При обнаружении угроз: вирусов, троянов, потенциально нежелательного ПО, встроенный антивирус Windows 11/10 Microsoft Defender помещает запись об этом в «Журнал защиты».
Иногда пользователю может потребоваться очистить журнал защиты, а в некоторых случаях он может обнаружить, что журнал пустой несмотря на то, что те или иные файлы на компьютере были удалены встроенным антивирусом как представляющие угрозу. Подробно по каждому из двух вопросов — далее в инструкции.
Очистка журнала защиты
На всякий случай о том, где просмотреть журнал защиты (уже описывалось в статье про карантин Microsoft Defender):
- Откройте окно «Безопасность Windows», используя значок в области уведомлений или кнопку в разделе «Конфиденциальность и защита» в «Параметрах».
- Нажмите по пункту «Защита от вирусов и угроз», а затем — по ссылке «Журнал защиты».
- Вы увидите недавние угрозы, обнаруженные Microsoft Defender. Учитывайте, что срок хранения элементов в журнале — 15 или 30 дней.
Стандартными средствами интерфейса окна «Безопасность Windows» очистить журнал защиты не получится, более того, даже зная, где располагаются сведения для этого журнала их очистка в обычном режиме работы системы также затруднена.
Однако, очистка возможна. Самый простой и безопасный (для последующей исправной работы Microsoft Defender) путь сделать это:
- Нажмите клавиши Win+R на клавиатуре, введите msconfig и нажмите Enter.
- В открывшемся окне «Конфигурация системы» перейдите на вкладку «Загрузка», отметьте опцию «Безопасный режим», нажмите «Ок» и подтвердите перезагрузку.
- Компьютер перезагрузится в безопасном режиме. Откройте Проводник и перейдите к папке (можно скопировать и вставить путь в адресную строку Проводника)
C:ProgramDataMicrosoftWindows DefenderScansHistoryService
после чего очистите всё её содержимое.
- Используя шаги, аналогичные 1 и 2, снимите отметку «Безопасный режим» и перезагрузитесь в обычном режиме.
- В результате вы увидите, что журнал защиты Microsoft Defender был очищен:
Дополнительная информация по очистке:
- Выполнив команду
Set-MpPreference -ScanPurgeItemsAfterDelay 1
в Windows PowerShell (Терминале Windows) от имени администратора, вы установите срок хранения элементов в журнале защиты равным одному дню вместо стандартных 15/30 дней.
- Следы работы Microsoft Defender присутствуют также в Просмотре событий в журнале «Журналы приложений и служб» — «Microsoft» — «Windows» — «Windows Defender» — «Operational». Для полной «чистоты» и невозможности просмотреть историю обнаружений вы также можете очистить этот журнал (однако, при этом Microsoft Defender «забудет» также и о последнем выполненном сканировании).
Почему журнал может быть пустым, несмотря на удаление угроз
Некоторые пользователи сталкиваются с тем, что несмотря на то, что Microsoft Defender явно удаляет те или иные угрозы, в журнале защиты в окне «Безопасность Windows» пусто. По порядку о том, почему такое может происходить и что можно предпринять:
- Автоматическая очистка по истечении времени (стандартно — 15 или 30 дней, но может быть настроена). Изменить время сохранения записей можно с помощью команды PowerShell Set-
MpPreference -ScanPurgeItemsAfterDelay N
заменив N на нужное число.
- Использование сторонних утилит для очистки системы — некоторые из них могут очищать, в том числе и журналы защиты.
- Повреждение файлов базы данных журнала или нарушение прав доступа к папке с ними. Речь идёт о той же папке, очистка которой описывалась в первом разделе инструкции. Вариант решения — попробовать очистить её как это было описано выше.
- Использование различных «Сборок» с собственными «твиками», ограничивающими в том числе и сохранение журнала.
- Иногда — работа вредоносного ПО на компьютере. Вариант решения — попробовать выполнить проверку компьютера альтернативными средствами, например, KVRT.
Если «Журнал защиты» в окне «Безопасность Windows» пуст, вы можете также попробовать зайти в «Просмотр событий» в журанл «Журналы приложений и служб» — «Microsoft» — «Windows» — «Windows Defender» — «Operational» и обратить внимание на события со следующими кодами:
- 1116 — обнаружение вредоносного ПО.
- 1117 — действие защитника Windows (удаление, карантин).
- 1119 — ошибка при попытке выполнить действие над угрозой.
Надеюсь, один из вариантов поможет разобраться в вопросе и решить возникшие задачи. Если остаются вопросы в контексте рассмотренной темы, вы можете задать их в комментариях, я постараюсь подсказать решения.
