自从我开始积极运行离线扫描(大约 6 个月前)以来,我一直无法在运行离线扫描后查看扫描报告。我一直认为没有消息就是好消息,所以就这样了。今天,我对查看日志很感兴趣,并检查了事件查看器。它显示离线扫描从未完成,常规快速扫描经常在完成之前停止。
一些常规快速扫描由 NT AUTHORTIY/SYSTEM 执行,然后在完成之前由 NT AUTHORITY/SYSTEM 停止(事件 ID 1002):
Microsoft Defender Antivirus scan has been stopped before completion.
Scan ID: {some stuff}
Scan Type: Antimalware
Scan Parameters: Quick Scan
User: NT AUTHORITY\SYSTEM
NT AUTHORITY\SYSTEM 执行的其他常规快速扫描已完成(事件 ID 1002)。它们大约每周成功进行一次,但大约每天中止一次。
当我运行离线扫描时,我只看到事件 2030,“Microsoft Defender Antivirus 已下载并配置 Microsoft Defender Antivirus(离线扫描)将在下次重新启动时运行。”然后是一系列事件 ID 5007,表示发生了配置更改,据我所知,这只是 Defender 在跟踪重新启动。显示了一个这样的日志。
Microsoft Defender Antivirus Configuration has changed. If this is an unexpected event you should review the settings as this may be the result of malware.
Old value: Default\ProductAppDataPath = C:\ProgramData\Microsoft\Windows Defender
New value: HKLM\SOFTWARE\Microsoft\Windows Defender\ProductAppDataPath = C:\ProgramData\Microsoft\Windows Defender
据我所知,扫描本身从未运行过。
问题:
- 这是一个恶意软件吗?需要担心吗?还是防御者出现故障?
- 我该如何恢复正常功能?
感谢您的帮助。
答案1
我建议执行以下操作:
备份所有数据,因为清除病毒可能会损害 Windows
下载、安装并运行 Malwarebytes 全面扫描计算机。如果发现病毒,让它修复它们。
通过运行以下命令测试 Windows 完整性:
以管理员身份运行命令提示符 (CMD),然后输入以下命令来运行 Defender:
"C:\Program Files\Windows Defender\MpCmdRun.exe" -SignatureUpdate "C:\Program Files\Windows Defender\MpCmdRun.exe" -Scan -ScanType 2
如果问题没有解决, 通过就地升级修复安装 Windows 10
如果没有任何效果,请格式化磁盘并重新安装 Windows 和应用程序并恢复数据。一般情况下,这是根除恶意病毒最推荐的措施。