终极解决方案：Windows Defender完全恢复指南（2025最新版）

终极解决方案：Windows Defender完全恢复指南（2025最新版）

【免费下载链接】windows-defender-remover A tool which is uses to remove Windows Defender in Windows 8.x, Windows 10 (every version) and Windows 11. 项目地址: https://gitcode.com/gh_mirrors/wi/windows-defender-remover

你是否正面临这些困境？

卸载Windows Defender后系统频繁报错？第三方杀毒软件无法正常接管防护？Windows更新后安全中心图标异常？本指南将系统性解决这些问题，提供从轻度修复到深度恢复的完整方案，让你的系统安全防护重回正轨。

读完本文你将掌握：

• 3种恢复模式的详细操作步骤
• 注册表修复的精确键值修改方案
• 系统服务重建的完整命令序列
• 常见错误代码的诊断与修复方法
• 恢复后系统防护的最佳配置实践

恢复前的关键准备

环境检查清单

检查项目	正常状态	异常处理
系统版本	Windows 10 20H2+ / Windows 11	下载对应版本ISO
管理员权限	已获取	Win+X → 选择"Windows终端(管理员)"
系统更新	最新累积更新	sfc /scannow + DISM /Online /Cleanup-Image /RestoreHealth
磁盘空间	至少10GB可用	清理系统盘冗余文件
恢复点	存在最近7天内	创建恢复点：systempropertiesprotection → 配置 → 创建

必备工具与文件

1. 系统镜像：从微软官网下载与当前系统版本匹配的ISO文件
2. 权限工具：PowerRun.exe（项目内置工具，用于获取TrustedInstaller权限）
3. 注册表备份：执行reg export HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies Policies.reg
4. 服务修复脚本：sc create命令集合（后文提供完整代码）

恢复方案对比与选择

基础恢复模式（适合轻度修改）

适用于：仅通过组策略或简单注册表修改禁用Defender，未删除核心文件和服务。

操作步骤：

1. 恢复组策略设置

   @echo 恢复Defender组策略设置
   reg delete "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /f
   reg delete "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center" /f
   gpupdate /force
   

2. 启用核心服务

   # 启动Windows Defender服务
   sc config WinDefend start= auto
   sc start WinDefend
   
   # 启动安全中心服务
   sc config wscsvc start= auto
   sc start wscsvc
   
   # 启动Windows安全服务
   sc config SecurityHealthService start= auto
   sc start SecurityHealthService
   

3. 验证基础功能

   • 打开设置 → 更新和安全 → Windows安全中心
   • 确认"病毒和威胁防护"模块显示正常
   • 运行Get-MpComputerStatus验证服务状态

高级恢复模式（适合中度修改）

适用于：使用了项目中的RemoveDefender.reg或类似注册表文件，部分服务被删除或禁用。

操作步骤：

1. 重建关键注册表项

   创建恢复注册表文件RestoreDefender.reg：

   Windows Registry Editor Version 5.00
   
   ; 恢复Defender主策略
   [HKLM\SOFTWARE\Policies\Microsoft\Windows Defender]
   "DisableAntiSpyware"=dword:00000000
   "DisableRealtimeMonitoring"=dword:00000000
   
   ; 恢复实时保护设置
   [HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection]
   "DisableRealtimeMonitoring"=dword:00000000
   "DisableOnAccessProtection"=dword:00000000
   
   ; 恢复安全中心设置
   [HKLM\SOFTWARE\Microsoft\Security Center]
   "AntiVirusOverride"=dword:00000000
   "FirewallOverride"=dword:00000000
   

   执行导入：reg import RestoreDefender.reg

2. 修复WMI存储库

   net stop winmgmt
   winmgmt /resetrepository
   net start winmgmt
   

3. 重建安全中心组件

   # 重新注册安全中心DLL
   regsvr32 /s wscapi.dll
   regsvr32 /s wscui.cpl
   
   # 修复操作中心通知
   sfc /scannow
   DISM /Online /Cleanup-Image /RestoreHealth
   

深度恢复模式（适合完全卸载）

适用于：使用了项目中的完整卸载流程，包括删除服务、注册表项和系统应用。

操作步骤：

1. 恢复系统组件

   @echo 恢复Windows Defender系统组件
   dism /online /enable-feature /featurename:Windows-Defender /all
   dism /online /enable-feature /featurename:Windows-Defender-Features /all
   dism /online /enable-feature /featurename:Windows-Defender-Gui /all
   

2. 重新安装安全健康应用

   # 安装SecHealthUI应用包
   $packagePath = (Get-AppxPackage -allusers Microsoft.Windows.SecHealthUI).InstallLocation
   if (-not $packagePath) {
       # 从系统镜像安装
       Add-AppxPackage -Register "C:\Windows\SystemApps\Microsoft.Windows.SecHealthUI_cw5n1h2txyewy\AppxManifest.xml" -DisableDevelopmentMode
   } else {
       Add-AppxPackage -Register "$packagePath\AppxManifest.xml" -DisableDevelopmentMode
   }
   

3. 重建关键服务（使用PowerRun）

   创建RestoreServices.bat并通过PowerRun.exe以管理员身份运行：

   @echo 重建Defender核心服务
   sc create WinDefend binPath= "C:\ProgramData\Microsoft\Windows Defender\Scanning\mpengine.exe" start= auto type= share
   sc create WdFilter binPath= "system32\drivers\wd\WdFilter.sys" type= filesys start= boot
   sc create WdNisDrv binPath= "system32\drivers\wd\NisDrv\WdNisDrv.sys" type= kernel start= demand
   sc create WdNisSvc binPath= "C:\Program Files\Windows Defender\Nis\WdNisSvc.exe" start= auto
   sc create SecurityHealthService binPath= "C:\WINDOWS\system32\SecurityHealthService.exe" start= auto
   

注册表修复详解

核心注册表项恢复

1. 反恶意软件保护设置

[HKLM\SOFTWARE\Microsoft\Windows Defender]
"DisableAntiSpyware"=dword:00000000
"DisableRealtimeMonitoring"=dword:00000000
"ServiceKeepAlive"=dword:00000001
"AllowFastServiceStartup"=dword:00000001

2. 实时保护配置

[HKLM\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection]
"DisableRealtimeMonitoring"=dword:00000000
"DisableBehaviorMonitoring"=dword:00000000
"DisableOnAccessProtection"=dword:00000000
"DisableScanOnRealtimeEnable"=dword:00000000
"RealtimeScanDirection"=dword:00000000

3. 安全中心集成

[HKLM\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled"=dword:00000000
"AntiVirusOverride"=dword:00000000
"FirewallOverride"=dword:00000000
"UacOverride"=dword:00000000

使用RegistryUnifier.ps1批量恢复

项目提供的@Management/RegistryUnifier.ps1可用于合并注册表文件。修改该脚本以生成恢复用REG文件：

# 修改RegistryUnifier.ps1
$sourceFolder = "../Remove_defender_moduled"  # 原始禁用注册表位置
$outputFile = "../RestoreDefender.reg"        # 输出恢复用注册表

$combinedContent = @()
$combinedContent += "Windows Registry Editor Version 5.00"
$regFiles = Get-ChildItem -Path $sourceFolder -Recurse -Filter "*.reg"

foreach ($file in $regFiles) {
    $content = Get-Content -Path $file.FullName
    $combinedContent += "; 恢复文件: $($file.FullName)"
    # 反转关键值（将0改为1，1改为0）
    $modifiedContent = $content[1..($content.Length - 1)] | ForEach-Object {
        $_ -replace 'dword:00000001', 'dword:00000000' `
           -replace 'dword:00000000', 'dword:00000001' `
           -replace 'Delete', 'Add'
    }
    $combinedContent += $modifiedContent
}
$combinedContent | Set-Content -Path $outputFile -Encoding UTF8

执行修改后的脚本生成恢复用注册表文件，然后导入：reg import RestoreDefender.reg

系统服务重建指南

服务恢复优先级

服务名称	启动类型	依赖关系	恢复命令
WinDefend	自动	无	sc create WinDefend binPath= "C:\ProgramData\Microsoft\Windows Defender\Scanning\mpengine.exe" start= auto
WdFilter	引导	无	sc create WdFilter binPath= "system32\drivers\wd\WdFilter.sys" type= filesys start= boot
wscsvc	自动	RPCSS, EventSystem	sc create wscsvc binPath= "C:\WINDOWS\system32\wscsvc.dll" type= share start= auto
SecurityHealthService	自动	wscsvc	sc create SecurityHealthService binPath= "C:\WINDOWS\system32\SecurityHealthService.exe" start= auto
SgrmBroker	自动	RPCSS	sc create SgrmBroker binPath= "C:\WINDOWS\system32\SgrmBroker.exe" type= share start= auto

服务状态验证脚本

$services = @("WinDefend", "wscsvc", "SecurityHealthService", "WdFilter", "SgrmBroker")
foreach ($service in $services) {
    $status = Get-Service $service -ErrorAction SilentlyContinue
    if ($status) {
        Write-Host "$service : $($status.Status)" -ForegroundColor $([ConsoleColor]::Green)
    } else {
        Write-Host "$service : 未找到" -ForegroundColor $([ConsoleColor]::Red)
    }
}

常见问题诊断与修复

错误代码解决方案

错误代码	症状	修复方法
0x80070422	服务无法启动	sc config wuauserv start= auto & sc start wuauserv
0x80070005	权限不足	使用PowerRun.exe运行命令提示符
0x80040154	COM组件注册失败	regsvr32 /s %systemroot%\system32\ole32.dll
0x80240017	组件存储损坏	DISM /Online /Cleanup-Image /RestoreHealth
0x80073CF6	应用安装失败	Get-AppxPackage -allusers Microsoft.Windows.SecHealthUI | Remove-AppxPackage -allusers后重试

安全中心空白修复

当Windows安全中心显示空白或无法加载时：

1. 重置应用缓存

   Get-AppxPackage *Microsoft.Windows.SecHealthUI* | Reset-AppxPackage
   

2. 重新注册WMI提供程序

   mofcomp %systemroot%\system32\wbem\wmiprov.mof
   net stop winmgmt && net start winmgmt
   

3. 替换损坏的资源文件

   从相同版本的Windows系统复制以下文件到对应位置：

   • C:\Windows\SystemApps\Microsoft.Windows.SecHealthUI_cw5n1h2txyewy\resources.pri
   • C:\Windows\System32\SecurityHealthAgent.dll

恢复后安全配置最佳实践

推荐安全设置

配置优化步骤

1. 启用核心防护

   # 通过PowerShell配置Defender
   Set-MpPreference -DisableRealtimeMonitoring $false
   Set-MpPreference -MAPSReporting Advanced
   Set-MpPreference -SubmitSamplesConsent AlwaysPrompt
   Set-MpPreference -EnableControlledFolderAccess Enabled
   Set-MpPreference -PUAProtection Enabled
   

2. 计划扫描任务

   # 创建每周完整扫描任务
   $taskAction = New-ScheduledTaskAction -Execute "C:\Program Files\Windows Defender\MpCmdRun.exe" -Argument "-Scan -ScanType 2"
   $taskTrigger = New-ScheduledTaskTrigger -Weekly -DaysOfWeek Sunday -At 2am
   Register-ScheduledTask -TaskName "Windows Defender Weekly Scan" -Action $taskAction -Trigger $taskTrigger -User "SYSTEM" -RunLevel Highest
   

3. 配置排除项

   根据实际需求添加必要的扫描排除项，避免影响系统性能：

   Set-MpPreference -ExclusionPath "C:\Program Files\Common Files", "C:\Users\Public"
   Set-MpPreference -ExclusionExtension ".vhd", ".vhdx"
   Set-MpPreference -ExclusionProcess "svchost.exe", "lsass.exe"
   

恢复验证与系统检查

完整功能验证清单

1. 界面验证

   • 打开"设置 > 更新和安全 > Windows安全中心"
   • 确认所有安全板块显示正常（病毒和威胁防护、账户保护、防火墙等）
   • 验证"病毒和威胁防护"设置页面可正常访问

2. 命令行验证

   # 验证Defender状态
   Get-MpComputerStatus | Select-Object AntivirusEnabled, AMServiceEnabled, RealTimeProtectionEnabled
   
   # 验证定义更新
   Update-MpSignature -Force
   
   # 执行快速扫描
   Start-MpScan -ScanType QuickScan
   

3. 事件日志检查

   Get-WinEvent -LogName "Microsoft-Windows-Windows Defender/Operational" -MaxEvents 10 | Where-Object { $_.Id -eq 1000 }
   

总结与后续建议

通过本文介绍的恢复方案，你已成功将Windows Defender恢复至正常工作状态。为避免未来出现类似问题，建议：

1. 创建系统还原点：在进行任何系统修改前执行
2. 使用组策略而非注册表：通过gpedit.msc配置Defender更安全
3. 定期备份关键服务配置：导出HKLM\SYSTEM\CurrentControlSet\Services注册表项
4. 关注Windows更新：部分更新可能重置Defender配置

若你在恢复过程中遇到本文未涵盖的问题，可提交issue至项目仓库获取支持。记得点赞收藏本指南，关注作者获取更多系统维护技巧！

下一篇预告：《Windows 11系统防护深度优化指南》—— 如何在保持安全的同时提升系统性能。

【免费下载链接】windows-defender-remover A tool which is uses to remove Windows Defender in Windows 8.x, Windows 10 (every version) and Windows 11. 项目地址: https://gitcode.com/gh_mirrors/wi/windows-defender-remover