Revisar registros de sucesos y códigos de error para solucionar problemas del Antivirus de Windows Defender

1. Abra Visor de eventos.

2. En el árbol de consola, expanda Registros de aplicaciones y servicios>Microsoft>Windows>Windows Defender.

3. Haga doble clic en Operativo.

4. En el panel de detalles, vea la lista de eventos individuales para buscar el evento.

5. Seleccione el evento para ver detalles específicos sobre un evento en el panel inferior, en las pestañas General y Detalles .

Nombre simbólico: MALWAREPROTECTION_SCAN_STARTED

Mensaje: Se ha iniciado un examen antimalware.

Descripción:

• Id. de examen: número de id. del examen correspondiente.

• Tipo de examen: tipo de examen. Ejemplos: Antivirus, Antispyware o Antimalware

• Parámetros de examen: parámetros de examen. Ejemplos: Examen completo, Examen rápido o Examen del cliente

• Recursos de examen: recursos (como archivos, directorios o BHO) que se examinaron.

• Usuario: Dominio\Usuario

Nombre simbólico: MALWAREPROTECTION_SCAN_COMPLETED

Mensaje: Se ha finalizado un examen antimalware.

Descripción:

• Id. de examen: número de id. del examen correspondiente.

• Tipo de examen: tipo de examen. Ejemplos: Antivirus, Antispyware o Antimalware

• Parámetros de examen: parámetros de examen. Ejemplos: Examen completo, Examen rápido o Examen del cliente

• Usuario: Dominio\Usuario

• Tiempo de examen: duración de un examen.

Nombre simbólico: MALWAREPROTECTION_SCAN_CANCELLED

Mensaje: Se detuvo un examen antimalware antes de que finalizara.

Descripción:

• Id. de examen: número de id. del examen correspondiente.

• Tipo de examen: tipo de examen. Ejemplos: Antivirus, Antispyware o Antimalware

• Parámetros de examen: parámetros de examen. Ejemplos: Examen completo, Examen rápido o Examen del cliente

• Usuario: Dominio\Usuario

• Tiempo de examen: duración de un examen.

Nombre simbólico: MALWAREPROTECTION_SCAN_PAUSED

Mensaje: Se ha pausado un examen antimalware.

Descripción:

• Id. de examen: número de id. del examen correspondiente.

• Tipo de examen: tipo de examen. Ejemplos: Antivirus, Antispyware o Antimalware

• Parámetros de examen: parámetros de examen. Ejemplos: Examen completo, Examen rápido o Examen del cliente

• Usuario: Dominio\Usuario

Nombre simbólico: MALWAREPROTECTION_SCAN_RESUMED

Mensaje: Se reanudó un examen antimalware.

Descripción:

• Id. de examen: número de id. del examen correspondiente.

• Tipo de examen: tipo de examen. Ejemplos: Antivirus, Antispyware o Antimalware

• Parámetros de examen: parámetros de examen. Ejemplos: Examen completo, Examen rápido o Examen del cliente

• Usuario: Dominio\Usuario

Nombre simbólico: MALWAREPROTECTION_SCAN_FAILED

Mensaje: Error en un examen antimalware.

Descripción:

• Id. de examen: número de id. del examen correspondiente.

• Tipo de examen: tipo de examen. Ejemplos: Antivirus, Antispyware o Antimalware

• Parámetros de examen: parámetros de examen. Ejemplos: Examen completo, Examen rápido o Examen personalizado

• Usuario: Dominio\Usuario

• Código de error: código de error. Código de resultado asociado al estado de la amenaza. Valores HRESULT estándar.

• Descripción del error: Descripción del error. Descripción del error.

Acción del usuario:

El cliente antivirus encontró un error y el examen actual se detuvo. Es posible que se produzca un error en el examen debido a un problema del lado cliente. Este registro de eventos incluye el identificador de examen, el tipo de examen (Microsoft Defender Antivirus, antispyware, antimalware), los parámetros de examen, el usuario que inició el examen, el código de error y una descripción del error. Para solucionar este evento:

- Run the scan again.

- If it fails in the same way, go to the [Microsoft Support site](https://support.microsoft.com/), enter the error number in the Search box to look for the error code.

- Contact [Microsoft Technical Support](/microsoft-365/admin/get-help-support).

Nombre simbólico: MALWAREPROTECTION_MALWARE_DETECTED

Mensaje: El motor antimalware encontró malware u otro software potencialmente no deseado.

Descripción: para obtener más información, consulte los detalles siguientes:

• Nombre: Nombre de la amenaza

• Identificador: Id. de amenaza

• Gravedad: gravedad. Ejemplos: Bajo, Moderado, Alto o Grave

• Categoría: Descripción de la categoría. Ejemplos: cualquier tipo de amenaza o malware.

• Ruta de acceso: ruta de acceso del archivo

• Origen de detección: origen de detección. Ejemplos: Desconocido, Equipo local, Recurso compartido de red, Internet, tráfico entrante o tráfico saliente

• Tipo de detección: tipo de detección. Ejemplos: Firma heurística, genérica, concreta o dinámica

• Origen de detección: origen de detección, por ejemplo:

  • Usuario: iniciado por el usuario

  • Sistema: iniciado por el sistema

  • En tiempo real: componente iniciado en tiempo real

  • IOAV: descargas de IE y datos adjuntos de Outlook Express iniciados

  • NIS: sistema de inspección de red

  • IEPROTECT: IE - IExtensionValidation; esto protege frente a controles de páginas web malintencionados.

  • Inicio anticipado de Antimalware (ELAM). Este origen incluye el malware detectado por la secuencia de arranque.

  • Atestación remota

• Interfaz de examen antimalware (AMSI). Se usa principalmente para proteger scripts (PowerShell, VBS), aunque también lo pueden invocar terceros. UAC.

• Estado: Estado

• Usuario: Dominio\Usuario

• Nombre del proceso: proceso en el PID

• Versión de firma: versión de definición

• Versión del motor: versión Antimalware Engine

Nombre simbólico: MALWAREPROTECTION_MALWARE_ACTION_TAKEN

Mensaje: La plataforma antimalware realizó una acción para proteger el sistema contra malware u otro software potencialmente no deseado.

Descripción: Microsoft Defender Antivirus tomó medidas para proteger esta máquina contra malware u otro software potencialmente no deseado. Para obtener más información, consulte los detalles siguientes:

• Usuario: Dominio\Usuario

• Nombre: Nombre de la amenaza

• Identificador: Id. de amenaza

• Gravedad: gravedad. Ejemplos: Bajo, Moderado, Alto o Grave

• Categoría: descripción de la categoría, por ejemplo, cualquier tipo de amenaza o malware.

• Acción: Acción. Ejemplos:

  • Limpiar: se ha limpiado el recurso.

  • Cuarentena: el recurso se puso en cuarentena.

  • Quitar: se eliminó el recurso.

  • Allow: se permitió que el recurso se ejecutara o existiera.

  • Definido por el usuario: acción definida por el usuario que suele proceder de esta lista de acciones especificadas por el usuario.

  • Sin acción: sin acción

  • Bloquear: se ha bloqueado la ejecución del recurso.

• Estado: Estado

• Versión de firma: versión de definición

• Versión del motor: versión Antimalware Engine

Nombre simbólico: MALWAREPROTECTION_MALWARE_ACTION_FAILED

Mensaje: La plataforma antimalware intentó realizar una acción para proteger el sistema contra malware u otro software potencialmente no deseado, pero se produjo un error en la acción.

Descripción: Microsoft Defender Antivirus encontró un error al tomar medidas sobre malware u otro software potencialmente no deseado. Para obtener más información, consulte los detalles siguientes:

• Usuario: Dominio\Usuario

• Nombre: Nombre de la amenaza

• Identificador: Id. de amenaza

• Gravedad: gravedad. Ejemplos: Bajo, Moderado, Alto o Grave

• Categoría: descripción de la categoría, por ejemplo, cualquier tipo de amenaza o malware.

• Ruta de acceso: ruta de acceso del archivo

• Acción: Acción. Ejemplos:

  • Limpiar: se ha limpiado el recurso.

  • Cuarentena: el recurso se puso en cuarentena.

  • Quitar: se eliminó el recurso.

  • Allow: se permitió que el recurso se ejecutara o existiera.

  • Definido por el usuario: acción definida por el usuario que suele proceder de esta lista de acciones especificadas por el usuario.

  • Sin acción: sin acción

  • Bloquear: se ha bloqueado la ejecución del recurso.

• Código de error: código de error Código de resultado asociado al estado de la amenaza. Valores HRESULT estándar.

• Descripción del error: descripción del error Descripción del error.

• Estado: Estado

• Versión de firma: versión de definición

• Versión del motor: versión Antimalware Engine

Nombre simbólico: MALWAREPROTECTION_QUARANTINE_RESTORE

Mensaje: La plataforma antimalware restauró un elemento de la cuarentena.

Descripción: Microsoft Defender Antivirus restauró un elemento de la cuarentena. Para obtener más información, consulte los detalles siguientes:

• Nombre: Nombre de la amenaza

• Identificador: Id. de amenaza

• Gravedad: gravedad. Ejemplos: Bajo, Moderado, Alto o Grave

• Categoría: descripción de la categoría, por ejemplo, cualquier tipo de amenaza o malware.

• Ruta de acceso: ruta de acceso del archivo

• Usuario: Dominio\Usuario

• Versión de firma: versión de definición

• Versión del motor: versión Antimalware Engine

Nombre simbólico: MALWAREPROTECTION_QUARANTINE_RESTORE_FAILED

Mensaje: La plataforma antimalware no pudo restaurar un elemento de la cuarentena.

Descripción: Microsoft Defender Antivirus encontró un error al intentar restaurar un elemento de la cuarentena. Para obtener más información, consulte los detalles siguientes:

• Nombre: Nombre de la amenaza

• Identificador: Id. de amenaza

• Gravedad: gravedad. Ejemplos: Bajo, Moderado, Alto o Grave

• Categoría: descripción de la categoría, por ejemplo, cualquier tipo de amenaza o malware.

• Ruta de acceso: ruta de acceso del archivo

• Usuario: Dominio\Usuario

• Código de error: código de error Código de resultado asociado al estado de la amenaza. Valores HRESULT estándar.

• Descripción del error: descripción del error Descripción del error.

• Versión de firma: versión de definición

• Versión del motor: versión Antimalware Engine

Nombre simbólico: MALWAREPROTECTION_QUARANTINE_DELETE

Mensaje: La plataforma antimalware eliminó un elemento de la cuarentena.

Descripción: Microsoft Defender Antivirus eliminó un elemento de la cuarentena. Para obtener más información, consulte los detalles siguientes:

• Nombre: Nombre de la amenaza

• Identificador: Id. de amenaza

• Gravedad: gravedad. Ejemplos: Bajo, Moderado, Alto o Grave

• Categoría: descripción de la categoría, por ejemplo, cualquier tipo de amenaza o malware.

• Ruta de acceso: ruta de acceso del archivo

• Usuario: Dominio\Usuario

• Versión de firma: versión de definición

• Versión del motor: versión Antimalware Engine

Nombre simbólico: MALWAREPROTECTION_QUARANTINE_DELETE_FAILED

Mensaje: La plataforma antimalware no pudo eliminar un elemento de la cuarentena.

Descripción: Microsoft Defender Antivirus encontró un error al intentar eliminar un elemento de la cuarentena. Para obtener más información, consulte los detalles siguientes:

• Nombre: Nombre de la amenaza

• Identificador: Id. de amenaza

• Gravedad: gravedad. Ejemplos: Bajo, Moderado, Alto o Grave

• Categoría: descripción de la categoría, por ejemplo, cualquier tipo de amenaza o malware.

• Ruta de acceso: ruta de acceso del archivo

• Usuario: Dominio\Usuario

• Código de error: código de error Código de resultado asociado al estado de la amenaza. Valores HRESULT estándar.

• Descripción del error: descripción del error Descripción del error.

• Versión de firma: versión de definición

• Versión del motor: versión Antimalware Engine

Nombre simbólico: MALWAREPROTECTION_MALWARE_HISTORY_DELETE

Mensaje: El historial eliminado de malware y otro software potencialmente no deseado de la plataforma antimalware.

Descripción: Microsoft Defender Antivirus ha eliminado el historial de malware y otro software potencialmente no deseado.

• Hora: la hora en que se produjo el evento, por ejemplo, cuando se purga el historial. Este parámetro no se usa en eventos de amenaza para que no haya ninguna confusión con respecto a si es el tiempo de corrección o el tiempo de infección. Para estos eventos, los llamamos específicamente Tiempo de acción o Tiempo de detección.

• Usuario: Dominio\Usuario

Nombre simbólico: MALWAREPROTECTION_MALWARE_HISTORY_DELETE_FAILED

Mensaje: La plataforma antimalware no pudo eliminar el historial de malware y otro software potencialmente no deseado.

Descripción: Microsoft Defender Antivirus encontró un error al intentar quitar el historial de malware y otro software potencialmente no deseado.

• Hora: la hora en que se produjo el evento, por ejemplo, cuando se purga el historial. Este parámetro no se usa en eventos de amenaza para que no haya ninguna confusión con respecto a si es el tiempo de corrección o el tiempo de infección. Para estos eventos, los llamamos específicamente Tiempo de acción o Tiempo de detección.

• Usuario: Dominio\Usuario

• Código de error: código de error Código de resultado asociado al estado de la amenaza. Valores HRESULT estándar.

• Descripción del error: descripción del error Descripción del error.

Nombre simbólico: MALWAREPROTECTION_BEHAVIOR_DETECTED

Mensaje: La plataforma antimalware detectó un comportamiento sospechoso.

Descripción: Microsoft Defender Antivirus detectó un comportamiento sospechoso. Para obtener más información, consulte los detalles siguientes:

• Nombre: Nombre de la amenaza

• Identificador: Id. de amenaza

• Gravedad: gravedad. Ejemplos: Bajo, Moderado, Alto o Grave

• Categoría: descripción de la categoría, por ejemplo, cualquier tipo de amenaza o malware.

• Ruta de acceso: ruta de acceso del archivo

• Origen de detección: origen de detección. Ejemplos: Desconocido, Equipo local, Recurso compartido de red, Internet, tráfico entrante o tráfico saliente

• Tipo de detección: tipo de detección. Ejemplos: Firma heurística, genérica, concreta o dinámica

• Origen de detección: origen de detección, por ejemplo:

  • Usuario: iniciado por el usuario

  • Sistema: iniciado por el sistema

  • En tiempo real: componente iniciado en tiempo real

  • IOAV: descargas de IE y datos adjuntos de Outlook Express iniciados

  • NIS: sistema de inspección de red

  • IEPROTECT: IE - IExtensionValidation; este origen protege frente a controles de páginas web malintencionados.

  • Inicio anticipado de Antimalware (ELAM). Este origen incluye el malware detectado por la secuencia de arranque.

  • Atestación remota

• Interfaz de examen antimalware (AMSI). Se usa principalmente para proteger scripts (PowerShell, VBS), aunque también lo pueden invocar terceros. UAC

• Estado: Estado

• Usuario: Dominio\Usuario

• Nombre del proceso: proceso en el PID

• Id. de firma: gravedad de coincidencia de enumeración.

• Versión de firma: versión de definición

• Versión del motor: versión Antimalware Engine

• Etiqueta de fidelidad:

• Nombre de archivo de destino: nombre de archivo del archivo.

Nombre simbólico: MALWAREPROTECTION_STATE_MALWARE_DETECTED

Mensaje: La plataforma antimalware detectó malware u otro software potencialmente no deseado.

Descripción: Microsoft Defender Antivirus detectó malware u otro software potencialmente no deseado. Para obtener más información, consulte los detalles siguientes:

• Nombre: Nombre de la amenaza

• Identificador: Id. de amenaza

• Gravedad: gravedad. Ejemplos: Bajo, Moderado, Alto o Grave

• Categoría: descripción de la categoría, por ejemplo, cualquier tipo de amenaza o malware.

• Ruta de acceso: ruta de acceso del archivo

• Origen de detección: origen de detección. Ejemplos: Desconocido, Equipo local, Recurso compartido de red, Internet, tráfico entrante o tráfico saliente

• Tipo de detección: tipo de detección. Ejemplos: Firma heurística, genérica, concreta o dinámica

• Origen de detección: origen de detección, por ejemplo:

  • Usuario: iniciado por el usuario

  • Sistema: iniciado por el sistema

  • En tiempo real: componente iniciado en tiempo real

  • IOAV: descargas de IE y datos adjuntos de Outlook Express iniciados

  • NIS: sistema de inspección de red

  • IEPROTECT: IE - IExtensionValidation; esto protege frente a controles de páginas web malintencionados.

  • Inicio anticipado de Antimalware (ELAM). Esto incluye el malware detectado por la secuencia de arranque.

  • Atestación remota

• Interfaz de examen antimalware (AMSI). Se usa principalmente para proteger scripts (PowerShell, VBS), aunque también lo pueden invocar terceros. UAC

• Usuario: Dominio\Usuario

• Nombre del proceso: proceso en el PID

• Versión de firma: versión de definición

• Versión del motor: versión Antimalware Engine

Acción del usuario: no se requiere ninguna acción. Microsoft Defender Antivirus puede suspender y realizar acciones rutinarias en esta amenaza. Si desea quitar la amenaza manualmente, en la interfaz Microsoft Defender Antivirus, seleccione Limpiar equipo.

Nombre simbólico: MALWAREPROTECTION_STATE_MALWARE_ACTION_TAKEN

Mensaje: La plataforma antimalware realizó una acción para proteger el sistema contra malware u otro software potencialmente no deseado.

Descripción: Microsoft Defender Antivirus tomó medidas para proteger esta máquina contra malware u otro software potencialmente no deseado. Para obtener más información, consulte los detalles siguientes:

• Nombre: Nombre de la amenaza

• Identificador: Id. de amenaza

• Gravedad: gravedad. Ejemplos: Bajo, Moderado, Alto o Grave

• Categoría: descripción de la categoría, por ejemplo, cualquier tipo de amenaza o malware.

• Ruta de acceso: ruta de acceso del archivo

• Origen de detección: origen de detección. Ejemplos: Desconocido, Equipo local, Recurso compartido de red, Internet, tráfico entrante o tráfico saliente

• Tipo de detección: tipo de detección. Ejemplos: Firma heurística, genérica, concreta o dinámica

• Origen de detección: origen de detección, por ejemplo:

  • Usuario: iniciado por el usuario

  • Sistema: iniciado por el sistema

  • En tiempo real: componente iniciado en tiempo real

  • IOAV: descargas de IE y datos adjuntos de Outlook Express iniciados

  • NIS: sistema de inspección de red

  • IEPROTECT: IE - IExtensionValidation; este origen protege frente a controles de páginas web malintencionados.

  • Inicio anticipado de Antimalware (ELAM). Esto incluye el malware detectado por la secuencia de arranque.

  • Atestación remota

• Interfaz de examen antimalware (AMSI). Se usa principalmente para proteger scripts (PowerShell, VBS), aunque también lo pueden invocar terceros. UAC

• Usuario: Dominio\Usuario

• Nombre del proceso: proceso en el PID

• Acción: Acción. Ejemplos:

  • Limpiar: se ha limpiado el recurso.

  • Cuarentena: el recurso se puso en cuarentena.

  • Quitar: se eliminó el recurso.

  • Allow: se permitió que el recurso se ejecutara o existiera.

  • Definido por el usuario: acción definida por el usuario que suele proceder de esta lista de acciones especificadas por el usuario.

  • Sin acción: sin acción

  • Bloquear: se ha bloqueado la ejecución del recurso.

• Estado de la acción: descripción de otras acciones

• Código de error: código de error Código de resultado asociado al estado de la amenaza. Valores HRESULT estándar.

• Descripción del error: descripción del error Descripción del error.

• Versión de firma: versión de definición

• Versión del motor: versión Antimalware Engine

NOTA: Cada vez que Microsoft Defender Antivirus, Microsoft Security Essentials, La herramienta de eliminación de software malintencionado o System Center Endpoint Protection detecta un malware, restaura la siguiente configuración del sistema y los servicios que podría haber cambiado el malware:

- Default Internet Explorer or Microsoft Edge setting

- User Access Control settings

- Chrome settings

- Boot Control Data

- Regedit and Task Manager registry settings

- Windows Update, Background Intelligent Transfer Service, and Remote Procedure Call service

- Windows Operating System files

El contexto anterior se aplica a las siguientes versiones de cliente y servidor:

- Operating system: Client Operating System

  Operating system version: Windows Vista (Service Pack 1, or Service Pack 2), Windows 7 and later

- Operating system: Server Operating System

  Operating system version: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, and Windows Server 2016

Acción del usuario: no es necesario realizar ninguna acción. Microsoft Defender Antivirus quitó o pone en cuarentena una amenaza.

Nombre simbólico: MALWAREPROTECTION_STATE_MALWARE_ACTION_FAILED

Mensaje: La plataforma antimalware intentó realizar una acción para proteger el sistema contra malware u otro software potencialmente no deseado, pero se produjo un error en la acción.

Descripción: Microsoft Defender Antivirus encontró un error no crítico al tomar medidas sobre malware u otro software potencialmente no deseado. Para obtener más información, consulte los detalles siguientes:

• Nombre: Nombre de la amenaza

• Identificador: Id. de amenaza

• Gravedad: gravedad. Ejemplos: Bajo, Moderado, Alto o Grave

• Categoría: descripción de la categoría, por ejemplo, cualquier tipo de amenaza o malware.

• Ruta de acceso: ruta de acceso del archivo

• Origen de detección: origen de detección. Ejemplos: Desconocido, Equipo local, Recurso compartido de red, Internet, tráfico entrante o tráfico saliente

• Tipo de detección: tipo de detección. Ejemplos: Firma heurística, genérica, concreta o dinámica

• Origen de detección: origen de detección, por ejemplo:

  • Usuario: iniciado por el usuario

  • Sistema: iniciado por el sistema

  • En tiempo real: componente iniciado en tiempo real

  • IOAV: descargas de IE y datos adjuntos de Outlook Express iniciados

  • NIS: sistema de inspección de red

  • IEPROTECT: IE - IExtensionValidation; esto protege frente a controles de páginas web malintencionados.

  • Inicio anticipado de Antimalware (ELAM). Esto incluye el malware detectado por la secuencia de arranque.

  • Atestación remota

• Interfaz de examen antimalware (AMSI). Se usa principalmente para proteger scripts (PowerShell, VBS), aunque también lo pueden invocar terceros. UAC

• Usuario: Dominio\Usuario

• Nombre del proceso: proceso en el PID

• Acción: Acción. Ejemplos:

  • Limpiar: se ha limpiado el recurso.

  • Cuarentena: el recurso se puso en cuarentena.

  • Quitar: se eliminó el recurso.

  • Permitir: se permitió que el recurso se ejecutara o existiera.

  • Definido por el usuario: acción definida por el usuario que suele proceder de esta lista de acciones especificadas por el usuario.

  • Sin acción: sin acción

  • Bloquear: se ha bloqueado la ejecución del recurso

• Estado de la acción: descripción de acciones adicionales

• Código de error: código de error Código de resultado asociado al estado de la amenaza. Valores HRESULT estándar.

• Descripción del error: descripción del error Descripción del error.

• Versión de firma: versión de definición

• Versión del motor: versión Antimalware Engine

Acción del usuario: no es necesario realizar ninguna acción. Microsoft Defender Antivirus no pudo completar una tarea relacionada con la corrección de malware. Esto no es un error crítico.

Nombre simbólico: MALWAREPROTECTION_STATE_MALWARE_ACTION_CRITICALLY_FAILED

Mensaje: La plataforma antimalware encontró un error crítico al intentar tomar medidas sobre malware u otro software potencialmente no deseado. Hay más detalles en el mensaje de evento.

Descripción: Microsoft Defender Antivirus encontró un error crítico al tomar medidas sobre malware u otro software potencialmente no deseado. Para obtener más información, consulte los detalles siguientes:

• Nombre: Nombre de la amenaza

• Identificador: Id. de amenaza

• Gravedad: gravedad. Ejemplos: Bajo, Moderado, Alto o Grave

• Categoría: descripción de la categoría, por ejemplo, cualquier tipo de amenaza o malware.

• Ruta de acceso: ruta de acceso del archivo

• Origen de detección: origen de detección. Ejemplos: Desconocido, Equipo local, Recurso compartido de red, Internet, tráfico entrante o tráfico saliente

• Tipo de detección: tipo de detección. Ejemplos: Firma heurística, genérica, concreta o dinámica

• Origen de detección: origen de detección, por ejemplo:

  • Usuario: iniciado por el usuario

  • Sistema: iniciado por el sistema

  • En tiempo real: componente iniciado en tiempo real

  • IOAV: descargas de IE y datos adjuntos de Outlook Express iniciados

  • NIS: sistema de inspección de red

  • IEPROTECT: IE - IExtensionValidation; esto protege frente a controles de páginas web malintencionados.

  • Inicio anticipado de Antimalware (ELAM). Esto incluye el malware detectado por la secuencia de arranque.

  • Atestación remota

• Interfaz de examen antimalware (AMSI). Se usa principalmente para proteger scripts (PowerShell, VBS), aunque también lo pueden invocar terceros. UAC

• Usuario: Dominio\Usuario

• Nombre del proceso: proceso en el PID

• Acción: Acción. Ejemplos:

  • Limpiar: se ha limpiado el recurso

  • Cuarentena: el recurso se puso en cuarentena.

  • Quitar: se eliminó el recurso.

  • Allow: se permitió que el recurso se ejecutara o existiera.

  • Definido por el usuario: acción definida por el usuario que suele proceder de esta lista de acciones especificadas por el usuario.

  • Sin acción: sin acción

  • Bloquear: se ha bloqueado la ejecución del recurso.

• Estado de la acción: descripción de otras acciones

• Código de error: código de error Código de resultado asociado al estado de la amenaza. Valores HRESULT estándar.

• Descripción del error: descripción del error Descripción del error.

• Versión de firma: versión de definición

• Versión del motor: versión Antimalware Engine

Acción del usuario: el cliente Microsoft Defender Antivirus encontró este error debido a problemas críticos. Es posible que el punto de conexión no esté protegido. Revise la descripción del error y siga los pasos pertinentes de la acción Usuario .

• Acción: Quitar acción de usuario: actualice las definiciones y compruebe que la eliminación se realizó correctamente.

• Acción: acción Limpiar usuario: actualice las definiciones y compruebe que la corrección se realizó correctamente.

• Acción: acción Poner en cuarentena al usuario: actualice las definiciones y compruebe que el usuario tiene permiso para acceder a los recursos necesarios.

• Acción: Permitir acción de usuario: compruebe que el usuario tiene permiso para acceder a los recursos necesarios.

Si este evento persiste:

• Vuelva a ejecutar el examen.

• Si se produce un error de la misma manera, vaya al sitio de Soporte técnico de Microsoft y escriba el número de error en el cuadro Búsqueda para buscar el código de error.

• Contactar al Soporte técnico de Microsoft.

Nombre simbólico: MALWAREPROTECTION_THREAT_HASH

Mensaje: Microsoft Defender Antivirus dedujo los hashes de un recurso de amenaza.

Descripción: Microsoft Defender cliente antivirus está en funcionamiento en un estado correcto.

• Versión actual de la plataforma: versión actual de la plataforma

• Ruta de acceso del recurso de amenaza: ruta de acceso

• Hashes: Hashes

Nota: Este evento solo se registrará si se establece la siguiente directiva: ThreatFileHashLogging unsigned.

Mensaje: evento cuando se activa una regla de reducción de superficie expuesta a ataques en modo de bloque.

Descripción:

• Versión actual de la plataforma: versión actual de la plataforma

• Ruta de acceso del recurso de amenaza: ruta de acceso

• Hashes: Hashes

Nombre simbólico: MALWAREPROTECTION_FOLDER_GUARD_SECTOR_BLOCK

Mensaje: El acceso controlado a carpetas (CFA) bloqueó un proceso que no es de confianza para realizar cambios en la memoria.

Descripción: El acceso controlado a carpetas bloqueó un proceso que no es de confianza para modificar potencialmente los sectores de disco. Para obtener más información sobre el registro de eventos, consulte los detalles siguientes:

• EventID: EventID. Ejemplos: 1127

• Versión: Versión. Ejemplos: 0

• Nivel: Nivel. Ejemplos: win: advertencia

• TimeCreated: SystemTime, hora en que se creó el evento.

• EventRecordID: EventRecordID, número de índice del evento en el registro de eventos

• Execution ProcessID: Execution ProcessID, proceso que generó el evento

• Canal: canal de eventos. Ejemplos: Microsoft-Windows-Windows Defender/Operational

• Equipo: Nombre del equipo

• UserID de seguridad: Id. de usuario de seguridad

• Nombre del producto: Nombre del producto. Ejemplos: antivirus de Microsoft Defender

• Versión del producto: Versión del producto

• Tiempo de detección: tiempo de detección, hora en que CFA bloqueó un proceso que no es de confianza

• Usuario: Dominio\Usuario

• Ruta de acceso: nombre del dispositivo, nombre del dispositivo o disco al que se ha accedido a un proceso que no es de confianza para su modificación

• Nombre del proceso: ruta de acceso del proceso, nombre de la ruta de acceso del proceso al que CFA bloqueó el acceso al dispositivo o al disco para su modificación

• Versión de Security Intelligence: Versión de Inteligencia de seguridad

• Versión del motor: versión Antimalware Engine

Acción del usuario: el usuario puede agregar el proceso bloqueado a la lista Proceso permitido para CFA, mediante PowerShell o Seguridad de Windows Center.

Nombre simbólico: MALWAREPROTECTION_SERVICE_HEALTHY

Mensaje: Si la plataforma antimalware notifica el estado a una plataforma de supervisión, este evento indica que la plataforma antimalware se está ejecutando y en un estado correcto.

Descripción: Microsoft Defender cliente antivirus está en funcionamiento en un estado correcto.

• Versión de la plataforma: versión actual de la plataforma

• Versión de firma: versión de definición

• Versión del motor: versión Antimalware Engine

Acción del usuario: no es necesario realizar ninguna acción. El cliente Microsoft Defender Antivirus está en un estado correcto. Este evento se notifica cada hora.

Nombre simbólico: MALWAREPROTECTION_SERVICE_HEALTH_REPORT

Mensaje: Informe de estado de cliente de Endpoint Protection (hora en UTC)

Descripción: Informe de estado de cliente antivirus.

• Versión de la plataforma: versión actual de la plataforma

• Versión del motor: versión Antimalware Engine

• Versión del motor de inspección en tiempo real de red: versión del motor de inspección en tiempo real de red

• Versión de firma del antivirus: Versión de firma antivirus

• Versión de firma de Antispyware: Versión de firma de Antispyware

• Versión de firma de inspección en tiempo real de red: versión de firma de inspección en tiempo real de red

• Estado RTP: estado de protección en tiempo real (habilitado o deshabilitado)

• Estado de OA: En estado de acceso (Habilitado o Deshabilitado)

• Estado de IOAV: Estado de descargas de IE y datos adjuntos de Outlook Express (habilitados o deshabilitados)

• Estado bm: estado de supervisión del comportamiento (habilitado o deshabilitado)

• Antigüedad de la firma del antivirus: antigüedad de la firma del antivirus (en días)

• Antigüedad de la firma antispyware: antigüedad de firma de Antispyware (en días)

• Última antigüedad del examen rápido: última edad del examen rápido (en días)

• Última antigüedad del examen completo: última edad de examen completo (en días)

• Tiempo de creación de firmas antivirus: tiempo de creación de firmas antivirus

• Tiempo de creación de firmas de Antispyware: tiempo de creación de firmas de Antispyware

• Última hora de inicio del examen rápido: hora de inicio del último examen rápido

• Hora de finalización del último examen rápido: hora de finalización del último examen rápido

• Último origen de examen rápido: último origen de examen rápido (0 = no se ejecutó el examen, 1 = iniciado por el usuario, 2 = iniciado por el sistema)

• Última hora de inicio del examen completo: última hora de inicio del examen completo

• Última hora de finalización del examen completo: hora de finalización del último examen completo

• Último origen de examen completo: último origen de examen completo (0 = no se ejecutó el examen, 1 = iniciado por el usuario, 2 = iniciado por el sistema)

• Estado del producto: para solucionar problemas internos

Nombre simbólico: MALWAREPROTECTION_SIGNATURE_UPDATED

Mensaje: Las definiciones de antimalware se actualizaron correctamente.

Descripción: Se actualizó la versión de la firma del antivirus.

• Versión de firma actual: versión de firma actual

• Versión de firma anterior: versión de firma anterior

• Tipo de firma: tipo de firma. Ejemplos: Antivirus, Antispyware, Antimalware o Sistema de inspección de red

• Tipo de actualización: tipo de actualización, completo o delta.

• Usuario: Dominio\Usuario

• Versión actual del motor: versión actual del motor

• Versión anterior del motor: versión anterior del motor

Acción del usuario: no es necesario realizar ninguna acción. El cliente Microsoft Defender Antivirus está en un estado correcto. Este evento se notifica cuando las firmas se actualizan correctamente.

Nombre simbólico: MALWAREPROTECTION_SIGNATURE_UPDATE_FAILED

Mensaje: Error en la actualización de inteligencia de seguridad.

Descripción: Microsoft Defender Antivirus encontró un error al intentar actualizar las firmas.

• Nueva versión de inteligencia de seguridad: nuevo número de versión

• Versión de inteligencia de seguridad anterior: versión anterior

• Origen de actualización: actualizar origen. Ejemplos:

  • Carpeta de actualización de inteligencia de seguridad

  • Servidor de actualización de inteligencia de seguridad interna

  • Microsoft Update Server

  • Compartir archivos

  • Centro de protección contra malware de Microsoft (MMPC)

• Fase de actualización: fase de actualización. Ejemplos: Búsqueda, descargar o instalar

• Ruta de acceso de origen: nombre del recurso compartido de archivos para convención de nomenclatura universal (UNC), nombre del servidor para Windows Server Update Services (WSUS)/Microsoft Update/ADL.

• Tipo de firma: tipo de firma. Ejemplos: Antivirus, Antispyware, Antimalware o Sistema de inspección de red

• Tipo de actualización: tipo de actualización, completo o delta.

• Usuario: Dominio\Usuario

• Versión actual del motor: versión actual del motor

• Versión anterior del motor: versión anterior del motor

• Código de error: código de error Código de resultado asociado al estado de la amenaza. Valores HRESULT estándar.

• Descripción del error: descripción del error Descripción del error.

Acción del usuario: este error se produce cuando hay un problema al actualizar las definiciones. Para solucionar este evento:

• Actualice las definiciones y fuerce un nuevo análisis directamente en el punto de conexión.

• Revise las entradas del archivo %Windir%\WindowsUpdate.log para obtener más información sobre este error.

• Contactar al Soporte técnico de Microsoft.

Nombre simbólico: MALWAREPROTECTION_ENGINE_UPDATED

Mensaje: El motor antimalware se actualizó correctamente.

Descripción: Microsoft Defender versión del motor antivirus se actualizó.

• Versión actual del motor: versión actual del motor

• Versión anterior del motor: versión anterior del motor

• Tipo de motor: tipo de motor, motor antimalware o motor del sistema de inspección de red.

• Usuario: Dominio\Usuario

Acción del usuario: no es necesario realizar ninguna acción. El cliente Microsoft Defender Antivirus está en un estado correcto. Este evento se notifica cuando el motor antimalware se actualiza correctamente.

Nombre simbólico: MALWAREPROTECTION_ENGINE_UPDATE_FAILED

Mensaje: Error en la actualización del motor antimalware.

Descripción: Microsoft Defender Antivirus encontró un error al intentar actualizar el motor.

• Nueva versión del motor:

• Versión anterior del motor: versión anterior del motor

• Tipo de motor: tipo de motor, motor antimalware o motor del sistema de inspección de red.

• Usuario: Dominio\Usuario

• Código de error: código de error Código de resultado asociado al estado de la amenaza. Valores HRESULT estándar.

• Descripción del error: descripción del error Descripción del error.

Acción del usuario: error en la actualización del cliente Microsoft Defender Antivirus. Este evento se produce cuando el cliente no se actualiza a sí mismo. Este evento se debe a una interrupción en la conectividad de red durante una actualización. Para solucionar este evento:

• Actualice las definiciones y fuerce un nuevo análisis directamente en el punto de conexión.

• Contactar al Soporte técnico de Microsoft.

Nombre simbólico: MALWAREPROTECTION_SIGNATURE_REVERSION

Mensaje: Se produjo un problema al cargar la definición de antimalware. El motor antimalware intenta cargar el último conjunto correcto de definiciones conocido.

Descripción: Microsoft Defender Antivirus encontró un error al intentar cargar firmas y intentará revertir a un buen conjunto de firmas conocido.

• Firmas intentadas:

• Código de error: código de error Código de resultado asociado al estado de la amenaza. Valores HRESULT estándar.

• Descripción del error: descripción del error Descripción del error.

• Versión de firma: versión de definición

• Versión del motor: versión del motor antimalware

Acción del usuario: el cliente Microsoft Defender Antivirus intentó descargar e instalar el archivo de definiciones más reciente y produjo un error. Este error puede producirse cuando el cliente encuentra un error al intentar cargar las definiciones o si el archivo está dañado. Microsoft Defender Antivirus intenta revertir a un conjunto de definiciones conocido y correcto. Para solucionar este evento:

• Reinicie el equipo e inténtelo de nuevo.

• Descargue las definiciones más recientes del sitio de Inteligencia de seguridad de Microsoft.

  Nota: El tamaño del archivo de definiciones descargado del sitio puede superar los 60 MB y no debe usarse como solución a largo plazo para actualizar definiciones.

• Contactar al Soporte técnico de Microsoft.

Nombre simbólico: MALWAREPROTECTION_ENGINE_UPDATE_PLATFORMOUTOFDATE

Mensaje: No se pudo cargar el motor antimalware porque la plataforma antimalware no está actualizada. La plataforma antimalware carga el último motor antimalware correcto conocido e intenta actualizarlo.

Descripción: Microsoft Defender Antivirus no pudo cargar el motor antimalware porque no se admite la versión actual de la plataforma. Microsoft Defender Antivirus vuelve al último motor correcto conocido y se intentará una actualización de la plataforma.

• Versión actual de la plataforma: versión actual de la plataforma

Nombre simbólico: MALWAREPROTECTION_PLATFORM_UPDATE_FAILED

Mensaje: Error en la actualización de la plataforma.

Descripción: Microsoft Defender Antivirus encontró un error al intentar actualizar la plataforma.

• Versión actual de la plataforma: versión actual de la plataforma

• Código de error: código de error Código de resultado asociado al estado de la amenaza. Valores HRESULT estándar.

• Descripción del error: descripción del error Descripción del error.

Nombre simbólico: MALWAREPROTECTION_PLATFORM_ALMOSTOUTOFDATE

Mensaje: La plataforma pronto estará obsoleta. Descargue la plataforma más reciente para mantener la protección actualizada.

Descripción: Microsoft Defender Antivirus necesitará pronto una versión más reciente de la plataforma para admitir futuras versiones del motor antimalware. Descargue la plataforma antivirus de Microsoft Defender más reciente para mantener el mejor nivel de protección disponible.

• Versión actual de la plataforma: versión actual de la plataforma

Nombre simbólico: MALWAREPROTECTION_SIGNATURE_FASTPATH_UPDATED

Mensaje: El motor antimalware usó el servicio de firma dinámica para obtener otras definiciones.

Descripción: Microsoft Defender Antivirus usó Dynamic Signature Service para recuperar más firmas para ayudar a proteger el equipo.

• Versión de firma actual: versión de firma actual

• Tipo de firma: tipo de firma. Ejemplos: Antivirus, Antispyware, Antimalware o Sistema de inspección de red

• Versión actual del motor: versión actual del motor

• Tipo de firma dinámica: tipo de firma dinámica. Ejemplos: Versión, Marca de tiempo, Sin límite o Duración

• Ruta de acceso de persistencia: ruta de acceso

• Versión de firma dinámica: número de versión

• Marca de tiempo de compilación de firma dinámica: marca de tiempo

• Tipo de límite de persistencia: tipo de límite de persistencia. Ejemplos: Versión de VDM, Marca de tiempo o Sin límite

• Límite de persistencia: límite de persistencia de la firma de fastpath.

Nombre simbólico: MALWAREPROTECTION_SIGNATURE_FASTPATH_DELETED

Mensaje: El servicio de firma dinámica eliminó las definiciones dinámicas obsoletas.

Cambiar al comportamiento predeterminado: cambie a un evento de firma dinámica que informe del comportamiento predeterminado.

Cuando MDE recibe una firma dinámica, se notifica un evento de 2010. Sin embargo, cuando la firma dinámica expira o se elimina manualmente, se notifica un evento de 2011. En algunos casos, cuando se entrega una nueva firma a MDE a veces cientos de firmas dinámicas expiran al mismo tiempo; por lo tanto, se notifican cientos de eventos de 2011. La generación de tantos eventos de 2011 puede hacer que un servidor de administración de eventos e información de seguridad (SIEM) se inunde.

Para evitar la situación descrita anteriormente( a partir de la versión 4.18.2207.7 de la plataforma) de forma predeterminada, Defender for Endpoint no notifica eventos de 2011:

• Este nuevo comportamiento predeterminado se controla mediante la entrada del Registro: HKLM\SOFTWARE\Microsoft\Windows Defender\Reporting\EnableDynamicSignatureDroppedEventReporting.
• El valor predeterminado de EnableDynamicSignatureDroppedEventReporting es false, lo que significa que no se notifican los eventos de 2011. Si se establece en true, se notifican los eventos de 2011.

Dado que los eventos de firma de 2010 se distribuyen a tiempo esporádicamente y no provocarán un pico, el comportamiento del evento de firma de 2010 no cambia.

Descripción: Microsoft Defender Antivirus usó el servicio de firma dinámica para descartar firmas obsoletas.

• Versión de firma actual: versión de firma actual

• Tipo de firma: tipo de firma. Ejemplos: Antivirus, Antispyware, Antimalware o Sistema de inspección de red

• Versión actual del motor: versión actual del motor

• Tipo de firma dinámica: tipo de firma dinámica. Ejemplos: Versión, Marca de tiempo, Sin límite o Duración

• Ruta de acceso de persistencia: ruta de acceso

• Versión de firma dinámica: número de versión

• Marca de tiempo de compilación de firma dinámica: marca de tiempo

• Motivo de eliminación:

• Tipo de límite de persistencia: tipo de límite de persistencia. Ejemplos: Versión de VDM, Marca de tiempo o Sin límite

• Límite de persistencia: límite de persistencia de la firma de fastpath.

Acción del usuario: no es necesario realizar ninguna acción. El cliente Microsoft Defender Antivirus está en un estado correcto. Este evento se notifica cuando el servicio de firma dinámica elimina correctamente las definiciones dinámicas obsoletas.

Nombre simbólico: MALWAREPROTECTION_SIGNATURE_FASTPATH_UPDATE_FAILED

Mensaje: El motor antimalware encontró un error al intentar usar el servicio de firma dinámica.

Descripción: Microsoft Defender Antivirus encontró un error al intentar usar el servicio de firma dinámica.

• Versión de firma actual: versión de firma actual

• Tipo de firma: tipo de firma. Ejemplos: Antivirus, Antispyware, Antimalware o Sistema de inspección de red

• Versión actual del motor: versión actual del motor

• Código de error: código de error Código de resultado asociado al estado de la amenaza. Valores HRESULT estándar.

• Descripción del error: descripción del error Descripción del error.

• Tipo de firma dinámica: tipo de firma dinámica. Ejemplos: Versión, Marca de tiempo, Sin límite o Duración

• Ruta de acceso de persistencia: ruta de acceso

• Versión de firma dinámica: número de versión

• Marca de tiempo de compilación de firma dinámica: marca de tiempo

• Tipo de límite de persistencia: tipo de límite de persistencia. Ejemplos: Versión de VDM, Marca de tiempo o Sin límite

• Límite de persistencia: límite de persistencia de la firma de fastpath.

Acción del usuario: compruebe la configuración de conectividad a Internet.

Nombre simbólico: MALWAREPROTECTION_SIGNATURE_FASTPATH_DELETED_ALL

Mensaje: El servicio de firma dinámica eliminó todas las definiciones dinámicas.

Descripción: Microsoft Defender Antivirus ha descartado todas las firmas del servicio de firma dinámica.

• Versión de firma actual: versión de firma actual

Nombre simbólico: MALWAREPROTECTION_CLOUD_CLEAN_RESTORE_FILE_DOWNLOADED

Mensaje: El motor antimalware descargó un archivo limpio.

Descripción: Microsoft Defender Antivirus descargó un archivo limpio.

• Nombre de archivo: nombre de archivo nombre del archivo.

• Versión de firma actual: versión de firma actual

• Versión actual del motor: versión actual del motor

Nombre simbólico: MALWAREPROTECTION_CLOUD_CLEAN_RESTORE_FILE_DOWNLOAD_FAILED

Mensaje: El motor antimalware no pudo descargar un archivo limpio.

Descripción: Microsoft Defender Antivirus encontró un error al intentar descargar un archivo limpio.

• Nombre de archivo: nombre de archivo nombre del archivo.

• Versión de firma actual: versión de firma actual

• Versión actual del motor: versión actual del motor

• Código de error: código de error Código de resultado asociado al estado de la amenaza. Valores HRESULT estándar.

• Descripción del error: descripción del error Descripción del error.

Acción del usuario: compruebe la configuración de conectividad a Internet. El cliente Microsoft Defender Antivirus encontró un error al usar el servicio de firma dinámica para descargar las definiciones más recientes en una amenaza específica. Es probable que este error se deba a un problema de conectividad de red.

Nombre simbólico: MALWAREPROTECTION_OFFLINE_SCAN_INSTALLED

Mensaje: El motor antimalware se descargó y está configurado para ejecutarse sin conexión en el siguiente reinicio del sistema.

Descripción: Microsoft Defender Antivirus descargado y configurado antivirus sin conexión para ejecutarse en el siguiente reinicio.

Nombre simbólico: MALWAREPROTECTION_OFFLINE_SCAN_INSTALL_FAILED

Mensaje: El motor antimalware no pudo descargar y configurar un examen sin conexión.

Descripción: Microsoft Defender Antivirus encontró un error al intentar descargar y configurar el antivirus sin conexión.

• Código de error: código de error Código de resultado asociado al estado de la amenaza. Valores HRESULT estándar.

• Descripción del error: descripción del error Descripción del error.

Nombre simbólico: MALWAREPROTECTION_OS_EXPIRING

Mensaje: La compatibilidad con Antimalware para esta versión del sistema operativo pronto finalizará.

Descripción: la compatibilidad con el sistema operativo expira en breve. La ejecución de Microsoft Defender Antivirus en un sistema operativo que no es compatible no es una solución adecuada para protegerse frente a amenazas.

Nombre simbólico: MALWAREPROTECTION_OS_EOL

Mensaje: La compatibilidad con Antimalware para este sistema operativo ha finalizado. Debe actualizar el sistema operativo para obtener soporte técnico continuo.

Descripción: la compatibilidad con el sistema operativo ha expirado. La ejecución de Microsoft Defender Antivirus en un sistema operativo que no es compatible no es una solución adecuada para protegerse frente a amenazas.

Nombre simbólico: MALWAREPROTECTION_PROTECTION_EOL

Mensaje: El motor antimalware ya no admite este sistema operativo y ya no protege el sistema contra malware.

Descripción: la compatibilidad con el sistema operativo ha expirado. Microsoft Defender Antivirus ya no se admite en el sistema operativo, ha dejado de funcionar y no protege contra amenazas de malware.

Nombre simbólico: MALWAREPROTECTION_RTP_FEATURE_FAILURE

Mensaje: La protección en tiempo real encontró un error y produjo un error.

Descripción: Microsoft Defender característica Antivirus Real-Time Protection encontró un error y se produjo un error.

• Característica: característica. Ejemplos: En el acceso, Descargas de Internet Explorer y datos adjuntos de Microsoft Outlook Express, Supervisión del comportamiento o Sistema de inspección de red.

• Código de error: código de error Código de resultado asociado al estado de la amenaza. Valores HRESULT estándar.

• Descripción del error: descripción del error Descripción del error.

• Motivo: La razón por la que Microsoft Defender protección antivirus en tiempo real ha reiniciado una característica.

Acción del usuario: debe reiniciar el sistema y, a continuación, ejecutar un examen completo porque es posible que el sistema no esté protegido durante algún tiempo. La característica de protección en tiempo real del cliente Microsoft Defender Antivirus encontró un error porque uno de los servicios no se pudo iniciar. Si va seguido de un identificador de evento 3007, el error fue temporal y el cliente antimalware se recuperó del error.

Nombre simbólico: MALWAREPROTECTION_RTP_FEATURE_RECOVERED

Mensaje: Protección en tiempo real recuperada de un error. Se recomienda ejecutar un examen completo del sistema cuando vea este error.

Descripción: Microsoft Defender Antivirus Protección en tiempo real ha reiniciado una característica. Se recomienda ejecutar un examen completo del sistema para detectar los elementos que se podrían haber perdido mientras este agente estaba inactivo.

• Característica: característica. Ejemplos: En el acceso, descargas de IE y datos adjuntos de Outlook Express, supervisión del comportamiento o sistema de inspección de red

• Motivo: La razón por la que Microsoft Defender protección antivirus en tiempo real ha reiniciado una característica.

Acción del usuario: se ha reiniciado la característica de protección en tiempo real. Si este evento se produce de nuevo, póngase en contacto con el soporte técnico de Microsoft.

Nombre simbólico: MALWAREPROTECTION_RTP_ENABLED

Mensaje: La protección en tiempo real está habilitada.

Descripción: se ha habilitado Microsoft Defender examen de protección antivirus en tiempo real para detectar malware y otro software potencialmente no deseado.

Nombre simbólico: MALWAREPROTECTION_RTP_DISABLED

Mensaje: La protección en tiempo real está deshabilitada.

Descripción: Microsoft Defender examen de protección antivirus en tiempo real para detectar malware y otro software potencialmente no deseado se deshabilitó.

Nombre simbólico: MALWAREPROTECTION_RTP_FEATURE_CONFIGURED

Mensaje: La configuración de protección en tiempo real ha cambiado.

Descripción: Microsoft Defender se ha cambiado la configuración de la característica de protección en tiempo real del antivirus.

• Característica: característica. Ejemplos: En el acceso, descargas de IE y datos adjuntos de Outlook Express, supervisión del comportamiento o sistema de inspección de red
• Configuración:

Nombre simbólico: MALWAREPROTECTION_CONFIG_CHANGED

Mensaje: La configuración de la plataforma antimalware ha cambiado.

Descripción: Microsoft Defender ha cambiado la configuración del antivirus. Si este evento es inesperado, debe revisar la configuración, ya que el evento podría ser el resultado de malware.

• Valor anterior: número de valor antiguo Valor de configuración antivirus antiguo.

• Nuevo valor: nuevo número de valor Nuevo valor de configuración del antivirus.

Nombre simbólico: MALWAREPROTECTION_ENGINE_FAILURE

Mensaje: El motor antimalware encontró un error y produjo un error.

Descripción: Microsoft Defender motor antivirus se ha terminado debido a un error inesperado.

• Tipo de error: tipo de error. Ejemplos: Bloqueo o bloqueo

• Código de excepción: código de error

• Recurso: Recurso

Acción del usuario: para solucionar este evento:

• Intente reiniciar el servicio.

  • Para antimalware, antivirus y spyware, en un símbolo del sistema con privilegios elevados, escriba net stop msmpsvc y, a continuación, escriba net start msmpsvc para reiniciar el motor antimalware.

  • Para el sistema de inspección de red, en un símbolo del sistema con privilegios elevados, escriba net start nissrv y, a continuación, escriba net start nissrv para reiniciar el motor del sistema de inspección de red mediante el archivo NiSSRV.exe.

• Si se produce un error de la misma manera, busque el código de error accediendo al sitio de Soporte técnico de Microsoft y escribiendo el número de error en el cuadro Búsqueda y póngase en contacto con el soporte técnico de Microsoft.

Acción del usuario: el motor de cliente Microsoft Defender Antivirus se detuvo debido a un error inesperado. Para solucionar este evento:

• Vuelva a ejecutar el examen.

• Si se produce un error de la misma manera, vaya al sitio de Soporte técnico de Microsoft y escriba el número de error en el cuadro Búsqueda para buscar el código de error.

• Contactar al Soporte técnico de Microsoft.

Nombre simbólico: MALWAREPROTECTION_ANTISPYWARE_ENABLED

Mensaje: El examen de malware y otro software potencialmente no deseado está habilitado.

Descripción: Microsoft Defender antivirus habilitado para el examen de malware y otro software potencialmente no deseado.

Nombre simbólico: MALWAREPROTECTION_ANTISPYWARE_DISABLED

Mensaje: El examen de malware y otro software potencialmente no deseado está deshabilitado.

Descripción: Microsoft Defender El antivirus está deshabilitado para detectar malware y otro software potencialmente no deseado.

Nombre simbólico: MALWAREPROTECTION_ANTIVIRUS_ENABLED

Mensaje: El examen de virus está habilitado.

Descripción: Microsoft Defender examen habilitado para antivirus en busca de virus.

Nombre simbólico: MALWAREPROTECTION_ANTIVIRUS_DISABLED

Mensaje: El examen de virus está deshabilitado.

Descripción: Microsoft Defender Antivirus está deshabilitado.

Nombre simbólico: MALWAREPROTECTION_SCAN_CANCELLED

Mensaje: La protección contra alteraciones bloqueó un cambio en Microsoft Defender Antivirus.

Descripción: si la protección contra alteraciones está habilitada, se bloquea cualquier intento de cambiar la configuración de Defender. Se genera el identificador de evento 5013 y se indica qué cambio de configuración se bloqueó.

Nombre simbólico: MALWAREPROTECTION_EXPIRATION_WARNING_STATE

Mensaje: La plataforma antimalware expira pronto.

Descripción: Microsoft Defender Antivirus entró en un período de gracia y pronto expirará. Después de la expiración, este programa deshabilitará la protección contra virus, spyware y otro software potencialmente no deseado.

• Motivo de expiración: el motivo por el que expira Microsoft Defender Antivirus.

• Fecha de expiración: fecha de expiración Microsoft Defender Antivirus.

Nombre simbólico: MALWAREPROTECTION_DISABLED_EXPIRED_STATE

Mensaje: La plataforma antimalware ha expirado.

Descripción: Microsoft Defender período de gracia del antivirus ha expirado. La protección contra virus, spyware y otro software potencialmente no deseado está deshabilitada.

• Código de error: código de error Código de resultado asociado al estado de la amenaza. Valores HRESULT estándar.

• Descripción del error: descripción del error Descripción del error.

Si Microsoft Defender Antivirus experimenta algún problema, normalmente le proporcionará un código de error para ayudarle a solucionar el problema. Con frecuencia, un error significa que se produjo un problema al instalar una actualización. En esta sección se proporciona la siguiente información sobre Microsoft Defender errores de cliente antivirus.

• El código de error

• El posible motivo del error

• Consejos sobre lo que hay que hacer ahora

Use la siguiente información para ayudar a solucionar Microsoft Defender códigos de error antivirus.

Mensaje: ERR_MP_NO_MEMORY

Motivo posible: este error indica que es posible que se haya quedado sin memoria.

Solución:

• Compruebe la memoria disponible en el dispositivo.

• Cierre las aplicaciones sin usar que se ejecutan para liberar memoria en el dispositivo.

• Reinicie el dispositivo y vuelva a ejecutar el examen.

Mensaje: ERR_MP_BAD_INPUT_DATA

Motivo posible: este error indica que puede haber un problema con el producto de seguridad.

Solución:

• Actualice las definiciones. Cualquiera de los dos:

  • Obtenga las actualizaciones de inteligencia de seguridad en la aplicación Seguridad de Windows.

    ,

  • Descargue las definiciones más recientes del sitio de Inteligencia de seguridad de Microsoft.

  [! NOTA] El tamaño del archivo de definiciones descargado del sitio puede superar los 60 MB y no debe usarse como una solución a largo plazo para actualizar definiciones.

• Ejecute un examen completo.

• Reinicie el dispositivo e inténtelo de nuevo.

Mensaje: ERR_MP_BAD_CONFIGURATION

Motivo posible: este error indica que puede haber un error de configuración del motor. Normalmente, este error está relacionado con los datos de entrada que no permiten que el motor funcione correctamente.

Mensaje: ERR_MP_QUARANTINE_FAILED

Motivo posible: este error indica que Microsoft Defender Antivirus no pudo poner en cuarentena una amenaza.

Mensaje: ERR_MP_REBOOT_REQUIRED

Motivo posible: este error indica que se requiere un reinicio para completar la eliminación de amenazas.

Mensaje: ERR_MP_THREAT_NOT_FOUND

Motivo posible: este error indica que es posible que la amenaza ya no esté presente en los medios, o que el malware podría impedir que digitalizara el dispositivo.

Resolución: ejecute el Examen de seguridad de Microsoft actualice el software de seguridad e inténtelo de nuevo.

Mensaje: ERR_MP_FULL_SCAN_REQUIRED

Motivo posible: este error indica que podría ser necesario realizar un examen completo del sistema.

Resolución: ejecute un examen completo del sistema.

Mensaje: ERR_MP_MANUAL_STEPS_REQUIRED

Motivo posible: este error indica que se requieren pasos manuales para completar la eliminación de amenazas.

Resolución: siga los pasos de corrección manual descritos en la Enciclopedia de protección contra malware de Microsoft. Puede encontrar un vínculo específico de la amenaza en el historial de eventos.

Mensaje: ERR_MP_REMOVE_NOT_SUPPORTED

Motivo posible: este error indica que es posible que no se admita la eliminación dentro del tipo de contenedor.

Resolución: Microsoft Defender Antivirus no puede corregir las amenazas detectadas dentro del archivo. Considere la posibilidad de quitar manualmente los recursos detectados.

Mensaje: ERR_MP_REMOVE_LOW_MEDIUM_DISABLED

Motivo posible: este error indica que es posible que se deshabilite la eliminación de amenazas bajas y medianas.

Resolución: compruebe las amenazas detectadas y resuelvalas según sea necesario.

Mensaje: ERROR_MP_RESCAN_REQUIRED

Motivo posible: este error indica que es necesario volver a examinar la amenaza.

Resolución: ejecute un examen completo del sistema.

Mensaje: ERROR_MP_CALLISTO_REQUIRED

Motivo posible: este error indica que se requiere un examen sin conexión.

Resolución: ejecute Microsoft Defender Antivirus sin conexión. Para obtener más información, consulte Ayuda para proteger mi PC con Microsoft Defender sin conexión.

Mensaje: ERROR_MP_PLATFORM_OUTDATED

Motivo posible: este error indica que Microsoft Defender Antivirus no admite la versión actual de la plataforma y requiere una nueva versión de la plataforma.

Resolución: solo puede usar Microsoft Defender Antivirus en Windows 10 y Windows 11. Para Windows 8, Windows 7 y Windows Vista, puedes usar System Center Endpoint Protection.

Los siguientes códigos de error se usan durante las pruebas internas de Microsoft Defender Antivirus.

Si ve estos errores, puede intentar actualizar las definiciones y forzar un nuevo análisis directamente en el punto de conexión.

Mensaje mostrado: ERROR_MP_NO_INTERNET_CONN

Posible motivo de error y resolución: compruebe la conexión a Internet y vuelva a ejecutar el examen.

Mensaje mostrado: ERROR_MP_UI_CONSOLIDATION_BASE

Posible motivo de error y resolución: este error es interno. La causa no está claramente definida.

Mensaje mostrado: ERROR_MP_ACTIONS_FAILED

Posible motivo de error y resolución: este error es interno. La causa no está claramente definida.

Mensaje mostrado: ERROR_MP_NOENGINE

Posible motivo de error y resolución: este error es interno. La causa no está claramente definida.

Mensaje mostrado: ERROR_MP_ACTIVE_THREATS

Posible motivo de error y resolución: este error es interno. La causa no está claramente definida.

Mensaje mostrado: MP_ERROR_CODE_LUA_CANCELLED

Posible motivo de error y resolución: este error es interno. La causa no está claramente definida.

Mensaje mostrado: ERROR_LUA_CANCELLATION

Posible motivo de error y resolución: este error es interno. La causa no está claramente definida.

Mensaje mostrado: MP_ERROR_CODE_ALREADY_SHUTDOWN

Posible motivo de error y resolución: este error es interno. La causa no está claramente definida.

Mensaje mostrado: MP_ERROR_CODE_RDEVICE_S_ASYNC_CALL_PENDING

Posible motivo de error y resolución: este error es interno. La causa no está claramente definida.

Mensaje mostrado: MP_ERROR_CODE_CANCELLED

Posible motivo de error y resolución: este error es interno. La causa no está claramente definida.

Mensaje mostrado: MP_ERROR_CODE_NO_TARGETOS

Posible motivo de error y resolución: este error es interno. La causa no está claramente definida.

Mensaje mostrado: MP_ERROR_CODE_BAD_REGEXP

Posible motivo de error y resolución: este error es interno. La causa no está claramente definida.

Mensaje mostrado: MP_ERROR_TEST_INDUCED_ERROR

Posible motivo de error y resolución: este error es interno. La causa no está claramente definida.

Mensaje mostrado: MP_ERROR_SIG_BACKUP_DISABLED

Posible motivo de error y resolución: este error es interno. La causa no está claramente definida.

Mensaje mostrado: ERR_MP_BAD_INIT_MODULES

Posible motivo de error y resolución: este error es interno. La causa no está claramente definida.

Mensaje mostrado: ERR_MP_BAD_DATABASE

Posible motivo de error y resolución: este error es interno. La causa no está claramente definida.

Mensaje mostrado: ERR_MP_BAD_UFS

Posible motivo de error y resolución: este error es interno. La causa no está claramente definida.

Mensaje mostrado: ERR_MP_BAD_INPUT_DATA

Posible motivo de error y resolución: este error es interno. La causa no está claramente definida.

Mensaje mostrado: ERR_MP_BAD_GLOBAL_STORAGE

Posible motivo de error y resolución: este error es interno. La causa no está claramente definida.

Mensaje mostrado: ERR_MP_OBSOLETE

Posible motivo de error y resolución: este error es interno. La causa no está claramente definida.

Mensaje mostrado: ERR_MP_NOT_SUPPORTED

Posible motivo de error y resolución: este error es interno. La causa no está claramente definida.

Mensaje mostrado: ERR_MP_NO_MORE_ITEMS

Posible motivo de error y resolución: este error es interno. La causa no está claramente definida.

Mensaje mostrado: ERR_MP_NO_MORE_ITEMS

Posible motivo de error y resolución: este error es interno. La causa no está claramente definida.

Mensaje mostrado: ERR_MP_DUPLICATE_SCANID

Posible motivo de error y resolución: este error es interno. La causa no está claramente definida.

Mensaje mostrado: ERR_MP_BAD_SCANID

Posible motivo de error y resolución: este error es interno. La causa no está claramente definida.

Mensaje mostrado: ERR_MP_BAD_USERDB_VERSION

Posible motivo de error y resolución: este error es interno. La causa no está claramente definida.

Mensaje mostrado: ERR_MP_RESTORE_FAILED

Posible motivo de error y resolución: este error es interno. La causa no está claramente definida.

Mensaje mostrado: ERR_MP_BAD_ACTION

Posible motivo de error y resolución: este error es interno. La causa no está claramente definida.

Mensaje mostrado: ERR_MP_NOT_FOUND

Posible motivo de error y resolución: este error es interno. La causa no está claramente definida.

Mensaje mostrado: ERR_RELO_BAD_EHANDLE

Posible motivo de error y resolución: este error es interno. La causa no está claramente definida.

Mensaje mostrado: ERR_RELO_KERNEL_NOT_LOADED

Posible motivo de error y resolución: este error es interno. La causa no está claramente definida.

Mensaje mostrado: ERR_MP_BADDB_OPEN

Posible motivo de error y resolución: este error es interno. La causa no está claramente definida.

Mensaje mostrado: ERR_MP_BADDB_HEADER

Posible motivo de error y resolución: este error es interno. La causa no está claramente definida.

Mensaje mostrado: ERR_MP_BADDB_OLDENGINE

Posible motivo de error y resolución: este error es interno. La causa no está claramente definida.

Mensaje mostrado: ERR_MP_BADDB_CONTENT

Posible motivo de error y resolución: este error es interno. La causa no está claramente definida.

Mensaje mostrado: ERR_MP_BADDB_NOTSIGNED

Posible motivo de error y resolución: este error es interno. La causa no está claramente definida.

Mensaje mostrado: ERR_MP_REMOVE_FAILED

Posible motivo de error y resolución: este error es interno. Puede desencadenarse cuando la eliminación de malware no se realiza correctamente.

Mensaje mostrado: ERR_MP_SCAN_ABORTED

Posible motivo de error y resolución: este error es interno. Es posible que se haya desencadenado cuando un examen no se completa.