編輯

共用方式為


檢查事件記錄和錯誤碼以疑難排解 Microsoft Defender 防毒軟體的問題

如果您遇到 Microsoft Defender 防病毒軟體的問題,您可以搜尋本文中的下列各節,以找出相符的問題和可能的解決方案。

適用於:

如何? 檢視 Microsoft Defender 防病毒軟體事件?

  1. 啟 事件檢視器

  2. 在主控台樹中,展開 [ 應用程式和服務記錄>] Microsoft>[Windows>Defender]

  3. 按兩下 [ 操作]

  4. 在詳細資料窗格中,檢視個別事件的清單以尋找您的事件。

  5. 選取事件,以在下方窗格的 [一 ] 和 [詳細數據] 引卷標下方查看事件的特定詳細數據。

事件標識碼 1000

符號名稱: MALWAREPROTECTION_SCAN_STARTED

訊息:已啟動反惡意代碼掃描。

描述:

  • 掃描標識碼:相關掃描的標識碼。

  • 掃描類型:掃描類型。 範例:防病毒軟體、Antispyware 或 Antimalware

  • 掃描參數:掃描參數。 範例:完整掃描、快速掃描或客戶掃描

  • 掃描資源:已掃描的資源 (,例如檔案/目錄/BHO) 。

  • 使用者:Domain\User

事件標識碼 1001

符號名稱: MALWAREPROTECTION_SCAN_COMPLETED

訊息:反惡意代碼掃描已完成。

描述:

  • 掃描標識碼:相關掃描的標識碼。

  • 掃描類型:掃描類型。 範例:防病毒軟體、Antispyware 或 Antimalware

  • 掃描參數:掃描參數。 範例:完整掃描、快速掃描或客戶掃描

  • 使用者:Domain\User

  • 掃描時間:掃描的持續時間。

事件標識碼 1002

符號名稱: MALWAREPROTECTION_SCAN_CANCELLED

訊息:反惡意代碼掃描在完成之前已停止。

描述:

  • 掃描標識碼:相關掃描的標識碼。

  • 掃描類型:掃描類型。 範例:防病毒軟體、Antispyware 或 Antimalware

  • 掃描參數:掃描參數。 範例:完整掃描、快速掃描或客戶掃描

  • 使用者:Domain\User

  • 掃描時間:掃描的持續時間。

事件標識碼 1003

符號名稱: MALWAREPROTECTION_SCAN_PAUSED

訊息:已暫停反惡意代碼掃描。

描述:

  • 掃描標識碼:相關掃描的標識碼。

  • 掃描類型:掃描類型。 範例:防病毒軟體、Antispyware 或 Antimalware

  • 掃描參數:掃描參數。 範例:完整掃描、快速掃描或客戶掃描

  • 使用者:Domain\User

事件標識碼 1004

符號名稱: MALWAREPROTECTION_SCAN_RESUMED

訊息:已繼續反惡意代碼掃描。

描述:

  • 掃描標識碼:相關掃描的標識碼。

  • 掃描類型:掃描類型。 範例:防病毒軟體、Antispyware 或 Antimalware

  • 掃描參數:掃描參數。 範例:完整掃描、快速掃描或客戶掃描

  • 使用者:Domain\User

事件標識碼 1005

符號名稱: MALWAREPROTECTION_SCAN_FAILED

訊息:反惡意代碼掃描失敗。

描述:

  • 掃描標識碼:相關掃描的標識碼。

  • 掃描類型:掃描類型。 範例:防病毒軟體、Antispyware 或 Antimalware

  • 掃描參數:掃描參數。 範例:完整掃描、快速掃描或自定義掃描

  • 使用者:Domain\User

  • 錯誤碼:錯誤碼。 與威脅狀態相關聯的結果碼。 標準 HRESULT 值。

  • 錯誤描述:錯誤描述。 錯誤的描述。

使用者動作:

防病毒軟體客戶端發生錯誤,且目前的掃描已停止。 掃描可能會因為客戶端問題而失敗。 此事件記錄包含掃描標識碼、掃描 (類型 Microsoft Defender 防病毒軟體、反惡意代碼、反惡意代碼) 、掃描參數、啟動掃描的使用者、錯誤碼,以及錯誤的描述。 若要對此事件進行疑難解答:

- Run the scan again.

- If it fails in the same way, go to the [Microsoft Support site](https://support.microsoft.com/), enter the error number in the Search box to look for the error code.

- Contact [Microsoft Technical Support](/microsoft-365/admin/get-help-support).

事件標識碼 1006

符號名稱: MALWAREPROTECTION_MALWARE_DETECTED

訊息:反惡意代碼引擎發現惡意代碼或其他潛在的垃圾軟體。

描述:如需詳細資訊,請參閱下列詳細數據:

  • 名稱:威脅名稱

  • 標識碼:威脅標識碼

  • 嚴重性:嚴重性。 範例:低、中、高或嚴重

  • 類別:類別描述。 範例:任何威脅或惡意代碼類型。

  • 路徑:檔案路徑

  • 偵測來源:偵測來源。 範例:未知、本機計算機、網路共用、因特網、連入流量或傳出流量

  • 偵測類型:偵測類型。 範例:啟發學習法、泛型、具象或動態簽章

  • 偵測來源:偵測來源,例如:

    • 使用者:使用者起始

    • 系統:系統起始

    • 即時:實時元件起始

    • IOAV:IE 下載和 Outlook Express Attachments 起始

    • NIS:網路檢查系統

    • IEPROTECT:IE - IExtensionValidation;這可防止惡意網頁控件。

    • 早期啟動反惡意代碼軟體 (ELAM) 。 此來源包含開機順序偵測到的惡意代碼。

    • 遠程證明

  • AMSI) (反惡意代碼掃描介面。 主要用來保護 PowerShell、VBS) (腳本,但第三方也可以叫用。 UAC。

  • 狀態:狀態

  • 使用者:Domain\User

  • 進程名稱:PID 中的進程

  • 簽章版本:定義版本

  • 引擎版本:Antimalware Engine 版本

事件標識碼 1007

符號名稱: MALWAREPROTECTION_MALWARE_ACTION_TAKEN

訊息:反惡意代碼平臺已執行動作來保護您的系統免於惡意代碼或其他潛在的垃圾軟體。

描述:Microsoft Defender 防病毒軟體採取動作來保護這部計算機免於惡意代碼或其他潛在的垃圾軟體。 如需詳細資訊,請參閱下列詳細數據:

  • 使用者:Domain\User

  • 名稱:威脅名稱

  • 標識碼:威脅標識碼

  • 嚴重性:嚴重性。 範例:低、中、高或嚴重

  • 類別:類別描述,例如任何威脅或惡意代碼類型。

  • 動作:動作。 範例:

    • 清除:已清除資源。

    • 隔離:資源已隔離。

    • 拿掉:已刪除資源。

    • 允許:允許資源執行/存在。

    • 使用者定義:使用者定義的動作,通常來自使用者指定的動作清單。

    • 無動作:無動作

    • 封鎖:資源遭到封鎖而無法執行。

  • 狀態:狀態

  • 簽章版本:定義版本

  • 引擎版本:Antimalware Engine 版本

事件標識碼 1008

符號名稱: MALWAREPROTECTION_MALWARE_ACTION_FAILED

訊息:反惡意代碼平臺嘗試執行動作來保護您的系統免於惡意代碼或其他潛在的垃圾軟體,但動作失敗。

描述:Microsoft Defender 防病毒軟體對惡意代碼或其他潛在的垃圾軟體採取動作時發生錯誤。 如需詳細資訊,請參閱下列詳細數據:

  • 使用者:Domain\User

  • 名稱:威脅名稱

  • 標識碼:威脅標識碼

  • 嚴重性:嚴重性。 範例:低、中、高或嚴重

  • 類別:類別描述,例如任何威脅或惡意代碼類型。

  • 路徑:檔案路徑

  • 動作:動作。 範例:

    • 清除:已清除資源。

    • 隔離:資源已隔離。

    • 拿掉:已刪除資源。

    • 允許:允許資源執行/存在。

    • 使用者定義:使用者定義的動作,通常來自使用者指定的動作清單。

    • 無動作:無動作

    • 封鎖:資源遭到封鎖而無法執行。

  • 錯誤碼:錯誤碼 與威脅狀態相關聯的結果碼。 標準 HRESULT 值。

  • 錯誤描述:錯誤描述錯誤的描述。

  • 狀態:狀態

  • 簽章版本:定義版本

  • 引擎版本:Antimalware Engine 版本

事件標識碼 1009

符號名稱: MALWAREPROTECTION_QUARANTINE_RESTORE

訊息:反惡意代碼平臺已從隔離還原專案。

描述:Microsoft Defender 防病毒軟體從隔離中還原專案。 如需詳細資訊,請參閱下列詳細數據:

  • 名稱:威脅名稱

  • 標識碼:威脅標識碼

  • 嚴重性:嚴重性。 範例:低、中、高或嚴重

  • 類別:類別描述,例如任何威脅或惡意代碼類型。

  • 路徑:檔案路徑

  • 使用者:Domain\User

  • 簽章版本:定義版本

  • 引擎版本:Antimalware Engine 版本

事件標識碼 1010

符號名稱: MALWAREPROTECTION_QUARANTINE_RESTORE_FAILED

訊息:反惡意代碼平台無法從隔離中還原專案。

描述:Microsoft Defender 防病毒軟體嘗試從隔離區還原專案時發生錯誤。 如需詳細資訊,請參閱下列詳細數據:

  • 名稱:威脅名稱

  • 標識碼:威脅標識碼

  • 嚴重性:嚴重性。 範例:低、中、高或嚴重

  • 類別:類別描述,例如任何威脅或惡意代碼類型。

  • 路徑:檔案路徑

  • 使用者:Domain\User

  • 錯誤碼:錯誤碼 與威脅狀態相關聯的結果碼。 標準 HRESULT 值。

  • 錯誤描述:錯誤描述錯誤的描述。

  • 簽章版本:定義版本

  • 引擎版本:Antimalware Engine 版本

事件標識碼 1011

符號名稱: MALWAREPROTECTION_QUARANTINE_DELETE

訊息:反惡意代碼平臺已從隔離區中刪除專案。

描述:Microsoft Defender 防病毒軟體已從隔離區中刪除專案。 如需詳細資訊,請參閱下列詳細數據:

  • 名稱:威脅名稱

  • 標識碼:威脅標識碼

  • 嚴重性:嚴重性。 範例:低、中、高或嚴重

  • 類別:類別描述,例如任何威脅或惡意代碼類型。

  • 路徑:檔案路徑

  • 使用者:Domain\User

  • 簽章版本:定義版本

  • 引擎版本:Antimalware Engine 版本

事件標識碼 1012

符號名稱: MALWAREPROTECTION_QUARANTINE_DELETE_FAILED

訊息:反惡意代碼平台無法從隔離區中刪除專案。

描述:Microsoft Defender 防病毒軟體嘗試從隔離區刪除專案時發生錯誤。 如需詳細資訊,請參閱下列詳細數據:

  • 名稱:威脅名稱

  • 標識碼:威脅標識碼

  • 嚴重性:嚴重性。 範例:低、中、高或嚴重

  • 類別:類別描述,例如任何威脅或惡意代碼類型。

  • 路徑:檔案路徑

  • 使用者:Domain\User

  • 錯誤碼:錯誤碼 與威脅狀態相關聯的結果碼。 標準 HRESULT 值。

  • 錯誤描述:錯誤描述錯誤的描述。

  • 簽章版本:定義版本

  • 引擎版本:Antimalware Engine 版本

事件標識碼 1013

符號名稱: MALWAREPROTECTION_MALWARE_HISTORY_DELETE

訊息:反惡意代碼平臺已刪除惡意代碼和其他潛在垃圾軟體的歷程記錄。

描述:Microsoft Defender 防病毒軟體已移除惡意代碼和其他潛在垃圾軟體的歷程記錄。

  • 時間:事件發生的時間,例如清除歷程記錄的時間。 此參數不會用於威脅事件,因此不會混淆其補救時間或感染時間。 針對這類事件,我們會特別將它們稱為「動作時間」或「偵測時間」。

  • 使用者:Domain\User

事件標識碼 1014

符號名稱: MALWAREPROTECTION_MALWARE_HISTORY_DELETE_FAILED

訊息:反惡意代碼平台無法刪除惡意代碼和其他潛在垃圾軟體的歷程記錄。

描述:Microsoft Defender 防病毒軟體嘗試移除惡意代碼和其他潛在垃圾軟體的歷程記錄時發生錯誤。

  • 時間:事件發生的時間,例如清除歷程記錄的時間。 此參數不會用於威脅事件,因此不會混淆其補救時間或感染時間。 針對這類事件,我們會特別將它們稱為「動作時間」或「偵測時間」。

  • 使用者:Domain\User

  • 錯誤碼:錯誤碼 與威脅狀態相關聯的結果碼。 標準 HRESULT 值。

  • 錯誤描述:錯誤描述錯誤的描述。

事件標識碼 1015

符號名稱: MALWAREPROTECTION_BEHAVIOR_DETECTED

訊息:反惡意代碼平臺偵測到可疑的行為。

描述:Microsoft Defender 防病毒軟體偵測到可疑的行為。 如需詳細資訊,請參閱下列詳細數據:

  • 名稱:威脅名稱

  • 標識碼:威脅標識碼

  • 嚴重性:嚴重性。 範例:低、中、高或嚴重

  • 類別:類別描述,例如任何威脅或惡意代碼類型。

  • 路徑:檔案路徑

  • 偵測來源:偵測來源。 範例:未知、本機計算機、網路共用、因特網、連入流量或傳出流量

  • 偵測類型:偵測類型。 範例:啟發學習法、泛型、具象或動態簽章

  • 偵測來源:偵測來源,例如:

    • 使用者:使用者起始

    • 系統:系統起始

    • 即時:實時元件起始

    • IOAV:IE 下載和 Outlook Express Attachments 起始

    • NIS:網路檢查系統

    • IEPROTECT:IE - IExtensionValidation;此來源可防範惡意網頁控件。

    • 早期啟動反惡意代碼軟體 (ELAM) 。 此來源包含開機順序偵測到的惡意代碼。

    • 遠程證明

  • AMSI) (反惡意代碼掃描介面。 主要用來保護 PowerShell、VBS) (腳本,但第三方也可以叫用。 UAC

  • 狀態:狀態

  • 使用者:Domain\User

  • 進程名稱:PID 中的進程

  • 簽章標識碼:列舉比對嚴重性。

  • 簽章版本:定義版本

  • 引擎版本:Antimalware Engine 版本

  • 逼真度標籤:

  • 目標檔名:檔案的檔名名稱。

事件標識碼 1116

符號名稱: MALWAREPROTECTION_STATE_MALWARE_DETECTED

訊息:反惡意代碼平臺偵測到惡意代碼或其他潛在的垃圾軟體。

描述:Microsoft Defender 防病毒軟體偵測到惡意代碼或其他潛在的垃圾軟體。 如需詳細資訊,請參閱下列詳細數據:

  • 名稱:威脅名稱

  • 標識碼:威脅標識碼

  • 嚴重性:嚴重性。 範例:低、中、高或嚴重

  • 類別:類別描述,例如任何威脅或惡意代碼類型。

  • 路徑:檔案路徑

  • 偵測來源:偵測來源。 範例:未知、本機計算機、網路共用、因特網、連入流量或傳出流量

  • 偵測類型:偵測類型。 範例:啟發學習法、泛型、具象或動態簽章

  • 偵測來源:偵測來源,例如:

    • 使用者:使用者起始

    • 系統:系統起始

    • 即時:實時元件起始

    • IOAV:IE 下載和 Outlook Express Attachments 起始

    • NIS:網路檢查系統

    • IEPROTECT:IE - IExtensionValidation;這可防止惡意網頁控件。

    • 早期啟動反惡意代碼軟體 (ELAM) 。 這包括由開機順序偵測到的惡意代碼。

    • 遠程證明

  • AMSI) (反惡意代碼掃描介面。 主要用來保護 PowerShell、VBS) (腳本,但第三方也可以叫用。 UAC

  • 使用者:Domain\User

  • 進程名稱:PID 中的進程

  • 簽章版本:定義版本

  • 引擎版本:Antimalware Engine 版本

用戶動作:不需要採取任何動作。 Microsoft Defender 防病毒軟體可以暫停並對此威脅採取例行動作。 如果您想要手動移除威脅,請在 Microsoft Defender 防病毒軟體介面中,選取 [清除計算機]

事件標識碼 1117

符號名稱: MALWAREPROTECTION_STATE_MALWARE_ACTION_TAKEN

訊息:反惡意代碼平臺已執行動作來保護您的系統免於惡意代碼或其他潛在的垃圾軟體。

描述:Microsoft Defender 防病毒軟體採取動作來保護這部計算機免於惡意代碼或其他潛在的垃圾軟體。 如需詳細資訊,請參閱下列詳細數據:

  • 名稱:威脅名稱

  • 標識碼:威脅標識碼

  • 嚴重性:嚴重性。 範例:低、中、高或嚴重

  • 類別:類別描述,例如任何威脅或惡意代碼類型。

  • 路徑:檔案路徑

  • 偵測來源:偵測來源。 範例:未知、本機計算機、網路共用、因特網、連入流量或傳出流量

  • 偵測類型:偵測類型。 範例:啟發學習法、泛型、具象或動態簽章

  • 偵測來源:偵測來源,例如:

    • 使用者:使用者起始

    • 系統:系統起始

    • 即時:實時元件起始

    • IOAV:IE 下載和 Outlook Express Attachments 起始

    • NIS:網路檢查系統

    • IEPROTECT:IE - IExtensionValidation;此來源可防範惡意網頁控件。

    • 早期啟動反惡意代碼軟體 (ELAM) 。 這包括由開機順序偵測到的惡意代碼。

    • 遠程證明

  • AMSI) (反惡意代碼掃描介面。 主要用來保護 PowerShell、VBS) (腳本,但第三方也可以叫用。 UAC

  • 使用者:Domain\User

  • 進程名稱:PID 中的進程

  • 動作:動作。 範例:

    • 清除:已清除資源。

    • 隔離:資源已隔離。

    • 拿掉:已刪除資源。

    • 允許:允許資源執行/存在。

    • 使用者定義:使用者定義的動作,通常來自使用者指定的動作清單。

    • 無動作:無動作

    • 封鎖:資源遭到封鎖而無法執行。

  • 動作狀態:其他動作的描述

  • 錯誤碼:錯誤碼 與威脅狀態相關聯的結果碼。 標準 HRESULT 值。

  • 錯誤描述:錯誤描述錯誤的描述。

  • 簽章版本:定義版本

  • 引擎版本:Antimalware Engine 版本

注意:每當 Microsoft Defender 防病毒軟體、惡意軟體移除工具或 System Center Endpoint Protection 偵測到惡意代碼時,它會還原可能已由惡意代碼變更的下列系統設定和服務:

- Default Internet Explorer or Microsoft Edge setting

- User Access Control settings

- Chrome settings

- Boot Control Data

- Regedit and Task Manager registry settings

- Windows Update, Background Intelligent Transfer Service, and Remote Procedure Call service

- Windows Operating System files

上述內容適用於下列客戶端和伺服器版本:

- Operating system: Client Operating System

  Operating system version: Windows Vista (Service Pack 1, or Service Pack 2), Windows 7 and later

- Operating system: Server Operating System

  Operating system version: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, and Windows Server 2016

用戶動作:不需要採取任何動作。 Microsoft Defender 防病毒軟體已移除或隔離威脅。

事件標識碼 1118

符號名稱: MALWAREPROTECTION_STATE_MALWARE_ACTION_FAILED

訊息:反惡意代碼平臺嘗試執行動作來保護您的系統免於惡意代碼或其他潛在的垃圾軟體,但動作失敗。

描述:Microsoft Defender 防病毒軟體對惡意代碼或其他潛在的垃圾軟體採取動作時,發生非關鍵性錯誤。 如需詳細資訊,請參閱下列詳細數據:

  • 名稱:威脅名稱

  • 標識碼:威脅標識碼

  • 嚴重性:嚴重性。 範例:低、中、高或嚴重

  • 類別:類別描述,例如任何威脅或惡意代碼類型。

  • 路徑:檔案路徑

  • 偵測來源:偵測來源。 範例:未知、本機計算機、網路共用、因特網、連入流量或傳出流量

  • 偵測類型:偵測類型。 範例:啟發學習法、泛型、具象或動態簽章

  • 偵測來源:偵測來源,例如:

    • 使用者:使用者起始

    • 系統:系統起始

    • 即時:實時元件起始

    • IOAV:IE 下載和 Outlook Express Attachments 起始

    • NIS:網路檢查系統

    • IEPROTECT:IE - IExtensionValidation;這可防止惡意網頁控件。

    • 早期啟動反惡意代碼軟體 (ELAM) 。 這包括由開機順序偵測到的惡意代碼。

    • 遠程證明

  • AMSI) (反惡意代碼掃描介面。 主要用來保護 PowerShell、VBS) (腳本,但第三方也可以叫用。 UAC

  • 使用者:Domain\User

  • 進程名稱:PID 中的進程

  • 動作:動作。 範例:

    • 清除:已清除資源。

    • 隔離:資源已隔離。

    • 拿掉:已刪除資源。

    • 允許:允許資源執行/存在

    • 使用者定義:使用者定義的動作,通常來自使用者指定的動作清單。

    • 無動作:無動作

    • 封鎖:資源遭到封鎖而無法執行

  • 動作狀態:其他動作的描述

  • 錯誤碼:錯誤碼 與威脅狀態相關聯的結果碼。 標準 HRESULT 值。

  • 錯誤描述:錯誤描述錯誤的描述。

  • 簽章版本:定義版本

  • 引擎版本:Antimalware Engine 版本

用戶動作:不需要採取任何動作。 Microsoft Defender 防病毒軟體無法完成與惡意代碼補救相關的工作。 這不是重大失敗。

事件標識碼 1119

符號名稱: MALWAREPROTECTION_STATE_MALWARE_ACTION_CRITICALLY_FAILED

訊息:反惡意代碼平臺在嘗試對惡意代碼或其他潛在的垃圾軟體採取動作時發生嚴重錯誤。 事件訊息中有更多詳細數據。

描述:Microsoft Defender 防病毒軟體對惡意代碼或其他潛在的垃圾軟體採取動作時發生嚴重錯誤。 如需詳細資訊,請參閱下列詳細數據:

  • 名稱:威脅名稱

  • 標識碼:威脅標識碼

  • 嚴重性:嚴重性。 範例:低、中、高或嚴重

  • 類別:類別描述,例如任何威脅或惡意代碼類型。

  • 路徑:檔案路徑

  • 偵測來源:偵測來源。 範例:未知、本機計算機、網路共用、因特網、連入流量或傳出流量

  • 偵測類型:偵測類型。 範例:啟發學習法、泛型、具象或動態簽章

  • 偵測來源:偵測來源,例如:

    • 使用者:使用者起始

    • 系統:系統起始

    • 即時:實時元件起始

    • IOAV:IE 下載和 Outlook Express Attachments 起始

    • NIS:網路檢查系統

    • IEPROTECT:IE - IExtensionValidation;這可防止惡意網頁控件。

    • 早期啟動反惡意代碼軟體 (ELAM) 。 這包括開機順序偵測到的惡意代碼

    • 遠程證明

  • AMSI) (反惡意代碼掃描介面。 主要用來保護 PowerShell、VBS) (腳本,但第三方也可以叫用。 UAC

  • 使用者:Domain\User

  • 進程名稱:PID 中的進程

  • 動作:動作。 範例:

    • 清除:已清除資源

    • 隔離:資源已隔離。

    • 拿掉:已刪除資源。

    • 允許:允許資源執行/存在。

    • 使用者定義:使用者定義的動作,通常來自使用者指定的動作清單。

    • 無動作:無動作

    • 封鎖:資源遭到封鎖而無法執行。

  • 動作狀態:其他動作的描述

  • 錯誤碼:錯誤碼 與威脅狀態相關聯的結果碼。 標準 HRESULT 值。

  • 錯誤描述:錯誤描述錯誤的描述。

  • 簽章版本:定義版本

  • 引擎版本:Antimalware Engine 版本

用戶動作:Microsoft Defender 防病毒軟體客戶端因為重大問題而遇到此錯誤。 端點可能不受保護。 檢閱錯誤描述,然後遵循相關的 用戶動作 步驟。

  • 動作:移除使用者動作:更新定義,然後確認移除成功。

  • 動作:清除用戶動作:更新定義,然後確認補救成功。

  • 動作:隔離用戶動作:更新定義,並確認使用者具有存取必要資源的許可權。

  • 動作:允許使用者動作:確認使用者具有存取必要資源的許可權。

如果此事件持續發生:

事件標識碼 1120

符號名稱: MALWAREPROTECTION_THREAT_HASH

訊息:Microsoft Defender 防病毒軟體推斷威脅資源的哈希。

描述:Microsoft Defender 防病毒軟體用戶端在狀況良好狀態下啟動並執行。

  • 目前的平臺版本:目前的平臺版本

  • 威脅資源路徑:路徑

  • 哈希:哈希

注意:只有在設定下列原則時,才會記錄此事件:ThreatFileHashLogging unsigned。

事件標識碼 1121

訊息:在封鎖模式中引發受攻擊面縮小規則時的事件。

描述:

  • 目前的平臺版本:目前的平臺版本

  • 威脅資源路徑:路徑

  • 哈希:哈希

事件標識碼 1127

符號名稱: MALWAREPROTECTION_FOLDER_GUARD_SECTOR_BLOCK

訊息:受控資料夾存取 (CFA) 封鎖不受信任的進程對記憶體進行變更。

描述:受控資料夾存取已封鎖不受信任的進程,無法修改磁碟扇區。 如需事件記錄的詳細資訊,請參閱下列詳細數據:

  • EventID:EventID。 範例:1127

  • 版本:版本。 範例:0

  • 層級:層級。 範例:win:警告

  • TimeCreated:SystemTime,建立事件的時間。

  • EventRecordID:EventRecordID,事件記錄檔中事件的索引編號

  • 執行 ProcessID:執行 ProcessID,產生事件的進程

  • 通道:事件通道。 範例:Microsoft-Windows-Windows Defender/Operational

  • 計算機:計算機名稱

  • 安全性用戶標識碼:安全性 UserID

  • 產品名稱:產品名稱。 範例:Microsoft Defender 防病毒軟體

  • 產品版本:產品版本

  • 偵測時間:偵測時間、CFA 封鎖不受信任進程的時間

  • 使用者:Domain\User

  • 路徑:裝置名稱、未受信任進程存取以進行修改的裝置或磁碟名稱

  • 進程名稱:進程路徑、CFA 封鎖的進程路徑名稱,無法存取裝置或磁碟進行修改

  • 安全情報版本:安全性情報版本

  • 引擎版本:Antimalware Engine 版本

使用者動作:使用者可以使用 PowerShell 或 Windows 安全性 Center,將封鎖的進程新增至 CFA 的 [允許的進程] 清單。

事件標識碼 1150

符號名稱: MALWAREPROTECTION_SERVICE_HEALTHY

訊息:如果您的反惡意代碼平臺向監視平台報告狀態,此事件表示反惡意代碼平臺正在執行且處於狀況良好的狀態。

描述:Microsoft Defender 防病毒軟體用戶端在狀況良好狀態下啟動並執行。

  • 平臺版本:目前的平臺版本

  • 簽章版本:定義版本

  • 引擎版本:Antimalware Engine 版本

用戶動作:不需要採取任何動作。 Microsoft Defender 防病毒軟體用戶端處於狀況良好的狀態。 此事件會每小時報告一次。

事件標識碼 1151

符號名稱: MALWAREPROTECTION_SERVICE_HEALTH_REPORT

訊息:Endpoint Protection 用戶端健康情況報告 (UTC)

描述:防病毒軟體用戶端健康情況報告。

  • 平臺版本:目前的平臺版本

  • 引擎版本:Antimalware Engine 版本

  • 網路即時檢查引擎版本:網路即時檢查引擎版本

  • 防病毒軟體簽章版本:防病毒軟體簽章版本

  • Antispyware 簽章版本:Antispyware 簽章版本

  • 網路即時檢查簽章版本:網路即時檢查簽章版本

  • RTP 狀態:啟用或停用 (實時保護狀態)

  • OA 狀態:啟用或停用存取狀態 ()

  • IOAV 狀態:IE 下載和 Outlook Express Attachments 狀態 (啟用或停用)

  • BM 狀態: (啟用或停用) 的行為監視狀態

  • 防病毒軟體簽章存留期:防病毒軟體簽章 ()

  • 反間諜軟體簽章存留期:反spyware 簽章存留期 (天數)

  • 上次快速掃描存留期:上次快速掃描 ()

  • 上次完整掃描存留期:上次完整掃描 ()

  • 防病毒軟體簽章建立時間:防病毒軟體簽章建立時間

  • 反間諜軟體簽章建立時間:Antispyware 簽章建立時間

  • 上次快速掃描開始時間:上次快速掃描開始時間

  • 上次快速掃描結束時間:上次快速掃描結束時間

  • 上次快速掃描來源:上次快速掃描來源 (0 = 掃描未執行,1 = 使用者起始,2 = 系統起始)

  • 上次完整掃描開始時間:上次完整掃描開始時間

  • 上次完整掃描結束時間:上次完整掃描結束時間

  • 上次完整掃描來源:上次完整掃描來源 (0 = 掃描未執行,1 = 使用者起始,2 = 系統起始)

  • 產品狀態:進行內部疑難解答

事件標識碼 2000

符號名稱: MALWAREPROTECTION_SIGNATURE_UPDATED

訊息:反惡意代碼定義已成功更新。

描述:已更新防病毒軟體簽章版本。

  • 目前的簽章版本:目前的簽章版本

  • 舊版簽章版本:舊版簽章

  • 簽章類型:簽章類型。 範例:防病毒軟體、反間諜軟體、反惡意代碼軟體或網路檢查系統

  • 更新類型:更新類型,包括完整或差異。

  • 使用者:Domain\User

  • 目前的引擎版本:目前的引擎版本

  • 舊版引擎:舊版引擎

用戶動作:不需要採取任何動作。 Microsoft Defender 防病毒軟體用戶端處於狀況良好的狀態。 成功更新簽章時,就會報告此事件。

事件標識碼 2001

符號名稱: MALWAREPROTECTION_SIGNATURE_UPDATE_FAILED

訊息:安全性情報更新失敗。

描述:Microsoft Defender 防病毒軟體嘗試更新簽章時發生錯誤。

  • 新的安全情報版本:新版本號碼

  • 舊版安全情報版本:舊版

  • 更新來源:更新來源。 範例:

    • 安全性情報更新資料夾

    • 內部安全情報更新伺服器

    • Microsoft更新伺服器

    • 檔案共用

    • Microsoft 惡意程式碼防護中心 (MMPC)

  • 更新階段:更新階段。 範例:搜尋、下載或安裝

  • 來源路徑:通用命名約定 (UNC) 的檔案共用名、Windows Server Update Services (WSUS) /Microsoft Update/ADL 的伺服器名稱。

  • 簽章類型:簽章類型。 範例:防病毒軟體、反間諜軟體、反惡意代碼軟體或網路檢查系統

  • 更新類型:更新類型,包括完整或差異。

  • 使用者:Domain\User

  • 目前的引擎版本:目前的引擎版本

  • 舊版引擎:舊版引擎

  • 錯誤碼:錯誤碼 與威脅狀態相關聯的結果碼。 標準 HRESULT 值。

  • 錯誤描述:錯誤描述錯誤的描述。

使用者動作:更新定義時發生此錯誤。 若要對此事件進行疑難解答:

  • 更新定義, 並強制直接在端點上重新掃描。

  • 如需此錯誤的詳細資訊,請檢閱 %Windir%\WindowsUpdate.log 檔案中的專案。

  • 連絡 Microsoft 技術支援

事件標識碼 2002

符號名稱: MALWAREPROTECTION_ENGINE_UPDATED

訊息:反惡意代碼引擎已成功更新。

描述:Microsoft Defender 更新防病毒軟體引擎版本。

  • 目前的引擎版本:目前的引擎版本

  • 舊版引擎:舊版引擎

  • 引擎類型:引擎類型,反惡意代碼引擎或網路檢查系統引擎。

  • 使用者:Domain\User

用戶動作:不需要採取任何動作。 Microsoft Defender 防病毒軟體用戶端處於狀況良好的狀態。 此事件會在反惡意代碼引擎成功更新時回報。

事件標識碼 2003

符號名稱: MALWAREPROTECTION_ENGINE_UPDATE_FAILED

訊息:反惡意代碼引擎更新失敗。

描述:Microsoft Defender 防病毒軟體嘗試更新引擎時發生錯誤。

  • 新增引擎版本:

  • 舊版引擎:舊版引擎

  • 引擎類型:引擎類型,反惡意代碼引擎或網路檢查系統引擎。

  • 使用者:Domain\User

  • 錯誤碼:錯誤碼 與威脅狀態相關聯的結果碼。 標準 HRESULT 值。

  • 錯誤描述:錯誤描述錯誤的描述。

用戶動作:Microsoft Defender 防病毒軟體用戶端更新失敗。 當客戶端無法自行更新時,就會發生此事件。 此事件是因為更新期間的網路連線中斷所致。 若要對此事件進行疑難解答:

事件標識碼 2004

符號名稱: MALWAREPROTECTION_SIGNATURE_REVERSION

訊息:載入反惡意代碼定義時發生問題。 反惡意代碼引擎會嘗試載入最後一組已知的良好定義。

描述:Microsoft Defender 防病毒軟體嘗試載入簽章時發生錯誤,並會嘗試還原回已知良好的簽章集。

  • 已嘗試簽章:

  • 錯誤碼:錯誤碼 與威脅狀態相關聯的結果碼。 標準 HRESULT 值。

  • 錯誤描述:錯誤描述錯誤的描述。

  • 簽章版本:定義版本

  • 引擎版本:反惡意代碼引擎版本

用戶動作:Microsoft Defender 防病毒軟體用戶端嘗試下載並安裝最新的定義檔案,但失敗。 當客戶端嘗試載入定義時遇到錯誤,或檔案損毀時,可能會發生此錯誤。 Microsoft Defender 防病毒軟體會嘗試還原回已知良好的定義集。 若要對此事件進行疑難解答:

  • 重新啟動計算機,然後再試一次。

  • 從 Microsoft 安全情報 網站下載最新定義。

    注意:從網站下載的定義檔案大小可以超過 60 MB,不應作為更新定義的長期解決方案。

  • 連絡 Microsoft 技術支援

事件標識碼 2005

符號名稱: MALWAREPROTECTION_ENGINE_UPDATE_PLATFORMOUTOFDATE

訊息:反惡意代碼引擎無法載入,因為反惡意代碼平臺已過期。 反惡意代碼平臺會載入最後已知的良好反惡意代碼引擎,並嘗試更新。

描述:Microsoft Defender 防病毒軟體無法載入反惡意代碼引擎,因為目前平臺版本不受支援。 Microsoft Defender 防病毒軟體會還原回上一個已知良好的引擎,並嘗試進行平臺更新。

  • 目前的平臺版本:目前的平臺版本

事件標識碼 2006

符號名稱: MALWAREPROTECTION_PLATFORM_UPDATE_FAILED

訊息:平臺更新失敗。

描述:Microsoft Defender 防病毒軟體嘗試更新平台時發生錯誤。

  • 目前的平臺版本:目前的平臺版本

  • 錯誤碼:錯誤碼 與威脅狀態相關聯的結果碼。 標準 HRESULT 值。

  • 錯誤描述:錯誤描述錯誤的描述。

事件標識碼 2007

符號名稱: MALWAREPROTECTION_PLATFORM_ALMOSTOUTOFDATE

訊息:平臺即將過時。 下載最新的平台以維護最新的保護。

描述:Microsoft Defender 防病毒軟體很快就會需要較新的平臺版本,才能支持未來的反惡意代碼引擎版本。 下載最新的 Microsoft Defender 防病毒軟體平臺,以維持最佳的可用保護層級。

  • 目前的平臺版本:目前的平臺版本

事件標識碼 2010

符號名稱: MALWAREPROTECTION_SIGNATURE_FASTPATH_UPDATED

訊息:反惡意代碼引擎使用動態簽章服務來取得其他定義。

描述:Microsoft Defender 防病毒軟體使用動態簽章服務來擷取更多簽章,以協助保護您的計算機。

  • 目前的簽章版本:目前的簽章版本

  • 簽章類型:簽章類型。 範例:防病毒軟體、反間諜軟體、反惡意代碼軟體或網路檢查系統

  • 目前的引擎版本:目前的引擎版本

  • 動態簽章類型:動態簽章類型。 範例:版本、時間戳、無限制或持續時間

  • 持續性路徑:路徑

  • 動態簽章版本:版本號碼

  • 動態簽章編譯時間戳:時間戳

  • 持續性限制類型:持續性限制類型。 範例:VDM 版本、時間戳或無限制

  • 持續性限制:fastpath 簽章的持續性限制。

事件標識碼 2011

符號名稱: MALWAREPROTECTION_SIGNATURE_FASTPATH_DELETED

訊息:動態簽章服務已刪除過期的動態定義。

變更為預設行為:變更為動態簽章事件報告默認行為。

當 MDE 收到動態簽章時,會報告 2010 事件。 不過,當動態簽章過期或手動刪除時,會報告 2011 事件。 在某些情況下,當新的簽章傳遞至 MDE 有時有數百個動態簽章會同時到期;因此會報告數百個 2011 事件。 產生許多 2011 事件可能會導致 SIEM) 伺服器 (安全性資訊和事件管理變得很普及。

為了避免先前所述的情況 - 從平臺 4.18.2207.7 版開始 - 根據預設,適用於端點的 Defender 不會報告 2011 事件:

  • 這個新的預設行為是由登錄專案所控制: HKLM\SOFTWARE\Microsoft\Windows Defender\Reporting\EnableDynamicSignatureDroppedEventReporting
  • 的預設值為 EnableDynamicSignatureDroppedEventReportingfalse,這表示 不會報告 2011 事件。 如果設為 true,則會報告 2011 事件

因為 2010 簽章事件是及時分散式的,而且不會造成尖峰-2010 簽章事件行為不變。

描述:Microsoft Defender 防病毒軟體使用動態簽章服務來捨棄過時的簽章。

  • 目前的簽章版本:目前的簽章版本

  • 簽章類型:簽章類型。 範例:防病毒軟體、反間諜軟體、反惡意代碼軟體或網路檢查系統

  • 目前的引擎版本:目前的引擎版本

  • 動態簽章類型:動態簽章類型。 範例:版本、時間戳、無限制或持續時間

  • 持續性路徑:路徑

  • 動態簽章版本:版本號碼

  • 動態簽章編譯時間戳:時間戳

  • 拿掉原因:

  • 持續性限制類型:持續性限制類型。 範例:VDM 版本、時間戳或無限制

  • 持續性限制:fastpath 簽章的持續性限制。

用戶動作:不需要採取任何動作。 Microsoft Defender 防病毒軟體用戶端處於狀況良好的狀態。 當動態簽章服務成功刪除過期的動態定義時,就會報告此事件。

事件標識碼 2012

符號名稱: MALWAREPROTECTION_SIGNATURE_FASTPATH_UPDATE_FAILED

訊息:反惡意代碼引擎在嘗試使用動態簽章服務時發生錯誤。

描述:Microsoft Defender 防病毒軟體嘗試使用動態簽章服務時發生錯誤。

  • 目前的簽章版本:目前的簽章版本

  • 簽章類型:簽章類型。 範例:防病毒軟體、反間諜軟體、反惡意代碼軟體或網路檢查系統

  • 目前的引擎版本:目前的引擎版本

  • 錯誤碼:錯誤碼 與威脅狀態相關聯的結果碼。 標準 HRESULT 值。

  • 錯誤描述:錯誤描述錯誤的描述。

  • 動態簽章類型:動態簽章類型。 範例:版本、時間戳、無限制或持續時間

  • 持續性路徑:路徑

  • 動態簽章版本:版本號碼

  • 動態簽章編譯時間戳:時間戳

  • 持續性限制類型:持續性限制類型。 範例:VDM 版本、時間戳或無限制

  • 持續性限制:fastpath 簽章的持續性限制。

用戶動作:檢查您的因特網連線設定。

事件標識碼 2013

符號名稱: MALWAREPROTECTION_SIGNATURE_FASTPATH_DELETED_ALL

訊息:動態簽章服務已刪除所有動態定義。

描述:Microsoft Defender 防病毒軟體捨棄所有動態簽章服務簽章。

  • 目前的簽章版本:目前的簽章版本

事件標識碼 2020

符號名稱: MALWAREPROTECTION_CLOUD_CLEAN_RESTORE_FILE_DOWNLOADED

訊息:反惡意代碼引擎已下載乾淨的檔案。

描述:Microsoft Defender 防病毒軟體下載了乾淨的檔案。

  • 檔名:檔案名檔案的名稱。

  • 目前的簽章版本:目前的簽章版本

  • 目前的引擎版本:目前的引擎版本

事件標識碼 2021

符號名稱: MALWAREPROTECTION_CLOUD_CLEAN_RESTORE_FILE_DOWNLOAD_FAILED

訊息:反惡意代碼引擎無法下載乾淨的檔案。

描述:Microsoft Defender 防病毒軟體嘗試下載全新檔案時發生錯誤。

  • 檔名:檔案名檔案的名稱。

  • 目前的簽章版本:目前的簽章版本

  • 目前的引擎版本:目前的引擎版本

  • 錯誤碼:錯誤碼 與威脅狀態相關聯的結果碼。 標準 HRESULT 值。

  • 錯誤描述:錯誤描述錯誤的描述。

用戶動作:檢查您的因特網連線設定。 使用動態簽章服務將最新的定義下載到特定威脅時,Microsoft Defender 防病毒軟體用戶端發生錯誤。 此錯誤可能是網路連線問題所造成。

事件標識碼 2030

符號名稱: MALWAREPROTECTION_OFFLINE_SCAN_INSTALLED

訊息:已下載反惡意代碼引擎,並設定為在下次系統重新啟動時離線執行。

描述:Microsoft Defender 下載並設定離線防病毒軟體,以在下次重新啟動時執行。

事件標識碼 2031

符號名稱: MALWAREPROTECTION_OFFLINE_SCAN_INSTALL_FAILED

訊息:反惡意代碼引擎無法下載並設定離線掃描。

描述:Microsoft Defender 防病毒軟體嘗試下載並設定脫機防病毒軟體時發生錯誤。

  • 錯誤碼:錯誤碼 與威脅狀態相關聯的結果碼。 標準 HRESULT 值。

  • 錯誤描述:錯誤描述錯誤的描述。

事件標識碼 2040

符號名稱: MALWAREPROTECTION_OS_EXPIRING

訊息:此操作系統版本的反惡意代碼支援即將結束。

描述:您操作系統的支援很快就會到期。 在不支援的操作系統上執行 Microsoft Defender 防病毒軟體,並不足以防範威脅。

事件標識碼 2041

符號名稱: MALWAREPROTECTION_OS_EOL

訊息:此操作系統的反惡意代碼支援已結束。 您必須升級作業系統,以繼續支援。

描述:您的作業系統支援已過期。 在不支援的操作系統上執行 Microsoft Defender 防病毒軟體,並不足以防範威脅。

事件標識碼 2042

符號名稱: MALWAREPROTECTION_PROTECTION_EOL

訊息:反惡意代碼引擎不再支援此操作系統,也不再保護您的系統免於惡意代碼。

描述:您的作業系統支援已過期。 Microsoft Defender 操作系統不再支援防病毒軟體、已停止運作,且無法防範惡意代碼威脅。

事件標識碼 3002

符號名稱: MALWAREPROTECTION_RTP_FEATURE_FAILURE

訊息:即時保護發生錯誤且失敗。

描述:Microsoft Defender 防病毒軟體 Real-Time 保護功能發生錯誤並失敗。

  • 功能:功能。 範例:在 Access 上,Internet Explorer 會下載並Microsoft Outlook Express 附件、行為監視或網路檢查系統。

  • 錯誤碼:錯誤碼 與威脅狀態相關聯的結果碼。 標準 HRESULT 值。

  • 錯誤描述:錯誤描述錯誤的描述。

  • 原因:防病毒軟體即時保護 Microsoft Defender 重新啟動功能的原因。

用戶動作:您應該重新啟動系統,然後執行完整掃描,因為系統可能有一段時間未受到保護。 Microsoft Defender 防病毒軟體用戶端的即時保護功能發生錯誤,因為其中一個服務無法啟動。 如果後面接著 3007 事件標識符,則失敗是暫時性的,反惡意代碼用戶端會從失敗中復原。

事件標識碼 3007

符號名稱: MALWAREPROTECTION_RTP_FEATURE_RECOVERED

訊息:從失敗復原實時保護。 當您看到此錯誤時,建議您執行完整的系統掃描。

描述:Microsoft Defender 防病毒軟體實時保護重新啟動功能。 建議您執行完整的系統掃描,以偵測此代理程式關閉時可能遺漏的任何專案。

  • 功能:功能。 範例:在 Access 上,IE 下載和 Outlook Express 附件、行為監視或網路檢查系統

  • 原因:防病毒軟體即時保護 Microsoft Defender 重新啟動功能的原因。

用戶動作:即時保護功能已重新啟動。 如果此事件再次發生,請連絡Microsoft技術支援。

事件標識碼 5000

符號名稱: MALWAREPROTECTION_RTP_ENABLED

訊息:已啟用即時保護。

描述:Microsoft Defender 已啟用惡意代碼和其他潛在垃圾軟體的防病毒軟體即時保護掃描。

事件標識碼 5001

符號名稱: MALWAREPROTECTION_RTP_DISABLED

訊息:已停用實時保護。

描述:Microsoft Defender 已停用惡意代碼和其他潛在垃圾軟體的防病毒軟體即時保護掃描。

事件標識碼 5004

符號名稱: MALWAREPROTECTION_RTP_FEATURE_CONFIGURED

訊息:即時保護設定已變更。

描述:Microsoft Defender 防病毒軟體實時保護功能設定已變更。

  • 功能:功能。 範例:在 Access 上,IE 下載和 Outlook Express 附件、行為監視或網路檢查系統
  • 設定:

事件標識碼 5007

符號名稱: MALWAREPROTECTION_CONFIG_CHANGED

訊息:反惡意代碼平臺設定已變更。

描述:Microsoft Defender 防病毒軟體設定已變更。 如果此事件非預期,您應該檢閱設定,因為事件可能是惡意代碼的結果。

  • 舊值:舊值數位舊防病毒軟體組態值。

  • 新值:新值編號 新的防病毒軟體組態值。

事件標識碼 5008

符號名稱: MALWAREPROTECTION_ENGINE_FAILURE

訊息:反惡意代碼引擎發生錯誤並失敗。

描述:Microsoft Defender 防病毒軟體引擎因為未預期的錯誤而終止。

  • 失敗類型:失敗類型。 範例:當機或停止回應

  • 例外狀況碼:錯誤碼

  • 資源:資源

使用者動作:針對此事件進行疑難解答:

  • 嘗試重新啟動服務。

    • 針對反惡意代碼軟體、防病毒軟體和間諜軟體,請在提升許可權的命令提示字元中輸入 net stop msmpsvc,然後輸入 net start msmpsvc 以重新啟動反惡意代碼引擎。

    • 針對 網路檢查系統,在提升許可權的命令提示字元中,輸入 net start nissrv,然後輸入 net start nissrv ,以使用 NiSSRV.exe 檔案重新啟動 網路檢查系統 引擎。

  • 如果它以相同方式失敗,請存取 [Microsoft 支援服務 網站],並在 [搜尋] 方塊中輸入錯誤號碼,然後連絡 Microsoft 技術支援],以查閱錯誤碼。

用戶動作:Microsoft Defender 防病毒軟體用戶端引擎因為未預期的錯誤而停止。 若要對此事件進行疑難解答:

事件標識碼 5009

符號名稱: MALWAREPROTECTION_ANTISPYWARE_ENABLED

訊息:已啟用惡意代碼和其他潛在垃圾軟體的掃描。

描述:Microsoft Defender 已啟用惡意代碼和其他潛在垃圾軟體的防病毒軟體掃描。

事件標識碼 5010

符號名稱: MALWAREPROTECTION_ANTISPYWARE_DISABLED

訊息:已停用掃描惡意代碼和其他潛在的垃圾軟體。

描述:Microsoft Defender 停用惡意代碼和其他潛在垃圾軟體的防病毒軟體掃描。

事件標識碼 5011

符號名稱: MALWAREPROTECTION_ANTIVIRUS_ENABLED

訊息:已啟用病毒掃描。

描述:Microsoft Defender 已啟用病毒的防病毒掃描。

事件標識碼 5012

符號名稱: MALWAREPROTECTION_ANTIVIRUS_DISABLED

訊息:已停用病毒掃描。

描述:Microsoft Defender 病毒的防病毒軟體掃描已停用。

事件標識碼 5013

符號名稱: MALWAREPROTECTION_SCAN_CANCELLED

訊息:竄改保護已封鎖對 Microsoft Defender 防病毒軟體的變更。

描述:如果已啟用竄改保護,則會封鎖任何變更 Defender 設定的嘗試。 系統會產生事件標識碼 5013,並說明已封鎖哪些設定變更。

事件標識碼 5100

符號名稱: MALWAREPROTECTION_EXPIRATION_WARNING_STATE

訊息:反惡意代碼平台即將到期。

描述:Microsoft Defender 防病毒軟體進入寬限期,而且即將過期。 到期之後,此程式會停用病毒、間諜軟體和其他潛在垃圾軟體的保護。

  • 到期原因:防病毒軟體 Microsoft Defender 到期的原因。

  • 到期日:防病毒軟體 Microsoft Defender 到期日。

事件識別碼 5101

符號名稱: MALWAREPROTECTION_DISABLED_EXPIRED_STATE

訊息:反惡意代碼平臺已過期。

描述:Microsoft Defender 防病毒軟體寬限期已過期。 已停用針對病毒、間諜軟體和其他潛在垃圾軟體的保護。

  • 錯誤碼:錯誤碼 與威脅狀態相關聯的結果碼。 標準 HRESULT 值。

  • 錯誤描述:錯誤描述錯誤的描述。

Microsoft Defender 防病毒軟體用戶端錯誤碼

如果 Microsoft Defender 防病毒軟體遇到任何問題,通常會提供錯誤碼來協助您針對問題進行疑難解答。 最常見的錯誤表示安裝更新時發生問題。 本節提供 Microsoft Defender 防病毒軟體用戶端錯誤的下列資訊。

  • 錯誤碼

  • 錯誤的可能原因

  • 現在該怎麼做的建議

使用下列信息來協助疑難解答 Microsoft Defender 防病毒軟體錯誤碼。

錯誤碼0x80508007

訊息: ERR_MP_NO_MEMORY

可能的原因:此錯誤表示您的記憶體可能用盡。

解決方案:

  • 檢查裝置上的可用記憶體。

  • 關閉任何正在執行的未使用應用程式,以釋放裝置上的記憶體。

  • 重新啟動裝置,然後再次執行掃描。

錯誤碼0x8050800C

訊息: ERR_MP_BAD_INPUT_DATA

可能的原因:此錯誤表示您的安全性產品可能有問題。

解決方案:

  • 更新定義。 也:

    • 在 Windows 安全性 應用程式中取得您的安全性情報更新。

      更新 Microsoft Defender 防病毒軟體中的定義

    • 從 Microsoft 安全情報 網站下載最新定義。

    [!注意] 從網站下載的定義檔案大小可以超過 60 MB,不應作為更新定義的長期解決方案。

  • 執行完整掃描。

  • 重新啟動裝置,然後再試一次。

錯誤碼0x80508020

訊息: ERR_MP_BAD_CONFIGURATION

可能的原因:此錯誤表示可能有引擎設定錯誤。 此錯誤通常與不允許引擎正常運作的輸入數據有關。

錯誤碼0x805080211

訊息: ERR_MP_QUARANTINE_FAILED

可能的原因:此錯誤表示 Microsoft Defender 防病毒軟體無法隔離威脅。

錯誤碼0x80508022

訊息: ERR_MP_REBOOT_REQUIRED

可能的原因:此錯誤表示需要重新啟動才能完成威脅移除。

錯誤碼0x80508023

訊息: ERR_MP_THREAT_NOT_FOUND

可能的原因:此錯誤表示威脅可能不再出現在媒體上,或惡意代碼可能會阻止您掃描裝置。

解決方法:執行 Microsoft 安全掃描工具 然後更新您的安全性軟體,然後再試一次。

錯誤碼0x80508024

訊息: ERR_MP_FULL_SCAN_REQUIRED

可能的原因:此錯誤表示可能需要完整系統掃描。

解決方法:執行完整系統掃描。

錯誤碼0x80508025

訊息: ERR_MP_MANUAL_STEPS_REQUIRED

可能的原因:此錯誤表示需要手動步驟才能完成威脅移除。

解決方式:遵循 Microsoft 惡意 代碼保護百科全書中所述的手動補救步驟。 您可以在事件歷程記錄中找到威脅特定的連結。

錯誤碼0x80508026

訊息: ERR_MP_REMOVE_NOT_SUPPORTED

可能的原因:此錯誤表示可能不支援移除容器類型內。

解決方法:Microsoft Defender 防病毒軟體無法補救在封存內偵測到的威脅。 請考慮手動移除偵測到的資源。

錯誤碼0x80508027

訊息: ERR_MP_REMOVE_LOW_MEDIUM_DISABLED

可能的原因:此錯誤表示可能已停用移除低威脅和中度威脅。

解決方法:檢查偵測到的威脅,並視需要加以解決。

錯誤碼0x80508029

訊息: ERROR_MP_RESCAN_REQUIRED

可能的原因:此錯誤表示需要重新掃描威脅。

解決方法:執行完整系統掃描。

錯誤碼0x80508030

訊息: ERROR_MP_CALLISTO_REQUIRED

可能的原因:此錯誤表示需要離線掃描。

解決方法:離線執行 Microsoft Defender 防病毒軟體。 如需詳細資訊,請參閱使用 Microsoft Defender Offline 協助保護我的計算機

錯誤碼0x80508031

訊息: ERROR_MP_PLATFORM_OUTDATED

可能的原因:此錯誤表示 Microsoft Defender 防病毒軟體不支援目前版本的平臺,而且需要新版本的平臺。

解決方法:您只能在 Windows 10 和 Windows 11 中使用 Microsoft Defender 防病毒軟體。 針對 Windows 8、Windows 7 和 Windows Vista,您可以使用 System Center Endpoint Protection。

內部錯誤碼

下列錯誤碼會在內部測試 Microsoft Defender 防病毒軟體期間使用。

如果您看到這些錯誤,您可以嘗試更新定義,並直接在端點上強制重新掃描。

錯誤碼0x80501004

顯示的訊息: ERROR_MP_NO_INTERNET_CONN

錯誤和解決的可能原因:檢查您的因特網連線,然後再次執行掃描。

錯誤碼0x80501000

顯示的訊息: ERROR_MP_UI_CONSOLIDATION_BASE

錯誤和解決方式的可能原因:此錯誤為內部錯誤。 原因未明確定義。

錯誤碼0x80501001

顯示的訊息: ERROR_MP_ACTIONS_FAILED

錯誤和解決方式的可能原因:此錯誤為內部錯誤。 原因未明確定義。

錯誤碼0x80501002

顯示的訊息: ERROR_MP_NOENGINE

錯誤和解決方式的可能原因:此錯誤為內部錯誤。 原因未明確定義。

錯誤碼0x80501003

顯示的訊息: ERROR_MP_ACTIVE_THREATS

錯誤和解決方式的可能原因:此錯誤為內部錯誤。 原因未明確定義。

錯誤碼0x805011011

顯示的訊息: MP_ERROR_CODE_LUA_CANCELLED

錯誤和解決方式的可能原因:此錯誤為內部錯誤。 原因未明確定義。

錯誤碼0x80501101

顯示的訊息: ERROR_LUA_CANCELLATION

錯誤和解決方式的可能原因:此錯誤為內部錯誤。 原因未明確定義。

錯誤碼0x80501102

顯示的訊息: MP_ERROR_CODE_ALREADY_SHUTDOWN

錯誤和解決方式的可能原因:此錯誤為內部錯誤。 原因未明確定義。

錯誤碼0x80501103

顯示的訊息: MP_ERROR_CODE_RDEVICE_S_ASYNC_CALL_PENDING

錯誤和解決方式的可能原因:此錯誤為內部錯誤。 原因未明確定義。

錯誤碼0x80501104

顯示的訊息: MP_ERROR_CODE_CANCELLED

錯誤和解決方式的可能原因:此錯誤為內部錯誤。 原因未明確定義。

錯誤碼0x80501105

顯示的訊息: MP_ERROR_CODE_NO_TARGETOS

錯誤和解決方式的可能原因:此錯誤為內部錯誤。 原因未明確定義。

錯誤碼0x80501106

顯示的訊息: MP_ERROR_CODE_BAD_REGEXP

錯誤和解決方式的可能原因:此錯誤為內部錯誤。 原因未明確定義。

錯誤碼0x80501107

顯示的訊息: MP_ERROR_TEST_INDUCED_ERROR

錯誤和解決方式的可能原因:此錯誤為內部錯誤。 原因未明確定義。

錯誤碼0x80501108

顯示的訊息: MP_ERROR_SIG_BACKUP_DISABLED

錯誤和解決方式的可能原因:此錯誤為內部錯誤。 原因未明確定義。

錯誤碼0x80508001

顯示的訊息: ERR_MP_BAD_INIT_MODULES

錯誤和解決方式的可能原因:此錯誤為內部錯誤。 原因未明確定義。

錯誤碼0x80508002

顯示的訊息: ERR_MP_BAD_DATABASE

錯誤和解決方式的可能原因:此錯誤為內部錯誤。 原因未明確定義。

錯誤碼0x80508004

顯示的訊息: ERR_MP_BAD_UFS

錯誤和解決方式的可能原因:此錯誤為內部錯誤。 原因未明確定義。

錯誤碼0x8050800C

顯示的訊息: ERR_MP_BAD_INPUT_DATA

錯誤和解決方式的可能原因:此錯誤為內部錯誤。 原因未明確定義。

錯誤碼0x8050800D

顯示的訊息: ERR_MP_BAD_GLOBAL_STORAGE

錯誤和解決方式的可能原因:此錯誤為內部錯誤。 原因未明確定義。

錯誤碼0x8050800E

顯示的訊息: ERR_MP_OBSOLETE

錯誤和解決方式的可能原因:此錯誤為內部錯誤。 原因未明確定義。

錯誤碼0x8050800F

顯示的訊息: ERR_MP_NOT_SUPPORTED

錯誤和解決方式的可能原因:此錯誤為內部錯誤。 原因未明確定義。

錯誤碼0x8050800F

顯示的訊息: ERR_MP_NO_MORE_ITEMS

錯誤和解決方式的可能原因:此錯誤為內部錯誤。 原因未明確定義。

錯誤碼0x80508010

顯示的訊息: ERR_MP_NO_MORE_ITEMS

錯誤和解決方式的可能原因:此錯誤為內部錯誤。 原因未明確定義。

錯誤碼0x80508011

顯示的訊息: ERR_MP_DUPLICATE_SCANID

錯誤和解決方式的可能原因:此錯誤為內部錯誤。 原因未明確定義。

錯誤碼0x80508012

顯示的訊息: ERR_MP_BAD_SCANID

錯誤和解決方式的可能原因:此錯誤為內部錯誤。 原因未明確定義。

錯誤碼0x80508013

顯示的訊息: ERR_MP_BAD_USERDB_VERSION

錯誤和解決方式的可能原因:此錯誤為內部錯誤。 原因未明確定義。

錯誤碼0x80508014

顯示的訊息: ERR_MP_RESTORE_FAILED

錯誤和解決方式的可能原因:此錯誤為內部錯誤。 原因未明確定義。

錯誤碼0x80508016

顯示的訊息: ERR_MP_BAD_ACTION

錯誤和解決方式的可能原因:此錯誤為內部錯誤。 原因未明確定義。

錯誤碼0x80508019

顯示的訊息: ERR_MP_NOT_FOUND

錯誤和解決方式的可能原因:此錯誤為內部錯誤。 原因未明確定義。

錯誤碼0x80509001

顯示的訊息: ERR_RELO_BAD_EHANDLE

錯誤和解決方式的可能原因:此錯誤為內部錯誤。 原因未明確定義。

錯誤碼0x80509003

顯示的訊息: ERR_RELO_KERNEL_NOT_LOADED

錯誤和解決方式的可能原因:此錯誤為內部錯誤。 原因未明確定義。

錯誤碼0x8050A001

顯示的訊息: ERR_MP_BADDB_OPEN

錯誤和解決方式的可能原因:此錯誤為內部錯誤。 原因未明確定義。

錯誤碼0x8050A002

顯示的訊息: ERR_MP_BADDB_HEADER

錯誤和解決方式的可能原因:此錯誤為內部錯誤。 原因未明確定義。

錯誤碼0x8050A003

顯示的訊息: ERR_MP_BADDB_OLDENGINE

錯誤和解決方式的可能原因:此錯誤為內部錯誤。 原因未明確定義。

錯誤碼0x8050A004

顯示的訊息: ERR_MP_BADDB_CONTENT

錯誤和解決方式的可能原因:此錯誤為內部錯誤。 原因未明確定義。

錯誤碼0x8050A005

顯示的訊息: ERR_MP_BADDB_NOTSIGNED

錯誤和解決方式的可能原因:此錯誤為內部錯誤。 原因未明確定義。

錯誤碼0x8050801

顯示的訊息: ERR_MP_REMOVE_FAILED

錯誤和解決方式的可能原因:此錯誤為內部錯誤。 可能會在惡意代碼移除不成功時觸發。

錯誤碼0x80508018

顯示的訊息: ERR_MP_SCAN_ABORTED

錯誤和解決方式的可能原因:此錯誤為內部錯誤。 掃描無法完成時,可能已觸發。