Windows Defenderがイベント5008を開始できない
こんにちは
自分のマシンでWindows Defenderを起動するのに問題があり(2020年2月16日の時点で完全にパッチされたWindows 10
)、この時点で約6か月間問題が発生しました.Windows Defenderは起動時に起動しますが、数分後に失敗します(同じこと
はセーフモードで発生します.)
[セキュリティ一覧]ペインには、windows のディフェンダーが機能していないことが示されます.この時点で、私はこのプロセスで何が起こっているのかを理解し、人々が提供できる支援を探しています.
私が試したこと
1.セーフモードで起動しても違いはありませんが、それでもDefenderを起動できません.
2.MpCmdRun.exeを使用してDefenderを起動します.
3.DisableAntiSpywareおよびDisableAntiVirusレジストリ値が設定されていないことを確認します.
4.マシンに他のAV製品がインストールされていないことを確認します(OEMインストールなので、何もプリインストールされていません).
5.sfc/scannowを使用した整合性チェックと
6.何が問題なのかについて、使用可能なリードがないかイベントログを確認します.7.net stop msmpsvc&net start net start msmpsvcを使用してサービスを再起動する(これは最も興味深い出力です)
以下は、私が試したさまざまなものからの出力のコレクションです:
ネットストップmsmpscvからの出力
C:\Program Files\Windows Defender>net stop msmpsvc
サービス名が無効です.
sfc\scannowからの出力
C:\WINDOWS\system32>sfc/scannow
システムScanを開始しています.このプロセスにはしばらく時間がかかります.
システムScanの検証フェーズの開始.
100%の検証が完了しました.
Windowsリソース保護は整合性違反を検出しませんでした.
イベントログ出力
-<Event xmlns="schemas.microsoft.com/Win/2004/08/events/event">
-<system>
<Provider
Name="microsoft-Windows-Windows Defender" Guid="{11cd958a-c507-4ef3-b3f2-5fd9dfbd2c78}"/>
<EventID>5008</EventID>
<version>0</version>
<Level>2</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated
SystemTime="2020-02-16T05:46:58.432968300Z"/>
<EventRecordID>3511</EventRecordID>
<Correlation/>
<実行
ProcessID="3036" ThreadID="11404"/>
<Channel>microsoft-Windows-Windows Defender/Operational</Channel>
<computer>DESKTOP-QSIL5H7</computer>
<Security
UserID="S-1-5-18"/>
</System>
-<EventData>
<Data Name="製品名">%% 827</Data>
<Data Name="製品version">4.18.1907.4</Data>
<データ
Name="Resource"/>
<Data Name="障害タイプインデックス">1</Data>
<Data Name="障害タイプ">%% 831</Data>
<データ
Name="例外コード"/>
</EventData>
</Event>
MpCmdRun.exeからの出力
MpCmdRun.exe-wdenable
CmdTool:hr=0x800705B4で失敗しました.詳細については、C:\Users\spart\AppData\Local\Temp\MpCmdRun.logを確認してください
MpCmdRun.logからの出力
-
MpCmdRun:コマンドライン:MpCmdRun.exe-wdenable
開始時間:Sun 2月16 2020 13:09: 07
MpEnsureProcessMitigationPolicy:hr=0x1
WDEnable
displayName=[Windows Defender]
pathToSignedProductExe=[Windowsdefender://]
productState=[397568]
displayName=[Windows Defender]
pathToSignedProductExe=[Windowsdefender://]
productState=[397568]
製品#1 of 1
名前:Windows Defender Antivirus
ExePath:Windowsdefender://
状態:0
SigStatus:1
サブステータス:
Scan:0
設定:0
アップデート:0
製品#1 of 1
名前:Windows Firewall
ExePath:% Windir%\system32\firewall.cpl
状態:0
サブステータス:
ドメイン:0
プライベート:0
パブリック:0
-
MpCmdRun:コマンドライン:MpCmdRun .exe-wdenable
開始時間:Sun 2月16 2020 13:09:40
MpEnsureProcessMitigationPolicy:hr=0x1
WDEnable
displayName=[Windows Defender]
pathToSignedProductExe=[ Windowsdefender://]
productState=[397568]
displayName=[Windows Defender]
pathToSignedProductExe=[Windowsdefender://]
productState=[397568]
製品#1/1
名前:Windows Defender Antivirus
ExePath:Windowsdefender://
状態:0
SigStatus:1
サブステータス:
Scan:0
設定:0
アップデート:0
製品#1/1
名前:Windowsファイアウォール
ExePath:%Windir%\system32\firewall.cpl
状態:0
サブステータス:
ドメイン:0
プライベート:0
Public:0
Time Info-Sun Feb 16 2020 13:11:41 ERROR:MpWDEnable(TRUE)failed(800705B4)
MpCmdRun:End Time:Sun Feb 16 2020 13:11:41
-
レジストリチェックからの出力
C:\Program Files\Windows Defender>Reg Query "HKLM\Software\microsoft\Windows Defender"/v DisableAntiVirus
HKEY_LOCAL_MACHINE\Software\microsoft\Windows Defender
DisableAntiVirus REG_Dword 0x0C:\Program Files\Windows Defender>Reg Query "HKLM\Software\microsoft\Windows Defender"/v DisableAntiSpyware
HKEY_LOCAL_MACHINE\Software\microsoft\Windows Defender
DisableAntiSpyware REG_Dword 0x0
返信リスト(回答:3)
は別のAntiVirusプログラムがインストールされていました.
応答1# ->にスキップ2 #spartan 3私の知る限りでは、これはWindowsのOEMインストールでした.[セキュリティプロバイダー]ペインを開くと、Windows Defenderがセキュリティプロバイダーとしてマークされています.私が言及するのを忘れていた主要な詳細の1つ(メインサブミッションを編集します)は、windows の
Defenderは、マシンの初回起動時に起動します.ただし、短時間(5分未満)後に、セキュリティセンターの「今すぐ再起動」プロンプトで失敗が発生します.セーフモードでも同じことが起こります.
応答2# ->にスキップ3 #GlenProこんにちは、spartan223193、
MalwareBytesを使用してPCをすでにScanしていると思われます.しかし、あなたが
そうではありません.「ルートキットのテスト」をオンに設定して行う必要があります.
障害が発生するまでしばらく時間がかかるため、再起動後、特定できる場合があります
「クリーンブート」を使用してください.https://support.microsoft.com/ja-jp/help/929135/how-to-perform-a-clean-boot-in-Windows
基本的に、クリーンブートPC上のMicrosoft以外のすべてのアクティビティを停止します.障害が発生しない場合
PCが「クリーンブート」されている間、停止したオブジェクトを再び許可できます
PCが再び故障するまで、小さなグループ.次に、同じロジックを
最後のグループ犯人を定義することを許可しました.このようにして、あなたは
Applicationが問題の原因です.
どのような場合でも、必ずPCを元に戻してください.
通常の起動、終了時.障害は、セキュリティ「サービス」が停止したことを示しています.失敗は
表示されている場合は、[サービス]画面を観察して、これらのサービスのどちらかを確認してください
は停止しています.[(セキュリティセンター)]までスクロールします
および(Windows Defender Antivirus Service).どちらかが停止している場合は、そのサービスに関する情報を
レジストリ.
レジストリを管理者として入力し、レジストリ内を移動します.
Hkey_local_Machine\System\CurrentControlSet\Services.下にスクロールします.
セキュリティセンターはSecurityHealthService、およびWindows Defender Antivirus
です.サービスはWinDefendです.
それぞれの右側のペインに、「開始」というラベルの付いたキーが表示されます.
SecurityHealthServiceの場合、Dword値は3である必要があります
WinDefendの場合、「開始」は2である必要があります
もちろん、他にもいくつかのキーが存在します.あったサービスについて
停止しました「スタート」キーの状態に関係なく、スクリーンショットを送信してください.
PS.Windows Defenderはセーフモードでは機能しません.あれは
通常の操作.