Partager via

Exécuter et examiner les résultats d’une analyse en mode Microsoft Defender hors ligne

  • Article

S’applique à :

S’applique à Type
Plateforme Windows
Type de protection Matériel
Microprogramme/Rootkit Système d’exploitation
Driver
Mémoire (tas)
Application
Identité
Cloud

Remarque

La protection de cette fonctionnalité se concentre sur le microprogramme/rootkit.

Microsoft Defender hors connexion est un outil d’analyse anti-programme malveillant qui vous permet de démarrer et d’exécuter une analyse à partir d’un environnement approuvé. L’analyse s’exécute à partir de l’extérieur du noyau Windows normal afin de pouvoir cibler les programmes malveillants qui tentent de contourner l’interpréteur de commandes Windows, tels que les virus et les rootkits qui infectent ou remplacent l’enregistrement de démarrage master (MBR).

Vous pouvez utiliser Microsoft Defender analyse hors connexion si vous suspectez une infection par un programme malveillant ou si vous souhaitez confirmer une propre approfondie du point de terminaison après une épidémie de programmes malveillants.

Conditions préalables et conditions requises

Voici la configuration matérielle requise pour Microsoft Defender analyse hors connexion dans Windows :

  • Windows 11 x64
  • Windows 10 x64/x86
  • Windows 8.1 x64/x86
  • x64/x86 Windows 7 Service Pack 1

Attention

Microsoft Defender l’analyse hors connexion ne s’applique pas à :

  • Windows 11 ARM
  • Windows 10 ARM
  • Unités de conservation de stock Windows Server (SKU)

Pour plus d’informations sur les exigences Windows 10 et Windows 11, consultez les articles suivants :

Microsoft Defender mises à jour hors connexion

Pour recevoir Microsoft Defender mises à jour de l’analyse hors connexion :

Remarque

Si WinRE est désactivé, l’analyse Windows Defender hors connexion ne s’exécute pas et aucun message d’erreur n’est affiché. Rien ne se passe même si l’ordinateur est redémarré manuellement. Pour résoudre ce problème, il vous suffit d’activer WinRE.

  • Pour case activée le status WinRE, vous pouvez exécuter la ligne de commande suivante : reagentc /info.
  • Si le status est Désactivé, vous pouvez l’activer en exécutant la ligne de commande suivante : reagentc /enable.

Scénarios d'utilisation

La nécessité d’exécuter Microsoft Defender analyse hors connexion :

Si Microsoft Defender Antivirus détermine que vous devez exécuter Microsoft Defender hors connexion, il invite l’utilisateur sur l’appareil. L’invite peut se produire via une notification similaire à ce qui suit :

Notification d’exécution Microsoft Defender hors connexion

L’utilisateur est également averti dans le client antivirus Microsoft Defender. Si vous utilisez Intune pour gérer les appareils, vous pouvez voir la notification dans Intune.

  • Vous pouvez forcer manuellement une analyse hors connexion qui est intégrée Windows 10, version 1607 ou ultérieure, et Windows 11. Vous pouvez également analyser sur un média de démarrage les anciens systèmes d’exploitation Windows, comme décrit ici.

Dans Configuration Manager, vous pouvez identifier le status des points de terminaison en accédant à Vue d’ensemble > de la surveillance > État >> System Center Endpoint Protection de sécurité Endpoint Protection.

Microsoft Defender analyses hors connexion sont indiquées sous Correction des programmes malveillants status comme analyse hors connexion requise.

Indicateur d’une analyse de Microsoft Defender hors connexion

Configurer les notifications

Microsoft Defender notifications hors connexion sont configurées dans le même paramètre de stratégie que les autres notifications antivirus Microsoft Defender.

Pour plus d’informations sur les notifications dans Windows Defender, consultez Configurer les notifications qui s’affichent sur les points de terminaison.

Effectuer une analyse

Importante

Avant d’utiliser Microsoft Defender analyse hors connexion, veillez à enregistrer tous les fichiers et à arrêter les programmes en cours d’exécution. L’exécution de l’analyse Microsoft Defender hors connexion prend environ 15 minutes. Il redémarre le point de terminaison une fois l’analyse terminée. L’analyse est effectuée en dehors de l’environnement d’exploitation Windows habituel. L’interface utilisateur apparaît différente d’une analyse normale effectuée par Windows Defender. Une fois l’analyse terminée, le point de terminaison est redémarré et Windows se charge normalement.

Vous pouvez exécuter une analyse Microsoft Defender hors connexion avec les méthodes suivantes :

  • Application Sécurité Windows
  • PowerShell
  • WMI (Windows Management Instrumentation)

Utiliser l’application Sécurité Windows Defender pour exécuter une analyse hors connexion

À partir de Windows 10, version 1607 ou ultérieure et Windows 11, Microsoft Defender analyse hors connexion peut être exécutée en un seul clic directement à partir de l’application Sécurité Windows. Dans les versions précédentes de Windows, un utilisateur devait installer Microsoft Defender analyse hors connexion sur un support de démarrage, redémarrer le point de terminaison et charger le média de démarrage.

Remarque

Dans Windows 10 version 1607, l’analyse hors connexion peut être exécutée à partir de la mise à jour des paramètres > Windows & sécurité > Windows Defender ou du client Windows Defender.

  1. Sur votre appareil Windows, ouvrez l’application Sécurité Windows, puis options d’analyse.

  2. Sélectionnez la case d’option Microsoft Defender Analyse hors connexion, puis sélectionnez Analyser maintenant.

    Le processus commence à partir de C:\ProgramData\Microsoft\Windows Defender\Offline Scanner.

  3. Vous recevez une invite pour enregistrer votre travail avant de continuer, comme dans l’image suivante :

    Capture d’écran de l’invite à l’écran pour enregistrer tout le travail avant de continuer.

    Après avoir enregistré votre travail, sélectionnez Analyser.

  4. Après avoir sélectionné Analyser, une autre invite vous demande l’autorisation d’apporter des modifications à votre appareil, comme dans l’image suivante :

    Capture d’écran d’une invite d’écran demandant l’autorisation d’appliquer.

    Sélectionnez Oui.

  5. Une autre invite s’affiche et vous informe que vous serez déconnecté et que Windows s’arrêtera en moins d’une minute, comme dans l’image suivante :

    Capture d’écran d’une invite d’écran informant de la déconnexion.

  6. Vous voyez que l’analyse antivirus Microsoft Defender (analyse hors connexion) est en cours.

    Capture d’écran de l’analyse Microsoft Defender Antivirus.

    Vous verrez l’image suivante :

    Capture d’écran d’un dialogue lorsque l’exécution est en cours.

Utiliser des applets de commande PowerShell pour exécuter une analyse hors connexion

Utilisez les applets de commande suivantes :

Start-MpWDOScan

Pour plus d’informations sur l’utilisation de PowerShell avec Microsoft Defender Antivirus Defender Antivirus Microsoft Defender, consultez Utiliser des applets de commande PowerShell pour configurer et exécuter Microsoft Defender Antivirus.

Utiliser WMI (Windows Management Instruction) pour exécuter une analyse hors connexion

Utilisez la classe MSFT_MpWDOScan pour exécuter une analyse hors connexion.

L’extrait de code de script WMI suivant exécute immédiatement une analyse Microsoft Defender hors connexion, ce qui entraîne le redémarrage du point de terminaison, l’exécution de l’analyse hors connexion, puis le redémarrage et le démarrage dans Windows.

wmic /namespace:\\root\Microsoft\Windows\Defender path MSFT_MpWDOScan call Start

Pour plus d’informations, consultez API Windows Defender WMIv2.

Dans Windows 7 Service Pack 1 et Windows 8.1 :

  1. Téléchargez Windows Defender hors connexion et installez-le sur un CD, UN DVD ou un lecteur flash USB à l’aide des liens suivants :

    Si vous ne savez pas quelle version télécharger, consultez Mon PC exécute-t-il la version 32 bits ou 64 bits de Windows ?.

  2. Pour commencer, recherchez un CD, UN DVD ou un lecteur flash USB vide avec au moins 250 Mo d’espace libre, puis exécutez l’outil. Vous êtes guidé tout au long des étapes de création du média amovible.

    Conseil

    Nous vous recommandons d’effectuer les opérations suivantes lors du téléchargement de Windows Defender hors connexion :

    • Téléchargez Windows Defender hors ligne et créez le CD, LE DVD ou le lecteur flash USB sur un PC qui n’est pas infecté par un programme malveillant, car le logiciel malveillant peut interférer avec la création du média.
    • Si vous utilisez un lecteur USB, le lecteur sera reformaté et toutes les données qu’il contient seront effacées. Veillez d’abord à sauvegarder toutes les données importantes du lecteur.

    Capture d’écran d’une boîte de dialogue pour l’analyse sur PC.

  3. Analysez votre PC à la recherche de virus et d’autres programmes malveillants.

    1. Une fois que vous avez créé le lecteur USB, le CD ou le DVD, supprimez-le de votre ordinateur actuel et placez-le sur l’ordinateur que vous souhaitez analyser. Insérez le lecteur ou le disque USB dans l’autre ordinateur et redémarrez l’ordinateur.

    2. Démarrez à partir du lecteur USB, du CD ou du DVD pour exécuter l’analyse. Selon les paramètres de l’ordinateur, il peut démarrer automatiquement à partir du support après son redémarrage, ou vous devrez peut-être appuyer sur une touche pour entrer dans un menu « périphériques de démarrage » ou modifier l’ordre de démarrage dans le microprogramme UEFI ou le BIOS de l’ordinateur.

    3. Après avoir démarré l’appareil, vous voyez un outil Microsoft Defender qui analyse automatiquement votre ordinateur et supprime les programmes malveillants.

    4. Une fois l’analyse terminée et l’outil terminé, vous pouvez redémarrer votre ordinateur et supprimer le support Microsoft Defender hors connexion pour redémarrer dans Windows.

  4. Supprimez les programmes malveillants détectés sur votre PC.

    Si vous rencontrez une erreur d’arrêt sur un écran bleu lorsque vous exécutez l’analyse hors connexion, redémarrez votre appareil et réessayez d’exécuter une analyse Microsoft Defender hors connexion. Si l’erreur d’écran bleu se produit à nouveau, contactez Support Microsoft.

Où puis-je trouver les résultats de l’analyse ?

Pour voir les résultats de l’analyse Microsoft Defender hors connexion dans Windows 10 et Windows 11 :

  1. Sélectionnez Démarrer, puis Sélectionnez Paramètres>Mise à jour & Sécurité>Sécurité Windows>Protection contre les virus & contre les menaces.

  2. Dans l’écran Protection contre les virus & contre les menaces , sous Menaces actuelles, sélectionnez Options d’analyse, puis Historique de protection. Pour plus d’informations, consultez Passer en revue l’historique de détection des menaces dans l’application Sécurité Windows.

Comment savoir si Microsoft Defender’analyse hors connexion a été lancée ?

Dans la observateur d'événements, accédez à Journaux > des applications et des services Microsoft > Windows > Windows Defender > Opérationnel. Tu vas voir:

  • Nom du journal : Microsoft-Windows-Windows Defender/Operational
  • Source : Microsoft-Windows-Windows Defender
  • ID d’événement : 2030
  • Niveau : Informations
  • Description : Microsoft Defender Antivirus téléchargé et configuré Microsoft Defender Antivirus (analyse hors connexion) pour qu’il s’exécute lors du redémarrage suivant.

Sur les versions antérieures à Windows 10 2004, vous verrez :

Windows Defender Antivirus téléchargé et configuré Windows Defender hors connexion pour qu’il s’exécute lors du prochain redémarrage.

  • Nom du journal : Microsoft-Windows-Windows Defender/Operational
  • Source: Microsoft-Windows-Windows Defender
  • ID d’événement : 5007
  • Niveau: Information
  • Description: Microsoft Defender Antivirus Configuration has changed. If this is an unexpected event, you should review the settings as this may be the result of malware.
  • Ancienne valeur : N/A\Scan\OfflineScanRun =
  • Nouvelle valeur : HKLM\SOFTWARE\Microsoft\Windows Defender\Scan\OfflineScanRun = 0x0

Conseil

Si vous recherchez des informations relatives à l’antivirus pour d’autres plateformes, consultez :

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.