых элементы хранятся в папке журнала сканирования. По истечении этого времени Защитник Windows удаляет элементы. Если вы укажете нулевое значение, Защитник Windows не будет удалять элементы. Если вы не укажете значение, Защитник Windows удалит элементы из папки журнала сканирования по умолчанию, то есть за 30 дней.

Однако, если вы хотите очистить журнал защиты вручную, вы можете сделать это одним из трех следующих способов;

  1. Использование командлета PowerShell Set-MpPreference
  2. Удалить папку службы Защитника Windows с локального диска
  3. Использование средства просмотра событий

Давайте посмотрим на шаги, связанные с каждым из перечисленных методов.

1]Использование командлета PowerShell Set-MpPreference

Командлет Set-MpPreference настраивает параметры сканирования и обновлений Защитника Windows. Вы можете изменить расширения имен файлов исключений, пути или процессы, а также указать действие по умолчанию для высокого, среднего и низкого уровней угрозы.

Вы можете указать другой период задержки (в днях), запустив приведенный ниже командлет в режиме администратора PowerShell (нажмите Win + X, а затем нажмите A на клавиатуре):

Set-MpPreference -ScanPurgeItemsAfterDelay 1

Указанное число 1 — это количество дней, по истечении которых журнал истории защиты и элементы в папке журнала будут очищены.

2]Удалите папку службы Защитника Windows с локального диска.

Чтобы вручную очистить журнал защиты, этот метод требует, чтобы вы удалили папку Service в папке Защитника Windows на локальном диске.

Вот как:

  • Нажмите клавишу Windows + R, чтобы вызвать диалоговое окно «Выполнить».
  • В диалоговом окне «Выполнить» скопируйте и вставьте путь, указанный ниже, и нажмите Enter (при появлении запроса нажмите «Продолжить»).

C: ProgramData Microsoft Защитник Windows Scans History

  • Теперь щелкните правой кнопкой мыши папку Service в этом месте и выберите Удалить.

Вы можете выйти из проводника.

  • Затем откройте Безопасность Windows> Защита от вирусов и угроз> Управление настройками.
  • Переключите кнопку в положение «Выкл.», А затем снова в положение «Вкл.» Для защиты в реальном времени и защиты с помощью облака.

3]Использование средства просмотра событий

Чтобы вручную очистить журнал защиты Защитника Windows с помощью средства просмотра событий (eventvwr), выполните следующие действия:

  • Нажмите клавишу Windows + R, чтобы вызвать диалоговое окно «Выполнить».
  • В диалоговом окне «Выполнить» введите событие и нажмите Enter, чтобы открыть средство просмотра событий.
  • В разделе «Средство просмотра событий (локальное)» в левой части панели разверните параметр «Журналы приложений и служб».
  • Под этим разверните опцию Microsoft.
  • Щелкните Windows, чтобы открыть список всех файлов на средней панели.
  • На средней панели прокрутите вниз, чтобы найти Защитник Windows в списке файлов.
  • Щелкните правой кнопкой мыши Защитник Windowsи нажмите «Открыть».
  • Из двух опций на средней панели щелкните правой кнопкой мыши на Operational и выберите Open, чтобы просмотреть все прошлые журналы.
  • Теперь в папке Защитника Windows на левой панели щелкните правой кнопкой мыши Operational.
  • Щелкните Очистить журнал… в меню.
  • Выберите Очистить или Сохранить и очистить в зависимости от ваших требований, чтобы очистить журнал защиты.

Выше перечислены 3 известных способа вручную очистить историю защиты Защитника Windows в Windows 10.

.

Как вручную очистить историю защиты Защитника Windows в Windows 10

Краткое содержание

Обновлено March 2022: перестаньте получать сообщения об ошибках и замедлите работу вашей системы с помощью нашего инструмента оптимизации. Получить сейчас в эту ссылку

  1. Скачайте и установите инструмент для ремонта здесь.
  2. Пусть он просканирует ваш компьютер.
  3. Затем инструмент почини свой компьютер.

Защитник Windows — это антивирусная защита для Windows 10, интегрированная в операционную систему. Он обеспечивает защиту вашего ПК с Windows 10 в режиме реального времени, защищая его от вирусов, вредоносного или шпионского ПО, которое может атаковать часто используемые программы, такие как электронная почта, Интернет, облако и другие приложения.

Каждый раз, когда Защитник Windows сканирует ваш компьютер, он автоматически сохраняет историю защиты. Если вы хотите вручную удалить историю защиты, вы можете использовать метод ниже.

Удаление вручную журнала защиты из Защитника Windows в Windows 10

После появления Defender для Windows обнаруживает угрозу, вы получаете всплывающее окно и новое уведомление.

  • Вы можете щелкнуть всплывающее окно или, если вы его пропустили, щелкнуть Уведомления в правом нижнем углу.
  • Откроется окно с именем файла и деталями.
  • Если вы не уверены, какой файл вы загрузили, всегда забудьте его. Жизнь продолжается.
  • Но если вы знаете, что это ложное срабатывание, вы можете отпустить файл.
  • Прокрутите список до конца деталей и найдите раскрывающийся список действий. Щелкните по нему и щелкните Разрешить.

Обновление за март 2022 года:

Теперь вы можете предотвратить проблемы с ПК с помощью этого инструмента, например, защитить вас от потери файлов и вредоносных программ. Кроме того, это отличный способ оптимизировать ваш компьютер для достижения максимальной производительности. Программа с легкостью исправляет типичные ошибки, которые могут возникнуть в системах Windows — нет необходимости часами искать и устранять неполадки, если у вас под рукой есть идеальное решение:

  • Шаг 1: Скачать PC Repair & Optimizer Tool (Windows 10, 8, 7, XP, Vista — Microsoft Gold Certified).
  • Шаг 2: Нажмите «Начать сканирование”, Чтобы найти проблемы реестра Windows, которые могут вызывать проблемы с ПК.
  • Шаг 3: Нажмите «Починить все», Чтобы исправить все проблемы.

  • Помните, что как только вы авторизуете файл, вам нужно будет снова загрузить его.
  • Кроме того, этот файл теперь находится в постоянном белом списке. Однако вы по-прежнему можете управлять своими угрозами, авторизованными Защитником Windows.
  • Щелкните значок безопасности Windows в правом нижнем углу. Щелкните Защита от вирусов и угроз> Авторизованные угрозы.
  • Щелкните История защиты.
  • Теперь вы можете увидеть список заблокированных угроз. Вы можете использовать фильтры для поиска рекомендаций, карантина, очистки, блокировки или серьезных угроз. Вы также можете удалить историю фильтров из раскрывающегося списка Фильтр.

Как упоминалось ранее, вы можете щелкнуть каждую заблокированную угрозу, прокрутить до конца сведений и увидеть раскрывающийся список действий. Щелкните по нему и щелкните Разрешить. Другие варианты — Удалить для некоторых элементов, хотя обычно они остаются в списке только в течение нескольких недель.

Использование командлета PowerShell Set-MpPref

Командлет Set-MpPreference используется для настройки параметров сканирования и обновлений Защитника Windows. Вы можете изменить расширения имен файлов исключений, пути или процессы, а также указать действие по умолчанию для высокого, среднего и низкого уровней угрозы.

Вы можете указать другой временной интервал (в днях), запустив приведенный ниже командлет в режиме управления PowerShell (нажмите Win + X, затем нажмите A на клавиатуре):

  • Set-MpPreference -ScanPurgeItemsAfterDelay 1
  • Указанное число 1 — это количество дней, по истечении которых журнал истории защиты и элементы файла журнала удаляются.

Заключение

На странице «Журнал защиты» отображаются обнаружения, сделанные Защитником Windows, а также подробная и понятная информация об угрозах и доступных действиях. Начиная со сборки 18305, он включает блоки для контролируемого доступа к папкам и все блоки, созданные конфигурацией правил организации, чтобы уменьшить поверхность атаки.

https://answers.microsoft.com/en-us/windows/forum/all/unable-to-clear-protection-history-manually-in/44aa804a-4e1a-46e2-8082-f64ff897ebdd?auth=1

Совет экспертов: Этот инструмент восстановления сканирует репозитории и заменяет поврежденные или отсутствующие файлы, если ни один из этих методов не сработал. Это хорошо работает в большинстве случаев, когда проблема связана с повреждением системы. Этот инструмент также оптимизирует вашу систему, чтобы максимизировать производительность. Его можно скачать по Щелчок Здесь

CCNA, веб-разработчик, ПК для устранения неполадок

Я компьютерный энтузиаст и практикующий ИТ-специалист. У меня за плечами многолетний опыт работы в области компьютерного программирования, устранения неисправностей и ремонта оборудования. Я специализируюсь на веб-разработке и дизайне баз данных. У меня также есть сертификат CCNA для проектирования сетей и устранения неполадок.

Идентификаторы событий антивирусной программы Microsoft Defender и коды ошибок

При возникновении проблемы с антивирусной программой Microsoft Defender вы можете выполнить поиск в таблицах в этом разделе, чтобы найти соответствующую проблему и возможное решение.

Антивирусная программа Microsoft Defender записывает идентификаторы событий в журнал событий Windows.

Вы можете напрямую просматривать журнал событий или, если у вас есть стороннее средство управления информацией и событиями безопасности (SIEM), вы также можете использовать идентификаторы событий клиента антивирусной программы Microsoft Defender для просмотра определенных событий и ошибок с ваших конечных точек.

В таблице в этом разделе перечислены основные идентификаторы событий антивирусной программы «защитник Майкрософт» и, по возможности, приведены рекомендуемые решения для исправления или устранения ошибки.

Если антивирусная программа Microsoft Defender испытывает какие-либо проблемы, она обычно выдает вам код ошибки, чтобы помочь вам устранить проблему.Чаще всего ошибка означает, что возникла проблема с установкой обновления. В этом разделе приведены следующие сведения об ошибках клиента антивирусной программы Microsoft Defender.

Используйте информацию в этих таблицах для устранения неполадок с кодами ошибок антивирусной программы Microsoft Defender.

Следующие коды ошибок используются во время внутреннего тестирования антивирусной программы Microsoft Defender.

Если вы видите эти ошибки, вы можете попробовать обновить определения и принудительно выполнить повторное сканирование непосредственно на конечной точке.

Идентификатор события: 1000
Символическое название: ЗАЩИТА ОТ ВРЕДОНОСНЫХ ПРОГРАММ_SCAN_STARTED
Сообщение: Начато сканирование на наличие вредоносных программ.
Описание:
Идентификатор сканирования: <Идентификационный номер соответствующего сканирования.>
Тип сканирования: <Тип сканирования>, например:
  • Антивирус
  • Антишпионское ПО
  • Защита от вредоносных программ
Параметры сканирования: <Параметры сканирования>, например:
  • Полное сканирование
  • Быстрое сканирование
  • Сканирование клиента
Ресурсы сканирования: <Ресурсы (такие как файлы/каталоги/BHO), которые были отсканированы.>
Пользователь: <Домен>\<Пользователь>
Идентификатор события: 1001
Символическое название: ЗАЩИТА ОТ ВРЕДОНОСНЫХ ПРОГРАММ_СКАНИРОВАНИЕ_ЗАВЕРШЕНО
Сообщение: Сканирование на наличие вредоносных программ завершено.
Описание:
Идентификатор сканирования: <Идентификационный номер соответствующего сканирования.>
Тип сканирования: <Тип сканирования>, например:
  • Антивирус
  • Антишпионское ПО
  • Защита от вредоносных программ
Параметры сканирования: <Параметры сканирования>, например:
  • Полное сканирование
  • Быстрое сканирование
  • Сканирование клиента
Пользователь: <Домен>\<Пользователь>
Время сканирования: <длительность сканирования.>
Идентификатор события: 1002
Символическое название: ЗАЩИТА ОТ ВРЕДОНОСНЫХ ПРОГРАММ_SCAN_CANCEELLED
Сообщение: Сканирование на наличие вредоносных программ было остановлено до завершения.
Описание:
Идентификатор сканирования: <Идентификационный номер соответствующего сканирования.>
Тип сканирования: <Тип сканирования>, например:
  • Антивирус
  • Антишпионское ПО
  • Защита от вредоносных программ
Параметры сканирования: <Параметры сканирования>, например:
  • Полное сканирование
  • Быстрое сканирование
  • Сканирование клиента
Пользователь: <Домен><Пользователь>
Время сканирования: <длительность сканирования.>
Идентификатор события: 1003
Символическое название: MALWAREPROTECTION_SCAN_PAUSED
Сообщение: Сканирование на наличие вредоносных программ было приостановлено.
Описание:
Идентификатор сканирования: <Идентификационный номер соответствующего сканирования.>
Тип сканирования: <Тип сканирования>, например:
  • Антивирус
  • Антишпионское ПО
  • Защита от вредоносных программ
Параметры сканирования: <Параметры сканирования>, например:
  • Полное сканирование
  • Быстрое сканирование
  • Сканирование клиента
Пользователь: <Домен>\<Пользователь>
Идентификатор события: 1004
Символическое название: MALWAREPROTECTION_SCAN_RESUMED
Сообщение: Возобновлено сканирование на наличие вредоносного ПО.
Описание:
Идентификатор сканирования: <Идентификационный номер соответствующего сканирования.>
Тип сканирования: <Тип сканирования>, например:
  • Антивирус
  • Антишпионское ПО
  • Защита от вредоносных программ
Параметры сканирования: <Параметры сканирования>, например:
  • Полное сканирование
  • Быстрое сканирование
  • Сканирование клиента
Пользователь: <Домен>\<Пользователь>
Идентификатор события: 1005
Символическое название: MALWAREPROTECTION_SCAN_FAILED
Сообщение: Не удалось выполнить сканирование на наличие вредоносных программ.
Описание:
Идентификатор сканирования: <Идентификационный номер соответствующего сканирования.>
Тип сканирования: <Тип сканирования>, например:
  • Антивирус
  • Антишпионское ПО
  • Защита от вредоносных программ
Параметры сканирования: <Параметры сканирования>, например:
  • Полное сканирование
  • Быстрое сканирование
  • Сканирование клиента
Пользователь: <Домен>\<Пользователь>
Код ошибки: <Код ошибки> Код результата, связанный со статусом угрозы.Стандартные значения HRESULT.
Описание ошибки: <Описание ошибки> Описание ошибки.
Действие пользователя: Антивирусный клиент обнаружил ошибку, и текущее сканирование было остановлено. Сканирование может завершиться ошибкой из-за проблемы на стороне клиента. Эта запись о событии включает идентификатор сканирования, тип сканирования (антивирус Microsoft Defender, антишпионское ПО, антивредоносное ПО), параметры сканирования, пользователя, запустившего сканирование, код ошибки и описание ошибки.Чтобы устранить это событие:
  1. Повторите сканирование.
  2. Если это не удается таким же образом, перейдите на сайт поддержки Microsoft, введите номер ошибки в поле Найдите , чтобы найти код ошибки.
  3. Обратитесь в службу технической поддержки Майкрософт.
Идентификатор события: 1006
Символическое название: MALWAREPROTECTION_MALWARE_DETECTED
Сообщение: Модуль защиты от вредоносных программ обнаружил вредоносное или другое потенциально нежелательное программное обеспечение.
Описание: Для получения дополнительной информации см. следующее:
Имя: <Имя угрозы>
Идентификатор: <Идентификатор угрозы>
Серьезность: <Серьезность>, например:
Категория: <Описание категории>, например любой тип угрозы или вредоносного ПО.
Путь: <Путь к файлу>
Источник обнаружения: <Источник обнаружения>, например:
  • Неизвестно
  • Локальный компьютер
  • Общий сетевой ресурс
  • Интернет
  • Входящий трафик
  • Исходящий трафик
Тип обнаружения: <Тип обнаружения>, например:
  • Эвристика
  • Универсальный
  • Бетон
  • Динамическая подпись
Источник обнаружения: <Источник обнаружения> например:
  • Пользователь: по инициативе пользователя
  • Система: система инициирована
  • В режиме реального времени: инициирован компонент реального времени
  • IOAV: инициированы загрузки IE и вложения Outlook Express
  • NIS: система проверки сети
  • IEPROTECT: IE-IExtensionValidation; это защищает от вредоносных элементов управления веб-страницы
  • Ранний запуск защиты от вредоносных программ (ELAM).Сюда входят вредоносные программы, обнаруженные последовательностью загрузки
  • .
  • Дистанционная аттестация
Интерфейс сканирования на наличие вредоносных программ (AMSI). В основном используется для защиты скриптов (PowerShell, VBS), хотя его могут вызывать и третьи стороны. ОАК
Статус: <Статус>
Пользователь: <Домен>\<Пользователь>
Имя процесса: <Процесс в PID>
Версия подписи: <Версия определения>
Версия ядра: <Версия модуля защиты от вредоносных программ>
Идентификатор события: 1007
Символическое название: ЗАЩИТА ОТ ВРЕДОНОСНЫХ ПРОГРАММ_MALWARE_ACTION_TAKEN
Сообщение: Платформа защиты от вредоносных программ выполнила действие для защиты вашей системы от вредоносного или другого потенциально нежелательного программного обеспечения.
Описание: Антивирусная программа Microsoft Defender приняла меры для защиты этого компьютера от вредоносного или другого потенциально нежелательного программного обеспечения. Для получения дополнительной информации см. следующее:
Пользователь: <Домен>\<Пользователь>
Имя: <Имя угрозы>
Идентификатор: <Идентификатор угрозы>
Серьезность: <Серьезность>, например:
Категория: <Описание категории>, например любой тип угрозы или вредоносного ПО.
Действие: <Действие>, например:
  • Очистка: Ресурс очищен
  • Карантин: Ресурс помещен в карантин
  • Удалить: ресурс был удален
  • Разрешить: Ресурсу разрешено выполняться/существовать
  • Определяется пользователем: определяемое пользователем действие, которое обычно является одним из этого списка действий, указанных пользователем
  • Нет действий: Нет действий
  • Блокировка: выполнение ресурса заблокировано.
Статус: <Статус>
Версия подписи: <Версия определения>
Версия ядра: <Версия модуля защиты от вредоносных программ>
Идентификатор события: 1008
Символическое название: MALWAREPROTECTION_MALWARE_ACTION_FAILED
Сообщение: Платформа для защиты от вредоносных программ попыталась выполнить действие для защиты вашей системы от вредоносного или другого потенциально нежелательного программного обеспечения, но действие не удалось.
Описание: Антивирусная программа Microsoft Defender обнаружила ошибку при выполнении действий с вредоносным ПО или другим потенциально нежелательным программным обеспечением. Для получения дополнительной информации см. следующее:
Пользователь: <Домен>\<Пользователь>
Имя: <Имя угрозы>
Идентификатор: <Идентификатор угрозы>
Серьезность: <Серьезность>, например:
Категория: <Описание категории>, например любой тип угрозы или вредоносного ПО.
Путь: <Путь к файлу>
Действие: <Действие>, например:
  • Очистка: Ресурс очищен
  • Карантин: Ресурс помещен в карантин
  • Удалить: ресурс был удален
  • Разрешить: Ресурсу разрешено выполняться/существовать
  • Определяется пользователем: определяемое пользователем действие, которое обычно является одним из этого списка действий, указанных пользователем
  • Нет действий: Нет действий
  • Блокировка: выполнение ресурса заблокировано.
Код ошибки: <Код ошибки> Код результата, связанный со статусом угрозы.Стандартные значения HRESULT.
Описание ошибки: <Описание ошибки> Описание ошибки.
Статус: <Статус>
Версия подписи: <Версия определения>
Версия ядра: <Версия модуля защиты от вредоносных программ>
Идентификатор события: 1009
Символическое название: MALWAREPROTECTION_QUARANTINE_RESTORE
Сообщение: Платформа защиты от вредоносных программ восстановила элемент из карантина.
Описание: Антивирусная программа Microsoft Defender восстановила элемент из карантина. Для получения дополнительной информации см. следующее:
Имя: <Имя угрозы>
Идентификатор: <Идентификатор угрозы>
Серьезность: <Серьезность>, например:
Категория: <Описание категории>, например любой тип угрозы или вредоносного ПО.
Путь: <Путь к файлу>
Пользователь: <Домен>\<Пользователь>
Версия подписи: <Версия определения>
Версия ядра: <Версия модуля защиты от вредоносных программ>
Идентификатор события: 1010
Символическое название: MALWAREPROTECTION_QUARANTINE_RESTORE_FAILED
Сообщение: Платформе защиты от вредоносных программ не удалось восстановить элемент из карантина.
Описание: Антивирусная программа Microsoft Defender обнаружила ошибку при попытке восстановить элемент из карантина. Для получения дополнительной информации см. следующее:
Имя: <Имя угрозы>
Идентификатор: <Идентификатор угрозы>
Серьезность: <Серьезность>, например:
Категория: <Описание категории>, например любой тип угрозы или вредоносного ПО.
Путь: <Путь к файлу>
Пользователь: <Домен>\<Пользователь>
Код ошибки: <Код ошибки> Код результата, связанный со статусом угрозы.Стандартные значения HRESULT.
Описание ошибки: <Описание ошибки> Описание ошибки.
Версия подписи: <Версия определения>
Версия ядра: <Версия модуля защиты от вредоносных программ>
Идентификатор события: 1011
Символическое название: MALWAREPROTECTION_QUARANTINE_DELETE
Сообщение: Платформа защиты от вредоносных программ удалила элемент из карантина.
Описание: Антивирусная программа Microsoft Defender удалила элемент из карантина.
Дополнительные сведения см. в следующих разделах:
Имя: <Имя угрозы>
Идентификатор: <Идентификатор угрозы>
Серьезность: <Серьезность>, например:
Категория: <Описание категории>, например любой тип угрозы или вредоносного ПО.
Путь: <Путь к файлу>
Пользователь: <Домен>\<Пользователь>
Версия подписи: <Версия определения>
Версия ядра: <Версия модуля защиты от вредоносных программ>
Идентификатор события: 1012
Символическое название: MALWAREPROTECTION_QUARANTINE_DELETE_FAILED
Сообщение: Платформе защиты от вредоносных программ не удалось удалить элемент из карантина.
Описание: Антивирусная программа Microsoft Defender обнаружила ошибку при попытке удалить элемент из карантина. Для получения дополнительной информации см. следующее:
Имя: <Имя угрозы>
Идентификатор: <Идентификатор угрозы>
Серьезность: <Серьезность>, например:
Категория: <Описание категории>, например любой тип угрозы или вредоносного ПО.
Путь: <Путь к файлу>
Пользователь: <Домен>\<Пользователь>
Код ошибки: <Код ошибки> Код результата, связанный со статусом угрозы.Стандартные значения HRESULT.
Описание ошибки: <Описание ошибки> Описание ошибки.
Версия подписи: <Версия определения>
Версия ядра: <Версия модуля защиты от вредоносных программ>
Идентификатор события: 1013
Символическое название: MALWAREPROTECTION_MALWARE_HISTORY_DELETE
Сообщение: Платформа защиты от вредоносных программ удалила историю вредоносных программ и другого потенциально нежелательного программного обеспечения.
Описание: Антивирусная программа Microsoft Defender удалила историю вредоносных программ и другого потенциально нежелательного программного обеспечения.
Время: время, когда произошло событие, например, когда история была очищена. Этот параметр не используется в событиях угроз, чтобы не было путаницы относительно того, является ли это временем исправления или временем заражения. Для них мы специально называем их «время действия» или «время обнаружения».
Пользователь: <Домен>\<Пользователь>
Идентификатор события: 1014
Символическое название: MALWAREPROTECTION_MALWARE_HISTORY_DELETE_FAILED
Сообщение: Платформа защиты от вредоносных программ не могла удалить историю вредоносных программ и другого потенциально нежелательного программного обеспечения.
Описание: Антивирусная программа Microsoft Defender обнаружила ошибку при попытке удалить историю вредоносных программ и других потенциально нежелательных программ.
Время: время, когда произошло событие, например, когда история была очищена. Этот параметр не используется в событиях угроз, чтобы не было путаницы относительно того, является ли это временем исправления или временем заражения. Для них мы специально называем их «время действия» или «время обнаружения».
Пользователь: <Домен>\<Пользователь>
Код ошибки: <Код ошибки> Код результата, связанный со статусом угрозы.Стандартные значения HRESULT.
Описание ошибки: <Описание ошибки> Описание ошибки.
Идентификатор события: 1015
Символическое название: ЗАЩИТА ОТ ВРЕДОНОСНЫХ ПРОГРАММ_BEHAVIOR_DETECTED
Сообщение: Платформа защиты от вредоносных программ обнаружила подозрительное поведение.
Описание: Антивирусная программа Microsoft Defender обнаружила подозрительное поведение.
Дополнительные сведения см. в следующих разделах:
Имя: <Имя угрозы>
Идентификатор: <Идентификатор угрозы>
Серьезность: <Серьезность>, например:
Категория: <Описание категории>, например любой тип угрозы или вредоносного ПО.
Путь: <Путь к файлу>
Источник обнаружения: <Источник обнаружения>, например:
  • Неизвестно
  • Локальный компьютер
  • Общий сетевой ресурс
  • Интернет
  • Входящий трафик
  • Исходящий трафик
Тип обнаружения: <Тип обнаружения>, например:
  • Эвристика
  • Универсальный
  • Бетон
  • Динамическая подпись
Источник обнаружения: <Источник обнаружения> например:
  • Пользователь: по инициативе пользователя
  • Система: система инициирована
  • В режиме реального времени: инициирован компонент реального времени
  • IOAV: инициированы загрузки IE и вложения Outlook Express
  • NIS: система проверки сети
  • IEPROTECT: IE-IExtensionValidation; это защищает от вредоносных элементов управления веб-страницы
  • Ранний запуск защиты от вредоносных программ (ELAM).Сюда входят вредоносные программы, обнаруженные последовательностью загрузки
  • .
  • Дистанционная аттестация
Интерфейс сканирования на наличие вредоносных программ (AMSI). В основном используется для защиты скриптов (PowerShell, VBS), хотя его могут вызывать и третьи стороны. ОАК
Статус: <Статус>
Пользователь: <Домен>\<Пользователь>
Имя процесса: <Процесс в PID>
Идентификатор подписи: перечисление соответствует серьезности.
Версия подписи: <Версия определения>
Версия ядра: <Версия модуля защиты от вредоносных программ>
Этикетка верности:
Имя целевого файла: <имя файла> Имя файла.
Идентификатор события: 1116
Символическое название: MALWAREPROTECTION_STATE_MALWARE_DETECTED
Сообщение: Платформа защиты от вредоносных программ обнаружила вредоносное или другое потенциально нежелательное программное обеспечение.
Описание: Антивирусная программа Microsoft Defender обнаружила вредоносное или другое потенциально нежелательное программное обеспечение.
Дополнительные сведения см. в следующих разделах:
Имя: <Имя угрозы>
Идентификатор: <Идентификатор угрозы>
Серьезность: <Серьезность>, например:
Категория: <Описание категории>, например любой тип угрозы или вредоносного ПО.
Путь: <Путь к файлу>
Источник обнаружения: <Источник обнаружения>, например:
  • Неизвестно
  • Локальный компьютер
  • Общий сетевой ресурс
  • Интернет
  • Входящий трафик
  • Исходящий трафик
Тип обнаружения: <Тип обнаружения>, например:
  • Эвристика
  • Универсальный
  • Бетон
  • Динамическая подпись
Источник обнаружения: <Источник обнаружения> например:
  • Пользователь: по инициативе пользователя
  • Система: система инициирована
  • В режиме реального времени: инициирован компонент реального времени
  • IOAV: инициированы загрузки IE и вложения Outlook Express
  • NIS: система проверки сети
  • IEPROTECT: IE-IExtensionValidation; это защищает от вредоносных элементов управления веб-страницы
  • Ранний запуск защиты от вредоносных программ (ELAM).Сюда входят вредоносные программы, обнаруженные последовательностью загрузки
  • .
  • Дистанционная аттестация
Интерфейс сканирования на наличие вредоносных программ (AMSI). В основном используется для защиты скриптов (PowerShell, VBS), хотя его могут вызывать и третьи стороны. ОАК
Пользователь: <Домен>\<Пользователь>
Имя процесса: <Процесс в PID>
Версия подписи: <Версия определения>
Версия ядра: <Версия модуля защиты от вредоносных программ>
Действие пользователя: Никаких действий не требуется.Антивирусная программа «защитник Майкрософт» может приостановить работу и предпринять стандартные действия в отношении этой угрозы. Если вы хотите удалить угрозу вручную, в интерфейсе антивирусной программы Microsoft Defender нажмите Очистить компьютер .
Идентификатор события: 1117
Символическое название: MALWAREPROTECTION_STATE_MALWARE_ACTION_TAKEN
Сообщение: Платформа защиты от вредоносных программ выполнила действие для защиты вашей системы от вредоносного или другого потенциально нежелательного программного обеспечения.
Описание: Антивирусная программа Microsoft Defender приняла меры для защиты этого компьютера от вредоносного или другого потенциально нежелательного программного обеспечения.
Дополнительные сведения см. в следующих разделах:
Имя: <Имя угрозы>
Идентификатор: <Идентификатор угрозы>
Серьезность: <Серьезность>, например:
Категория: <Описание категории>, например любой тип угрозы или вредоносного ПО.
Путь: <Путь к файлу>
Источник обнаружения: <Источник обнаружения>, например:
  • Неизвестно
  • Локальный компьютер
  • Общий сетевой ресурс
  • Интернет
  • Входящий трафик
  • Исходящий трафик
Тип обнаружения: <Тип обнаружения>, например:
  • Эвристика
  • Универсальный
  • Бетон
  • Динамическая подпись
Источник обнаружения: <Источник обнаружения> например:
  • Пользователь: по инициативе пользователя
  • Система: система инициирована
  • В режиме реального времени: инициирован компонент реального времени
  • IOAV: инициированы загрузки IE и вложения Outlook Express
  • NIS: система проверки сети
  • IEPROTECT: IE-IExtensionValidation; это защищает от вредоносных элементов управления веб-страницы
  • Ранний запуск защиты от вредоносных программ (ELAM).Сюда входят вредоносные программы, обнаруженные последовательностью загрузки
  • .
  • Дистанционная аттестация
Интерфейс сканирования на наличие вредоносных программ (AMSI). В основном используется для защиты скриптов (PowerShell, VBS), хотя его могут вызывать и третьи стороны. ОАК
Пользователь: <Домен>\<Пользователь>
Имя процесса: <Процесс в PID>
Действие: <Действие>, например:
  • Очистка: Ресурс очищен
  • Карантин: Ресурс помещен в карантин
  • Удалить: ресурс был удален
  • Разрешить: Ресурсу разрешено выполняться/существовать
  • Определяется пользователем: определяемое пользователем действие, которое обычно является одним из этого списка действий, указанных пользователем
  • Нет действий: Нет действий
  • Блокировка: выполнение ресурса заблокировано.
Состояние действия: <Описание дополнительных действий>
Код ошибки: <Код ошибки> Код результата, связанный со статусом угрозы.Стандартные значения HRESULT.
Описание ошибки: <Описание ошибки> Описание ошибки.
Версия подписи: <Версия определения>
Версия ядра: <Версия модуля защиты от вредоносных программ>
ПРИМЕЧАНИЕ: Всякий раз, когда антивирусная программа Microsoft Defender, Microsoft Security Essentials, средство удаления вредоносных программ или System Center Endpoint Protection обнаруживают вредоносную программу, она восстанавливает следующие параметры системы и службы, которые могли быть изменены вредоносной программой:
  • Настройка Internet Explorer или Microsoft Edge по умолчанию
  • Настройки контроля доступа пользователей
  • Настройки Chrome
  • Данные управления загрузкой
  • Параметры реестра Regedit и диспетчера задач
  • Центр обновления Windows, фоновая интеллектуальная служба передачи и служба удаленного вызова процедур
  • Файлы операционной системы Windows
Приведенный выше контекст применим к следующим версиям клиента и сервера:
Операционная система Версия операционной системы
Клиентская операционная система Windows Vista (с пакетом обновления 1 или пакетом обновления 2), Windows 7 и более поздние версии
Операционная система сервера Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 и Windows Server 2016
Действие пользователя: Никаких действий не требуется.Антивирусная программа Microsoft Defender удалила или поместила угрозу в карантин.
Идентификатор события: 1118
Символическое название: MALWAREPROTECTION_STATE_MALWARE_ACTION_FAILED
Сообщение: Платформа для защиты от вредоносных программ попыталась выполнить действие для защиты вашей системы от вредоносного или другого потенциально нежелательного программного обеспечения, но действие не удалось.
Описание: Антивирусная программа Microsoft Defender обнаружила некритическую ошибку при выполнении действий с вредоносным ПО или другим потенциально нежелательным программным обеспечением.
Дополнительные сведения см. в следующих разделах:
Имя: <Имя угрозы>
Идентификатор: <Идентификатор угрозы>
Серьезность: <Серьезность>, например:
Категория: <Описание категории>, например любой тип угрозы или вредоносного ПО.
Путь: <Путь к файлу>
Источник обнаружения: <Источник обнаружения>, например:
  • Неизвестно
  • Локальный компьютер
  • Общий сетевой ресурс
  • Интернет
  • Входящий трафик
  • Исходящий трафик
Тип обнаружения: <Тип обнаружения>, например:
  • Эвристика
  • Универсальный
  • Бетон
  • Динамическая подпись
Источник обнаружения: <Источник обнаружения> например:
  • Пользователь: по инициативе пользователя
  • Система: система инициирована
  • В режиме реального времени: инициирован компонент реального времени
  • IOAV: инициированы загрузки IE и вложения Outlook Express
  • NIS: система проверки сети
  • IEPROTECT: IE-IExtensionValidation; это защищает от вредоносных элементов управления веб-страницы
  • Ранний запуск защиты от вредоносных программ (ELAM).Сюда входят вредоносные программы, обнаруженные последовательностью загрузки
  • .
  • Дистанционная аттестация
Интерфейс сканирования на наличие вредоносных программ (AMSI). В основном используется для защиты скриптов (PowerShell, VBS), хотя его могут вызывать и третьи стороны. ОАК
Пользователь: <Домен>\<Пользователь>
Имя процесса: <Процесс в PID>
Действие: <Действие>, например:
  • Очистка: Ресурс очищен
  • Карантин: Ресурс помещен в карантин
  • Удалить: ресурс был удален
  • Разрешить: Ресурсу разрешено выполняться/существовать
  • Определяется пользователем: определяемое пользователем действие, которое обычно является одним из этого списка действий, указанных пользователем
  • Нет действий: Нет действий
  • Блокировка: выполнение ресурса заблокировано.
Состояние действия: <Описание дополнительных действий>
Код ошибки: <Код ошибки> Код результата, связанный со статусом угрозы.Стандартные значения HRESULT.
Описание ошибки: <Описание ошибки> Описание ошибки.
Версия подписи: <Версия определения>
Версия ядра: <Версия модуля защиты от вредоносных программ>
Действие пользователя: Никаких действий не требуется. Антивирусной программе Microsoft Defender не удалось выполнить задачу, связанную с исправлением вредоносных программ. Это не критическая поломка.
Идентификатор события: 1119
Символическое название: MALWAREPROTECTION_STATE_MALWARE_ACTION_CRITICALLY_FAILED
Сообщение: Платформа для защиты от вредоносных программ обнаружила критическую ошибку при попытке принять меры в отношении вредоносного или другого потенциально нежелательного программного обеспечения.Более подробная информация содержится в сообщении о событии.
Описание: Антивирусная программа Microsoft Defender обнаружила критическую ошибку при выполнении действий с вредоносными программами или другими потенциально нежелательными программами.
Дополнительные сведения см. в следующих разделах:
Имя: <Имя угрозы>
Идентификатор: <Идентификатор угрозы>
Серьезность: <Серьезность>, например:
Категория: <Описание категории>, например любой тип угрозы или вредоносного ПО.
Путь: <Путь к файлу>
Источник обнаружения: <Источник обнаружения>, например:
  • Неизвестно
  • Локальный компьютер
  • Общий сетевой ресурс
  • Интернет
  • Входящий трафик
  • Исходящий трафик
Тип обнаружения: <Тип обнаружения>, например:
  • Эвристика
  • Универсальный
  • Бетон
  • Динамическая подпись
Источник обнаружения: <Источник обнаружения> например:
  • Пользователь: по инициативе пользователя
  • Система: система инициирована
  • В режиме реального времени: инициирован компонент реального времени
  • IOAV: инициированы загрузки IE и вложения Outlook Express
  • NIS: система проверки сети
  • IEPROTECT: IE-IExtensionValidation; это защищает от вредоносных элементов управления веб-страницы
  • Ранний запуск защиты от вредоносных программ (ELAM).Сюда входят вредоносные программы, обнаруженные последовательностью загрузки
  • .
  • Дистанционная аттестация
Интерфейс сканирования на наличие вредоносных программ (AMSI). В основном используется для защиты скриптов (PowerShell, VBS), хотя его могут вызывать и третьи стороны. ОАК
Пользователь: <Домен>\<Пользователь>
Имя процесса: <Процесс в PID>
Действие: <Действие>, например:
  • Очистка: Ресурс очищен
  • Карантин: Ресурс помещен в карантин
  • Удалить: ресурс был удален
  • Разрешить: Ресурсу разрешено выполняться/существовать
  • Определяется пользователем: определяемое пользователем действие, которое обычно является одним из этого списка действий, указанных пользователем
  • Нет действий: Нет действий
  • Блокировка: выполнение ресурса заблокировано.
Состояние действия: <Описание дополнительных действий>
Код ошибки: <Код ошибки> Код результата, связанный со статусом угрозы.Стандартные значения HRESULT.
Описание ошибки: <Описание ошибки> Описание ошибки.
Версия подписи: <Версия определения>
Версия ядра: <Версия модуля защиты от вредоносных программ>
Действие пользователя: Клиент антивирусной программы Microsoft Defender столкнулся с этой ошибкой из-за критических проблем. Конечная точка может быть не защищена. Просмотрите описание ошибки, затем выполните соответствующие шаги Действия пользователя , приведенные ниже.
Действие Действие пользователя
Удалить Обновите определения, затем убедитесь, что удаление прошло успешно.
Чистый Обновите определения, затем убедитесь, что исправление прошло успешно.
Карантин Обновите определения и убедитесь, что у пользователя есть разрешение на доступ к необходимым ресурсам.
Разрешить Убедитесь, что у пользователя есть разрешение на доступ к необходимым ресурсам.

Если это событие повторяется:

  1. Запустите сканирование еще раз.
  2. Если это не удается таким же образом, перейдите на сайт поддержки Microsoft, введите номер ошибки в поле Найдите , чтобы найти код ошибки.
  3. Обратитесь в службу технической поддержки Майкрософт.
Идентификатор события: 1120
Символическое название: ЗАЩИТА ОТ ВРЕДОНОСНЫХ ПРОГРАММ_THREAT_HASH
Сообщение: Антивирусная программа Microsoft Defender вычислила хэши ресурса угрозы.
Описание: Антивирусный клиент Microsoft Defender запущен и работает в работоспособном состоянии.
Текущая версия платформы: <Текущая версия платформы>
Путь ресурса угрозы: <Путь>
Хэши: <Хэши>

Примечание. Это событие будет зарегистрировано только в том случае, если установлена ​​следующая политика: ThreatFileHashLogging unsigned .

Идентификатор события: 1127
Символическое название: MALWAREPROTECTION_FOLDER_GUARD_SECTOR_BLOCK
Сообщение: Controlled Folder Access (CFA) заблокировал ненадежный процесс от внесения изменений в память.
Описание: Контролируемый доступ к папкам заблокировал ненадежный процесс от потенциального изменения секторов диска.
Дополнительные сведения о записи события см. в следующих разделах:
EventID: , например: 1127
Версия: <Версия>, например: 0
Уровень: <Уровень>, например: win:Warning
TimeCreated: , время создания события
EventRecordID: , порядковый номер события в журнале событий
Execution ProcessID: , процесс, создавший событие
Канал: <Канал событий>, например: Microsoft-Windows-Windows Defender/Operational
Компьютер: <Имя компьютера>
Идентификатор пользователя безопасности: <Идентификатор пользователя безопасности>
Название продукта: <Имя продукта>, например: Антивирусная программа Microsoft Defender
Версия продукта: <Версия продукта>
Время обнаружения: <Время обнаружения>, время, когда CFA заблокировал ненадежный процесс
Пользователь: <Домен>\<Пользователь>
Путь: <имя устройства>, имя устройства или диска, к которому ненадежный процесс обратился для модификации
Имя процесса: <Путь процесса>, имя пути процесса, которому CFA заблокировал доступ к устройству или диску для модификации
Версия системы безопасности: <версия системы безопасности>
Версия ядра: <Версия модуля защиты от вредоносных программ>
Действие пользователя: Пользователь может добавить заблокированный процесс в список разрешенных процессов для CFA с помощью Powershell или Windows Security Center.
Идентификатор события: 1150
Символическое название: ЗАЩИТА ОТ ВРЕДОНОСНЫХ ПРОГРАММ_СЛУЖБА_ЗДОРОВЬЯ
Сообщение: Если ваша платформа защиты от вредоносных программ сообщает о состоянии платформе мониторинга, это событие указывает на то, что платформа защиты от вредоносных программ работает и находится в работоспособном состоянии.
Описание: Антивирусный клиент Microsoft Defender запущен и работает в работоспособном состоянии.
Версия платформы: <текущая версия платформы>
Версия подписи: <Версия определения>
Версия ядра: <Версия модуля защиты от вредоносных программ>
Действие пользователя: Никаких действий не требуется. Клиент антивирусной программы Microsoft Defender находится в работоспособном состоянии. Об этом событии сообщается ежечасно.
Идентификатор события: 1151
Символическое название: MALWAREPROTECTION_SERVICE_HEALTH_REPORT
Сообщение: Отчет о работоспособности клиента Endpoint Protection (время в формате UTC)
Описание: Отчет о работоспособности антивирусного клиента.
Версия платформы: <текущая версия платформы>
Версия ядра: <Версия модуля защиты от вредоносных программ>
Версия ядра проверки сети в реальном времени: <версия ядра проверки сети в реальном времени>
Версия сигнатуры антивируса: <Версия сигнатуры антивируса>
Версия сигнатуры антишпионского ПО: <Версия сигнатуры антишпионского ПО>
Версия подписи проверки сети в реальном времени: <версия подписи проверки сети в реальном времени>
Состояние RTP: <Состояние защиты в реальном времени> (включено или отключено)
Состояние OA: <Состояние при доступе> (включено или отключено)
Состояние IOAV: <Состояние загрузок IE и вложений Outlook Express> (включено или отключено)
Состояние BM: <состояние контроля действий> (включено или отключено)
Возраст сигнатуры антивируса: <Возраст сигнатуры антивируса> (в днях)
Возраст сигнатуры антишпионского ПО: <Возраст сигнатуры антишпионского ПО> (в днях)
Возраст последнего быстрого сканирования: <Возраст последнего быстрого сканирования> (в днях)
Возраст последнего полного сканирования: <Возраст последнего полного сканирования> (в днях)
Время создания антивирусной сигнатуры: ?<Время создания антивирусной сигнатуры>
Время создания сигнатуры антишпионского ПО: ?<время создания сигнатуры антишпионского ПО>
Время начала последнего быстрого сканирования: ?<Время начала последнего быстрого сканирования>
Время окончания последнего быстрого сканирования: ?<Время окончания последнего быстрого сканирования>
Последний источник быстрого сканирования: <Последний источник быстрого сканирования> (0 = сканирование не выполнялось, 1 = инициировано пользователем, 2 = инициировано системой)
Время начала последней полной проверки: ?<Время начала последней полной проверки>
Время окончания последнего полного сканирования: ?<Время окончания последнего полного сканирования>
Источник последнего полного сканирования: <Последний источник полного сканирования> (0 = сканирование не выполнялось, 1 = инициировано пользователем, 2 = инициировано системой)
Состояние продукта: Для внутреннего устранения неполадок
Идентификатор события: 2000
Символическое название: ЗАЩИТА ОТ ВРЕДОНОСНЫХ ПРОГРАММ_SIGNATURE_UPDATED
Сообщение: Определения защиты от вредоносных программ успешно обновлены.
Описание: Обновлена ​​версия антивирусной сигнатуры.
Текущая версия подписи: <Текущая версия подписи>
Предыдущая версия подписи: <Предыдущая версия подписи>
Тип подписи: <Тип подписи>, например:
  • Антивирус
  • Антишпионское ПО
  • Защита от вредоносных программ
  • Система проверки сети
Тип обновления: <Тип обновления>, полное или разностное.
Пользователь: <Домен>\<Пользователь>
Текущая версия ядра: <Текущая версия ядра>
Предыдущая версия ядра: <предыдущая версия ядра>
Действие пользователя: Никаких действий не требуется. Клиент антивирусной программы Microsoft Defender находится в работоспособном состоянии. Об этом событии сообщается, когда сигнатуры успешно обновлены.
Идентификатор события: 2001
Символическое название: ЗАЩИТА ОТ ВРЕДОНОСНЫХ ПРОГРАММ_SIGNATURE_UPDATE_FAILED
Сообщение: Ошибка обновления системы безопасности.
Описание: Антивирусная программа Microsoft Defender обнаружила ошибку при попытке обновить сигнатуры.
Новая версия системы безопасности: <Номер новой версии>
Предыдущая версия системы безопасности: <Предыдущая версия>
Источник обновления: <Источник обновления>, например:
  • Папка обновления системы безопасности
  • Внутренний сервер обновлений системы безопасности
  • Сервер обновлений Майкрософт
  • Файловый ресурс
  • Центр защиты от вредоносных программ Майкрософт (MMPC)
Этап обновления: <этап обновления>, например:
Исходный путь: имя общей папки для универсального соглашения об именах (UNC), имя сервера для служб обновления Windows Server (WSUS)/Microsoft Update/ADL.
Тип подписи: <Тип подписи>, например:
  • Антивирус
  • Антишпионское ПО
  • Защита от вредоносных программ
  • Система проверки сети
Тип обновления: <Тип обновления>, полное или разностное.
Пользователь: <Домен>\<Пользователь>
Текущая версия ядра: <Текущая версия ядра>
Предыдущая версия ядра: <предыдущая версия ядра>
Код ошибки: <Код ошибки> Код результата, связанный со статусом угрозы.Стандартные значения HRESULT.
Описание ошибки: <Описание ошибки> Описание ошибки.
Действие пользователя: Эта ошибка возникает, когда возникает проблема с обновлением определений. Чтобы устранить это событие:
  1. Обновление определений и принудительное повторное сканирование непосредственно на конечной точке.
  2. Просмотрите записи в файле %Windir%\WindowsUpdate.log для получения дополнительных сведений об этой ошибке.
  3. Обратитесь в службу технической поддержки Майкрософт.
Идентификатор события: 2002
Символическое название: ЗАЩИТА ОТ ВРЕДОНОСНЫХ ПРОГРАММ_ENGINE_UPDATED
Сообщение: Модуль защиты от вредоносных программ успешно обновлен.
Описание: Версия ядра антивирусной программы Microsoft Defender обновлена.
Текущая версия ядра: <Текущая версия ядра>
Предыдущая версия ядра: <предыдущая версия ядра>
Тип ядра: <Тип ядра>, модуль защиты от вредоносных программ или модуль системы проверки сети.
Пользователь: <Домен>\<Пользователь>
Действие пользователя: Никаких действий не требуется. Клиент антивирусной программы Microsoft Defender находится в работоспособном состоянии. Об этом событии сообщается, когда ядро ​​защиты от вредоносных программ успешно обновлено.
Идентификатор события: 2003
Символическое название: ЗАЩИТА ОТ ВРЕДОНОСНЫХ ПРОГРАММ_ENGINE_UPDATE_FAILED
Сообщение: Не удалось обновить механизм защиты от вредоносных программ.
Описание: Антивирусная программа Microsoft Defender обнаружила ошибку при попытке обновить ядро.
Новая версия двигателя:
Предыдущая версия ядра: <предыдущая версия ядра>
Тип ядра: <Тип ядра>, модуль защиты от вредоносных программ или модуль системы проверки сети.
Пользователь: <Домен>\<Пользователь>
Код ошибки: <Код ошибки> Код результата, связанный со статусом угрозы.Стандартные значения HRESULT.
Описание ошибки: <Описание ошибки> Описание ошибки.
Действие пользователя: Ошибка обновления клиента антивирусной программы Microsoft Defender. Это событие происходит, когда клиенту не удается обновить себя. Это событие обычно происходит из-за прерывания сетевого подключения во время обновления. Чтобы устранить это событие:
  1. Обновление определений и принудительное повторное сканирование непосредственно на конечной точке.
  2. Обратитесь в службу технической поддержки Майкрософт.
Идентификатор события: 2004
Символическое название: ЗАЩИТА ОТ ВРЕДОНОСНЫХ ПРОГРАММ_SIGNATURE_REVERSION
Сообщение: Возникла проблема при загрузке определений защиты от вредоносных программ. Механизм защиты от вредоносных программ попытается загрузить последний известный хороший набор определений.
Описание: Антивирусная программа Microsoft Defender обнаружила ошибку при загрузке сигнатур и попытается вернуться к заведомо исправному набору сигнатур.
Попытка подписи:
Код ошибки: <Код ошибки> Код результата, связанный со статусом угрозы. Стандартные значения HRESULT.
Описание ошибки: <Описание ошибки> Описание ошибки.
Версия подписи: <Версия определения>
Версия ядра: <Версия модуля защиты от вредоносных программ>
Действие пользователя: Клиент антивирусной программы Microsoft Defender попытался загрузить и установить последний файл определений, но не удалось.Эта ошибка может возникнуть, когда клиент обнаруживает ошибку при попытке загрузить определения или если файл поврежден. Антивирусная программа Microsoft Defender попытается вернуться к заведомо исправному набору определений. Чтобы устранить это событие:
  1. Перезагрузите компьютер и повторите попытку.
  2. Загрузите последние определения с сайта Microsoft Security Intelligence. Примечание. Размер файла определений, загруженного с сайта, может превышать 60 МБ, и его не следует использовать в качестве долгосрочного решения для обновления определений.
  3. Обратитесь в службу технической поддержки Майкрософт.
Идентификатор события: 2005
Символическое название: ЗАЩИТА ОТ ВРЕДОНОСНЫХ ПРОГРАММ_ENGINE_UPDATE_PLATFORMOUTOFDATE
Сообщение: Не удалось загрузить механизм защиты от вредоносных программ, так как платформа защиты от вредоносных программ устарела. Платформа защиты от вредоносных программ загрузит последнюю известную исправную систему защиты от вредоносных программ и попытается выполнить обновление.
Описание: Антивирусной программе Microsoft Defender не удалось загрузить механизм защиты от вредоносных программ, так как текущая версия платформы не поддерживается.Антивирусная программа Microsoft Defender вернется к последнему известному исправному ядру, и будет предпринята попытка обновления платформы.
Текущая версия платформы: <Текущая версия платформы>
Идентификатор события: 2006
Символическое название: ЗАЩИТА ОТ ВРЕДОНОСНЫХ ПРОГРАММ_ПЛАТФОРМ_ОБНОВЛЕНИЕ_СБОЙ
Сообщение: Не удалось обновить платформу.
Описание: Антивирусная программа Microsoft Defender обнаружила ошибку при попытке обновить платформу.
Текущая версия платформы: <Текущая версия платформы>
Код ошибки: <Код ошибки> Код результата, связанный со статусом угрозы. Стандартные значения HRESULT.
Описание ошибки: <Описание ошибки> Описание ошибки.
Идентификатор события: 2007
Символическое название: MALWAREPROTECTION_PLATFORM_ALMOSTOUTOFDATE
Сообщение: Платформа скоро устареет.Загрузите последнюю версию платформы, чтобы поддерживать защиту в актуальном состоянии.
Описание: Для антивирусной программы Microsoft Defender вскоре потребуется более новая версия платформы для поддержки будущих версий механизма защиты от вредоносных программ. Загрузите новейшую антивирусную платформу Microsoft Defender, чтобы поддерживать наилучший доступный уровень защиты.
Текущая версия платформы: <Текущая версия платформы>
Идентификатор события: 2010
Символическое название: MALWAREPROTECTION_SIGNATURE_FASTPATH_UPDATED
Сообщение: Механизм защиты от вредоносных программ использовал службу динамической подписи для получения дополнительных определений.
Описание: Антивирусная программа Microsoft Defender использовала службу динамической подписи для извлечения дополнительных подписей для защиты вашего компьютера.
Текущая версия подписи: <Текущая версия подписи>
Тип подписи: <Тип подписи>, например:
  • Антивирус
  • Антишпионское ПО
  • Защита от вредоносных программ
  • Система проверки сети
Текущая версия ядра: <Текущая версия ядра>
Тип динамической подписи: <Тип динамической подписи>, например:
  • Версия
  • Отметка времени
  • Без ограничений
  • Продолжительность
Путь сохранения: <Путь>
Версия динамической подписи: <Номер версии>
Отметка времени компиляции динамической подписи:
Тип ограничения сохраняемости: <Тип ограничения сохраняемости>, например:
  • Версия VDM
  • Отметка времени
  • Без ограничений
Предел сохраняемости: предел сохраняемости сигнатуры быстрого доступа.
Идентификатор события: 2011
Символическое название: MALWAREPROTECTION_SIGNATURE_FASTPATH_DELETED
Сообщение: Служба динамической подписи удалила устаревшие динамические определения.
Описание: Антивирусная программа Microsoft Defender использовала службу динамической подписи для удаления устаревших подписей.
Текущая версия подписи: <Текущая версия подписи>
Тип подписи: <Тип подписи>, например:
  • Антивирус
  • Антишпионское ПО
  • Защита от вредоносных программ
  • Система проверки сети
Текущая версия ядра: <Текущая версия ядра>
Тип динамической подписи: <Тип динамической подписи>, например:
  • Версия
  • Отметка времени
  • Без ограничений
  • Продолжительность
Путь сохранения: <Путь>
Версия динамической подписи: <Номер версии>
Отметка времени компиляции динамической подписи:
Причина удаления:
Тип ограничения сохраняемости: <Тип ограничения сохраняемости>, например:
  • Версия VDM
  • Отметка времени
  • Без ограничений
Предел сохраняемости: предел сохраняемости сигнатуры быстрого доступа.
Действие пользователя: Никаких действий не требуется. Клиент антивирусной программы Microsoft Defender находится в работоспособном состоянии. Об этом событии сообщается, когда служба динамической подписи успешно удаляет устаревшие динамические определения.
Код события: 2012
Символическое название: MALWAREPROTECTION_SIGNATURE_FASTPATH_UPDATE_FAILED
Сообщение: Модуль защиты от вредоносных программ обнаружил ошибку при попытке использовать службу динамической подписи.
Описание: Антивирусная программа Microsoft Defender обнаружила ошибку при попытке использовать службу динамической подписи .
Текущая версия подписи: <Текущая версия подписи>
Тип подписи: <Тип подписи>, например:
  • Антивирус
  • Антишпионское ПО
  • Защита от вредоносных программ
  • Система проверки сети
Текущая версия ядра: <Текущая версия ядра>
Код ошибки: <Код ошибки> Код результата, связанный со статусом угрозы.Стандартные значения HRESULT.
Описание ошибки: <Описание ошибки> Описание ошибки.
Тип динамической подписи: <Тип динамической подписи>, например:
  • Версия
  • Отметка времени
  • Без ограничений
  • Продолжительность
Путь сохранения: <Путь>
Версия динамической подписи: <Номер версии>
Отметка времени компиляции динамической подписи:
Тип ограничения сохраняемости: <Тип ограничения сохраняемости>, например:
  • Версия VDM
  • Отметка времени
  • Без ограничений
Предел сохраняемости: предел сохраняемости сигнатуры быстрого доступа.
Действие пользователя: Проверьте настройки подключения к Интернету.
Идентификатор события: 2013
Символическое название: MALWAREPROTECTION_SIGNATURE_FASTPATH_DELETED_ALL
Сообщение: Служба динамических подписей удалила все динамические определения.
Описание: Антивирусная программа Microsoft Defender отклонила все подписи Dynamic Signature Service .
Текущая версия подписи: <Текущая версия подписи>
Код события: 2020
Символическое название: MALWAREPROTECTION_CLOUD_CLEAN_RESTORE_FILE_DOWNLOADED
Сообщение: Механизм защиты от вредоносных программ загрузил чистый файл.
Описание: Антивирусная программа Microsoft Defender загрузила чистый файл.
Имя файла: <Имя файла> Имя файла.
Текущая версия подписи: <Текущая версия подписи>
Текущая версия ядра: <Текущая версия ядра>
Код события: 2021
Символическое название: MALWAREPROTECTION_CLOUD_CLEAN_RESTORE_FILE_DOWNLOAD_FAILED
Сообщение: Модуль защиты от вредоносных программ не смог загрузить чистый файл.
Описание: Антивирусная программа Microsoft Defender обнаружила ошибку при попытке загрузить чистый файл.
Имя файла: <Имя файла> Имя файла.
Текущая версия подписи: <Текущая версия подписи>
Текущая версия ядра: <Текущая версия ядра>
Код ошибки: <Код ошибки> Код результата, связанный со статусом угрозы. Стандартные значения HRESULT.
Описание ошибки: <Описание ошибки> Описание ошибки.
Действие пользователя: Проверьте настройки подключения к Интернету.Клиент антивирусной программы Microsoft Defender обнаружил ошибку при использовании службы динамической подписи для загрузки последних определений для конкретной угрозы. Эта ошибка, вероятно, вызвана проблемой сетевого подключения.
Идентификатор события: 2030
Символическое название: ЗАЩИТА ОТ ВРЕДОНОСНЫХ ПРОГРАММ_OFFLINE_SCAN_INSTALLED
Сообщение: Модуль защиты от вредоносных программ был загружен и настроен для работы в автономном режиме при следующем перезапуске системы.
Описание: Антивирусная программа Microsoft Defender скачала и настроила автономный антивирус для запуска при следующей перезагрузке.
Идентификатор события: 2031
Символическое название: ЗАЩИТА ОТ ВРЕДОНОСНЫХ ПРОГРАММ_OFFLINE_SCAN_INSTALL_FAILED
Сообщение: Модуль защиты от вредоносных программ не смог загрузить и настроить автономное сканирование.
Описание: Антивирусная программа Microsoft Defender обнаружила ошибку при попытке загрузить и настроить автономный антивирус.
Код ошибки: <Код ошибки> Код результата, связанный со статусом угрозы. Стандартные значения HRESULT.
Описание ошибки: <Описание ошибки> Описание ошибки.
Идентификатор события: 2040
Символическое название: MALWAREPROTECTION_OS_EXPIRING
Сообщение: Поддержка защиты от вредоносных программ для этой версии операционной системы скоро прекратится.
Описание: Срок поддержки вашей операционной системы скоро истечет.Запуск антивирусной программы Microsoft Defender в неподдерживаемой операционной системе не является адекватным решением для защиты от угроз.
Идентификатор события: 2041
Символическое название: MALWAREPROTECTION_OS_EOL
Сообщение: Поддержка защиты от вредоносных программ для этой операционной системы прекращена. Для продолжения поддержки необходимо обновить операционную систему.
Описание: Срок поддержки вашей операционной системы истек.Запуск антивирусной программы Microsoft Defender в неподдерживаемой операционной системе не является адекватным решением для защиты от угроз.
Идентификатор события: 2042
Символическое название: ЗАЩИТА ОТ ВРЕДОНОСНЫХ ПРОГРАММ_PROTECTION_EOL
Сообщение: Механизм защиты от вредоносных программ больше не поддерживает эту операционную систему и больше не защищает вашу систему от вредоносных программ.
Описание: Срок поддержки вашей операционной системы истек.Антивирусная программа Microsoft Defender больше не поддерживается в вашей операционной системе, перестала работать и не защищает от вредоносных программ.
Идентификатор события: 3002
Символическое название: ЗАЩИТА ОТ ВРЕДОНОСНЫХ ПРОГРАММ_RTP_FEATURE_FAILURE
Сообщение: Защита в режиме реального времени обнаружила ошибку и завершилась сбоем.
Описание: Функция защиты в реальном времени антивирусной программы Microsoft Defender обнаружила ошибку и завершилась сбоем.
Функция: <Функция>, например:
  • При доступе
  • загрузок Internet Explorer и вложений Microsoft Outlook Express
  • Мониторинг поведения
  • Система проверки сети
Код ошибки: <Код ошибки> Код результата, связанный со статусом угрозы. Стандартные значения HRESULT.
Описание ошибки: <Описание ошибки> Описание ошибки.
Причина: причина, по которой защита в режиме реального времени антивирусной программы Microsoft Defender перезапустила функцию.
Действие пользователя: Вам следует перезагрузить систему, а затем запустить полную проверку, поскольку возможно, что система не была защищена какое-то время. Функция защиты в режиме реального времени клиента антивирусной программы Microsoft Defender обнаружила ошибку, поскольку не удалось запустить одну из служб. Если за ним следует идентификатор события 3007, сбой был временным и клиент защиты от вредоносных программ восстановился после сбоя.
Идентификатор события: 3007
Символическое название: ЗАЩИТА ОТ ВРЕДОНОСНЫХ ПРОГРАММ_RTP_FEATURE_RECOVERED
Сообщение: Защита в реальном времени восстановлена ​​после сбоя.Мы рекомендуем запустить полное сканирование системы, когда вы видите эту ошибку.
Описание: Защита в реальном времени антивирусной программы Microsoft Defender перезапустила функцию. Рекомендуется запустить полное сканирование системы, чтобы обнаружить любые элементы, которые могли быть пропущены, пока этот агент не работал.
Функция: <Функция>, например:
  • При доступе
  • загрузок IE и вложений Outlook Express
  • Мониторинг поведения
  • Система проверки сети
Причина: причина, по которой защита в режиме реального времени антивирусной программы Microsoft Defender перезапустила функцию.
Действие пользователя: Функция защиты в реальном времени перезапущена. Если это событие повторится, обратитесь в службу технической поддержки Майкрософт.
Идентификатор события: 5000
Символическое название: ЗАЩИТА ОТ ВРЕДОНОСНЫХ ПРОГРАММ_RTP_ENABLED
Сообщение: Защита в режиме реального времени включена.
Описание: Была включена защита в режиме реального времени антивирусной программой Microsoft Defender на наличие вредоносного и другого потенциально нежелательного программного обеспечения.
Идентификатор события: 5001
Символическое название: ЗАЩИТА ОТ ВРЕДОНОСНЫХ ПРОГРАММ_RTP_DISABLED
Сообщение: Защита в режиме реального времени отключена.
Описание: Сканирование антивирусной программы Microsoft Defender в режиме реального времени на наличие вредоносных программ и другого потенциально нежелательного программного обеспечения было отключено.
Идентификатор события: 5004
Символическое название: ЗАЩИТА ОТ ВРЕДОНОСНЫХ ПРОГРАММ_RTP_FEATURE_CONFIGURED
Сообщение: Изменена конфигурация постоянной защиты.
Описание: Изменена конфигурация функции защиты в режиме реального времени антивирусной программы Microsoft Defender.
Функция: <Функция>, например:
  • При доступе
  • загрузок IE и вложений Outlook Express
  • Мониторинг поведения
  • Система проверки сети
Конфигурация:
Идентификатор события: 5007
Символическое название: MALWAREPROTECTION_CONFIG_CHANGED
Сообщение: Изменена конфигурация платформы защиты от вредоносных программ.
Описание: Конфигурация антивирусной программы Microsoft Defender изменилась. Если это непредвиденное событие, вам следует проверить настройки, так как это может быть результатом вредоносного ПО.
Старое значение: <номер старого значения> Старое значение конфигурации антивируса.
Новое значение: <Номер нового значения> Новое значение конфигурации антивируса.
Идентификатор события: 5008
Символическое название: MALWAREPROTECTION_ENGINE_FAILURE
Сообщение: Модуль защиты от вредоносных программ обнаружил ошибку и завершился сбоем.
Описание: Ядро антивирусной программы Microsoft Defender было остановлено из-за непредвиденной ошибки.
Тип отказа: <Тип отказа>, например: Крушение или повесить
Код исключения: <Код ошибки>
Ресурс: <Ресурс>
Действие пользователя: Чтобы устранить это событие:
  1. Попробуйте перезапустить службу.
    • Для защиты от вредоносных, антивирусных и шпионских программ в командной строке с повышенными привилегиями введите net stop msmpsvc , а затем введите net start msmpsvc , чтобы перезапустить механизм защиты от вредоносных программ.
    • Для системы Network Inspection System в командной строке с повышенными привилегиями введите net start nissrv , а затем введите net start nissrv , чтобы перезапустить механизм Network Inspection System с помощью файла NiSSRV.exe.
  2. В случае аналогичного сбоя найдите код ошибки, зайдя на сайт поддержки Microsoft и введя номер ошибки в поле Найдите , а затем обратитесь в службу технической поддержки Microsoft.
Действие пользователя: Ядро клиента антивирусной программы Microsoft Defender остановлено из-за непредвиденной ошибки.Чтобы устранить это событие:
  1. Повторите сканирование.
  2. Если это не удается таким же образом, перейдите на сайт поддержки Microsoft, введите номер ошибки в поле Найдите , чтобы найти код ошибки.
  3. Обратитесь в службу технической поддержки Майкрософт.
Идентификатор события: 5009
Символическое название: ЗАЩИТА ОТ ВРЕДОНОСНЫХ ПРОГРАММ_ANTISPYWARE_ENABLED
Сообщение: Сканирование на наличие вредоносного и другого потенциально нежелательного ПО включено.
Описание: Включено сканирование антивирусной программы Microsoft Defender на наличие вредоносных и других потенциально нежелательных программ.
Идентификатор события: 5010
Символическое название: ЗАЩИТА ОТ ВРЕДОНОСНЫХ ПРОГРАММ_АНТИШПИОННЫЕ ПРОГРАММЫ_ОТКЛЮЧЕНО
Сообщение: Сканирование на наличие вредоносного и другого потенциально нежелательного ПО отключено.
Описание: Сканирование антивирусной программы Microsoft Defender на наличие вредоносных и других потенциально нежелательных программ отключено.
Идентификатор события: 5011
Символическое название: ЗАЩИТА ОТ ВРЕДОНОСНЫХ ПРОГРАММ_АНТИВИРУС_ВКЛЮЧЕН
Сообщение: Проверка на наличие вирусов включена.
Описание: Сканирование антивирусной программы Microsoft Defender на наличие вирусов включено.
Идентификатор события: 5012
Символическое название: ЗАЩИТА ОТ ВРЕДОНОСНЫХ ПРОГРАММ_АНТИВИРУС_ОТКЛЮЧЕН
Сообщение: Проверка на вирусы отключена.
Описание: Проверка антивирусной программы Microsoft Defender на наличие вирусов отключена.
Идентификатор события: 5013
Символическое название:
Сообщение: Защита от несанкционированного доступа заблокировала изменение антивирусной программы Microsoft Defender.
Описание: Если защита от несанкционированного доступа включена, любая попытка изменить любой из параметров Защитника, если она заблокирована, и генерируется событие с идентификатором 5013, в котором указывается, какое изменение параметра было заблокировано.
Идентификатор события: 5100
Символическое название: ЗАЩИТА ОТ ВРЕДОНОСНЫХ ПРОГРАММ_EXPIRATION_WARNING_STATE
Сообщение: Срок действия платформы для защиты от вредоносных программ скоро истечет.
Описание: Антивирусная программа Microsoft Defender вступила в льготный период и скоро истечет. По истечении срока действия эта программа отключит защиту от вирусов, шпионского и другого потенциально нежелательного ПО.
Причина истечения срока действия: причина истечения срока действия антивирусной программы Microsoft Defender.
Дата истечения срока действия: дата истечения срока действия антивирусной программы Microsoft Defender.
Идентификатор события: 5101
Символическое название: ЗАЩИТА ОТ ВРЕДОНОСНЫХ ПРОГРАММ_DISABLED_EXPIRED_STATE
Сообщение: Срок действия платформы защиты от вредоносных программ истек.
Описание: Истек льготный период антивирусной программы Microsoft Defender.Защита от вирусов, шпионского и другого потенциально нежелательного ПО отключена.
Причина истечения срока действия:
Срок действия:
Код ошибки: <Код ошибки> Код результата, связанный со статусом угрозы. Стандартные значения HRESULT.
Описание ошибки: <Описание ошибки> Описание ошибки.

Сбор журналов поддержки в Microsoft Defender для конечной точки с помощью ответа в режиме реального времени

  • Статья
  • 2 минуты на чтение
  • 11 участников

Полезна ли эта страница?

да Нет

Любая дополнительная обратная связь?

Отзыв будет отправлен в Microsoft: при нажатии кнопки отправки ваш отзыв будет использован для улучшения продуктов и услуг Microsoft.Политика конфиденциальности.

Представлять на рассмотрение

В этой статье

Применимо к:

Хотите попробовать Defender for Endpoint? Подпишитесь на бесплатную пробную версию.

При обращении в службу поддержки вас могут попросить предоставить выходной пакет средства Microsoft Defender for Endpoint Client Analyzer.

В этом разделе приведены инструкции по запуску инструмента через Live Response.

  1. Загрузите необходимые сценарии из подкаталога «Инструменты» Microsoft Defender для Endpoint Client Analyzer.
    Например, чтобы получить основные журналы работоспособности датчиков и устройств, выберите «..\Tools\MDELiveAnalyzer.ps1».
    Если вам также требуются журналы поддержки Defender Antivirus (MpSupportFiles.cab), выберите «..\Tools\MDELiveAnalyzerAV.ps1»

  2. Инициируйте сеанс Live Response на машине, которую необходимо исследовать.

  3. Выберите Загрузить файл в библиотеку .

  4. Выбрать Выбрать файл .

  5. Выберите загруженный файл с именем MDELiveAnalyzer.ps1 и нажмите Подтвердить

  6. Во время сеанса LiveResponse используйте приведенные ниже команды, чтобы запустить анализатор и собрать файл результатов:

      Выполнить MDELiveAnalyzer.ps1
    GetFile "C:\ProgramData\Microsoft\Расширенная защита от угроз в Защитнике Windows\Загрузки\MDEClientAnalyzerResult.молния"
      

Примечание

  • Последнюю предварительную версию MDEClientAnalyzer можно скачать здесь: https://aka.ms/Betamdeanalyzer.

  • Сценарий LiveAnalyzer загружает пакет для устранения неполадок на целевой компьютер с https://mdatpclientanalyzer.blob.core.windows.net.

    Если вы не можете разрешить машине доступ к указанному выше URL-адресу, загрузите файл MDEClientAnalyzerPreview.zip в библиотеку перед запуском сценария LiveAnalyzer:

      Поместить файл MDEClientAnalyzerPreview.zip - перезаписать
    Запустите MDELiveAnalyzer.ps1.
    GetFile "C:\ProgramData\Microsoft\Расширенная защита от угроз в Защитнике Windows\Загрузки\MDEClientAnalyzerResult.zip"
      
  • Дополнительные сведения о локальном сборе данных на компьютере в случае, если компьютер не взаимодействует с облачными службами Microsoft Defender для конечной точки или не отображается на портале Microsoft Defender для конечной точки, как ожидалось, см. в разделе Проверка подключения клиента к Microsoft Defender для конечной точки. URL службы.

  • Как описано в примерах команды Live response, вы можете использовать символ «&» в конце команды для сбора журналов в качестве фонового действия:

      Запустите MDELiveAnalyzer.PS1&
      

См. также

Файлы журнала

— Где находятся журналы / результаты автономного сканирования защитника Windows 10?

По данным Microsoft, любые угрозы, обнаруженные автономным сканером, будут отображаться в истории угроз (где онлайн-сканер также записывает все найденные вирусы):

Где я могу найти результаты сканирования?

Чтобы просмотреть результаты сканирования Защитника Windows в автономном режиме:

Нажмите «Пуск», затем выберите «Параметры» > «Обновление и безопасность» > «Безопасность Windows» > «Защита от вирусов и угроз».На экране Защита от вирусов и угроз выполните одно из следующих действий:

  • В текущей версии Windows 10: в разделе Текущие угрозы выберите Параметры сканирования, а затем выберите Журнал угроз.
  • В предыдущих версиях Windows: выберите История угроз.

Журнал, показывающий автономное сканирование, по-видимому, хранится в файле ниже C:\Windows\Microsoft Antimalware\Support с использованием схемы именования MPLog-<дата>-<время>.журнал (например, MPLog-20181217-055720.log ). Вы можете сказать, что это журнал автономного сканирования, по следующей строке где-то в начале: 2018-12-17T04:57:20.837Z Служба [PlatUpd] успешно запущена из: C:\ProgramData\Microsoft\Windows Defender\Offline Scanner

Обычно в журнале содержится много строк со строкой Соответствие внутренней сигнатуры:подтип=Lowfi , но это не похоже на настоящие обнаруженные вирусы: они не отображаются в истории угроз и в вирустотале.com ничего не находит («Этот файл не обнаружен ни одним движком»).

По словам модератора/агента Microsoft Джастин Пел в ветке на форумах сообщества Microsoft, файлы журналов предназначены для отправки ошибок Защитника Windows в Microsoft, поэтому я подозреваю, что записи Internal match включены только для целей отладки:

Эти журналы обычно используются для отправки сообщений об ошибках или проблемах с Защитник Windows. Наша команда Защитника Windows — это те, кто способный дать точное значение этих строк.

Где хранятся журналы автономных проверок Защитника Windows?

Вам может быть интересно, может ли Защитник Windows сохранять файлы журналов сканирования в автономном режиме. Ну, насколько нам известно, популярный антивирус и сканер вредоносного ПО такого не делает, но есть кое-что еще, если вы действительно хотите получить доступ к ценным данным. Теперь, если вы действительно хотите увидеть результаты автономного сканирования, мы можем помочь с этим, без проблем и, конечно же, бесплатно.

Вероятно, данные невозможно загрузить, но, по крайней мере, вы можете просмотреть их, а затем определить, что вы хотите делать с имеющейся информацией.

Как просмотреть результаты сканирования в автономном режиме Защитника Windows

Если вы хотите просмотреть результаты или журнал сканирования в автономном режиме Защитника Windows, эта информация должна очень помочь в ваших поисках.

1] Support

Один из самых простых способов найти файл журнала для Защитника Windows — это перейти к следующему местоположению и просмотреть:

 C:\ProgramData\Microsoft\Windows Defender\Support 

Это самый простой способ , но он показывает не все, что вам может понадобиться, поэтому мы собираемся обсудить другие способы.

2] Журнал событий

Возможно, вы это знаете, но в журнале событий отображается несколько вещей, включая данные автономного сканирования Защитника Windows. Чтобы перейти к этому разделу, мы предлагаем запустить окно поиска, затем скопировать и вставить следующую команду и нажать клавишу Enter на клавиатуре.

 %windir%\System32\winevt\Logs\Microsoft-Windows-Windows Defender%4Operational.evtx 

Это должно предоставить как минимум дополнительную необходимую информацию, так что продолжайте и перейдите туда, когда будете готовы.

Кроме того, вы можете щелкнуть правой кнопкой мыши кнопку «Пуск» и оттуда выбрать «Просмотр событий».

Затем перейдите в «Просмотр событий» > «Журналы приложений и служб» > «Microsoft» > «Windows» > «Защитник Windows» > «Оперативный».

После всего этого пользователь должен увидеть следующее:

  • Сканирование Защитника Windows запущено. (Идентификатор события 1000)
  •  Сканирование Защитника Windows завершено. (Идентификатор события 1001)
  •  Обновлена ​​версия подписи Защитника Windows.(2000)

Здесь вы можете проверить журналы.

3] Как найти результаты сканирования

Итак, когда дело доходит до результатов сканирования, все может стать немного сложнее, но не невозможно. Что вам нужно сделать, так это снова щелкнуть правой кнопкой мыши кнопку «Пуск», затем выбрать «Настройки»> «Обновление и безопасность»> «Безопасность Windows»> «Защита от вирусов и угроз».

В этом разделе в разделе Защита от вирусов и угроз пользователь должен выбрать любой из параметров История угроз , вот и все.

Журналы обычно используются системными администраторами или для отправки сообщений об ошибках или проблемах с Защитником Windows.

Как просмотреть результаты автономного сканирования Защитника Windows в Windows 10

Описанные здесь процедуры помогут вам узнать, где находятся результаты автономного сканирования Защитника Windows и как их просматривать. Иногда, когда ваш компьютер заражается вредоносными программами или вирусными атаками, которые трудно уничтожить обычными методами. Даже вы не можете удалить их вручную, так как они часто скрыты и работают как фоновые процессы.Кроме того, вам необходимо загрузиться в безопасной среде восстановления, чтобы встроенный антивирус мог работать из-за пределов Windows. Автономное сканирование — единственный возможный способ сделать это, поскольку функция выполняет операцию до загрузки ОС.

Обычно Windows предлагает этот тип сканирования при наличии очень живучего вируса. В худшем случае вы получите предупреждение о том, что требуется дополнительная очистка. Эта ситуация требует, чтобы вы активировали автономное сканирование из системы безопасности Windows.Наконец, после завершения процесса вы можете просмотреть результаты обнаружения, которые могут понадобиться для анализа проблемы.

Список методов

1] Через приложение безопасности Windows
2] Из файлов журнала Защитника Windows
3] С помощью журнала событий
4] С помощью инструмента WinDefLogView

 

Автономное сканирование Защитника Windows Как

Здесь 900 Просмотр результатов автономного сканирования Защитника Windows в Windows 10 —

1] Найдите результат в приложении «Безопасность Windows»

. Шаг 1. Откройте приложение «Параметры Windows», нажав одновременно клавиши Windows и I .

Шаг 2: При появлении выберите Обновление и безопасность .

Шаг 3: Выберите подраздел Безопасность Windows на левой панели и перейдите к соседнему правому.

Шаг 4: Нажмите Защита от вирусов и угроз .

Шаг 5. Когда появится новое окно, щелкните ссылку История защиты , чтобы просмотреть результаты автономного сканирования Защитника Windows.

2] Результаты автономного сканирования Защитника Windows из файлов журнала Защитника Windows

  • Нажмите Win+R , чтобы открыть диалоговое окно «Выполнить».
  • Когда он станет видимым, скопируйте следующий каталог и вставьте его в текстовое поле —

C:\ProgramData\Microsoft\Windows Defender\Support

  • Нажмите кнопку OK , чтобы перейти к следующей странице.
  • На следующей странице вы получите доступные файлы журналов результатов автономного сканирования.

3] Использование журнала событий

Шаг № 1: Щелкните правой кнопкой мыши кнопку «Пуск» и выберите «Просмотр событий » в меню «Опытный пользователь».

Шаг № 2: Как только это станет очевидным, перейдите по следующему пути, используя левую панель —

Журналы приложений и служб > Microsoft > Windows > Защитник Windows > Оперативный

Итак, здесь вы получите все журналы после запуска автономное сканирование.

4] Использование инструмента WinDefLogView

Это позволит просмотреть результат сканирования с использованием файлов журнала всего за пару кликов в Windows 10 и 11. Следуйте – WinDefLogView для просмотра и чтения журнала Защитника Windows

Вот и все!!

windows 10 — Как узнать особенности того, что Защитник обнаружил в защите в реальном времени?

windows 10 — Как узнать особенности того, что Защитник обнаружил в защите в реальном времени? — Суперпользователь
Сеть обмена стеками

Сеть Stack Exchange состоит из 179 сообществ вопросов и ответов, включая Stack Overflow, крупнейшее и пользующееся наибольшим доверием онлайн-сообщество, где разработчики могут учиться, делиться своими знаниями и строить свою карьеру.

Посетите биржу стека
  1. 0
  2. +0
  3. Войти
  4. Зарегистрироваться

Super User — это сайт вопросов и ответов для компьютерных энтузиастов и опытных пользователей.Регистрация занимает всего минуту.

Зарегистрируйтесь, чтобы присоединиться к этому сообществу

Любой может задать вопрос

Любой может ответить

Лучшие ответы голосуются и поднимаются на вершину

спросил

Просмотрено 9к раз

Защитник Windows очень быстро выдал уведомление о том, что он предпринял действия для предотвращения вредоносного ПО.Мне нужно знать подробности. Это произошло, когда я загружал изображения из Google Фото, но у меня также есть подозрение, что программа, которую я недавно установил для улучшения конфиденциальности в Windows 10, предупреждала, что иногда она помечается как вредоносное ПО.

Чтобы внести ясность, я хотел бы знать, какой файл был обнаружен, был ли он удален или помещен в карантин, и в качестве какого вируса он был обнаружен.

спросил 21 сен, 2016 в 20:14

CeleritasCeleritas

7 95 золотых знака102102 серебряных знака148148 бронзовых знаков

1

Защитник Windows выдал уведомление — мне нужно знать подробности

Я хотел бы знать, какой файл был обнаружен, был ли он удален или помещен в карантин, и какой вирус он был обнаружен.

Ищет в журналах событий Windows:

  • Код события: 1006 — MALWAREPROTECTION_MALWARE_DETECTED

    Механизм защиты от вредоносных программ обнаружил вредоносные или другие потенциально нежелательные программы.

  • Код события: 1007 — MALWAREPROTECTION_MALWARE_ACTION_TAKEN

    Платформа защиты от вредоносных программ выполнила действие для защиты вашей системы от вредоносного или другого потенциально нежелательного программного обеспечения.

  • Код события: 1116 — MALWAREPROTECTION_STATE_MALWARE_DETECTED

    Платформа защиты от вредоносных программ обнаружила вредоносное или другое потенциально нежелательное программное обеспечение.

  • Код события: 1117 — MALWAREPROTECTION_STATE_MALWARE_ACTION_TAKEN

    Платформа защиты от вредоносных программ выполнила действие для защиты вашей системы от вредоносного или другого потенциально нежелательного программного обеспечения.

Полные инструкции см. ниже.


Устранение неполадок Защитника Windows в Windows 10

Идентификаторы событий клиента Защитника Windows

В этом разделе содержится следующая информация о Защитнике Windows. клиентские события:

  • Текст сообщения, как он появляется в событии
  • Имя источника сообщения
  • Символическое имя, которое идентифицирует каждое сообщение в исходном коде программы
  • Дополнительная информация о сообщении

Используйте информацию в этой таблице для устранения неполадок Windows События клиента Защитника; они расположены в средстве просмотра событий Windows, в журналах Windows.

Для просмотра события клиента Защитника Windows

  1. Открыть средство просмотра событий.
  2. В дереве консоли разверните Журналы приложений и служб, затем Microsoft, затем Windows, затем Защитник Windows.
  3. Дважды щелкните Operational.
  4. В области сведений просмотрите список отдельных событий, чтобы найти свое событие.
  5. Щелкните событие, чтобы просмотреть подробные сведения о событии на нижней панели на вкладках «Общие» и «Подробности».

Источник Устранение неполадок Защитника Windows в Windows 10

Ваш комментарий будет первым

Добавить комментарий

Ваш адрес email не будет опубликован.