Kjøre og se gjennom resultatene av en Microsoft Defender frakoblet skanning

Gjelder for:

• Microsoft Defender for endepunkt plan 1
• Microsoft Defender for endepunkt plan 2
• Microsoft Defender Antivirus
• Microsoft Defender for Business
• Microsoft Defender for enkeltpersoner

Gjelder	Type:
Plattform	Windows
Beskyttelsestype	Maskinvare
Fastvare/ Rootkit	Operativsystem Sjåfør Minne (heap) Program Identitet Sky

Obs!

Beskyttelsen for denne funksjonen fokuserer på Fastvare/Rootkit.

Microsoft Defender Offline er et skanneverktøy for skadelig programvare som lar deg starte og kjøre en skanning fra et klarert miljø. Skanningen kjører fra utenfor den vanlige Windows-kjernen, slik at den kan målrette mot skadelig programvare som forsøker å omgå Windows-skallet, for eksempel virus og rootkits som infiserer eller overskriver hovedoppstartsposten (MBR).

Du kan bruke Microsoft Defender frakoblet skanning hvis du mistenker en skadelig programvareinfeksjon, eller du vil bekrefte en grundig rens av endepunktet etter et utbrudd av skadelig programvare.

Forutsetninger og krav

Følgende er maskinvarekravene for Microsoft Defender frakoblet skanning i Windows:

• x64 Windows 11
• x64/x86 Windows 10
• x64/x86 Windows 8.1
• x64/x86 Windows 7 Service Pack 1

Forsiktig!

Microsoft Defender frakoblet skanning gjelder ikke for:

• ARM Windows 11
• ARM Windows 10
• Lagerføringsenheter for Windows Server (SKU-er)

Hvis du vil ha mer informasjon om Windows 10 og Windows 11 krav, kan du se følgende artikler:

• Minimumskrav til maskinvare
• Retningslinjer for maskinvarekomponent

Microsoft Defender frakoblede oppdateringer

Slik mottar du oppdateringer Microsoft Defender frakoblet skanning:

• Microsoft Defender Antivirus må være den primære antivirusprogramvaren (ikke i passiv modus).

• Oppdater Microsoft Defender Antivirus slik du vanligvis distribuerer oppdateringer til endepunkter. Bruk en støttet versjon av:

  • Plattformoppdatering

  • Motoroppdatering

  • Sikkerhetsetterretning Oppdateringer

    • Du kan laste ned og installere de nyeste beskyttelsesoppdateringene manuelt fra Microsofts senter for beskyttelse mot skadelig programvare
    • Hvis du vil ha mer informasjon, kan du se artikkelen Administrere Microsoft Defender antivirussikkerhet for å få mer informasjon.

• Brukere må være logget på med lokale administratorrettigheter.

• Windows Recovery Environment (WinRE) må være aktivert.

Obs!

Hvis WinRE er deaktivert, kjøres ikke skanningen i frakoblet modus for Windows Defender, og ingen feilmeldinger vises. Ingenting skjer selv om maskinen startes på nytt manuelt. Du trenger bare å aktivere WinRE for å løse dette problemet.

• Hvis du vil kontrollere WinRE-statusen, kan du kjøre denne kommandolinjen: reagentc /info.
• Hvis statusen er deaktivert, kan du aktivere den ved å kjøre denne kommandolinjen: reagentc /enable.

Bruksscenarioer

Behovet for å kjøre Microsoft Defender frakoblet skanning:

Hvis Microsoft Defender Antivirus fastslår at du må kjøre Microsoft Defender frakoblet, blir brukeren bedt om det på enheten. Ledeteksten kan oppstå via et varsel, på samme måte som følgende:

Brukeren blir også varslet i den Microsoft Defender antivirusklienten. Hvis du bruker Intune til å administrere enheter, kan du se varselet i Intune.

• Du kan manuelt fremtvinge en frakoblet skanning som er innebygd Windows 10, versjon 1607 eller nyere, og Windows 11. Du kan også skanne gjennom et oppstartbart medium for de eldre Windows OS-ene som beskrevet her.

I Configuration Manager kan du identifisere statusen for endepunktene ved å gå til Status for > overvåking av oversiktssikkerhetsendepunktbeskyttelse >>> System Center Endpoint Protection status.

Microsoft Defender frakoblede skanninger angis under utbedringsstatusen for skadelig programvare etter behov for frakoblet skanning.

Konfigurer varsler

Microsoft Defender frakoblede varsler konfigureres i samme policyinnstilling som andre Microsoft Defender Antivirus-varsler.

Hvis du vil ha mer informasjon om varsler i Windows Defender, kan du se Konfigurere varslene som vises på endepunkter.

Kjør en skanning

Viktig

Før du bruker Microsoft Defender frakoblet skanning, må du sørge for at du lagrer filer og avslutter programmer som kjører. Skanningen Microsoft Defender frakoblet tar omtrent 15 minutter å kjøre. Det starter endepunktet på nytt når skanningen er fullført. Skanningen utføres utenfor det vanlige Windows-operativmiljøet. Brukergrensesnittet vil se annerledes ut enn en vanlig skanning utført av Windows Defender. Når skanningen er fullført, startes endepunktet på nytt, og Windows lastes normalt inn.

Du kan kjøre en Microsoft Defender frakoblet skanning med følgende metoder:

• Windows Sikkerhet-appen
• PowerShell
• Windows Management Instrumentation (WMI)

Bruke Windows Defender Security-appen til å kjøre en frakoblet skanning

Fra og med Windows 10, versjon 1607 eller nyere og Windows 11, kan Microsoft Defender Frakoblet skanning kjøres med ett klikk direkte fra Windows Sikkerhet-appen. I tidligere versjoner av Windows måtte en bruker installere Microsoft Defender frakoblet skanning til oppstartbare medier, starte endepunktet på nytt og laste inn det oppstartbare mediet.

Obs!

I Windows 10, versjon 1607, kan den frakoblede skanningen kjøres fra Windows Settings > Update & sikkerhet > Windows Defender eller fra Windows Defender-klienten.

1. Åpne Windows Sikkerhet-appen på Windows-enheten, og deretter skannealternativer.

2. Velg alternativknappen Microsoft Defender frakoblet skanning, og velg Skann nå.

   Prosessen starter fra C:\ProgramData\Microsoft\Windows Defender\Offline Scanner.

3. Du får en melding om å lagre arbeidet før du fortsetter, på samme måte som på følgende bilde:

   

   Når du har lagret arbeidet, velger du Skann.

4. Når du har valgt Skann, får du en annen melding som ber om tillatelse til å gjøre endringer på enheten, på samme måte som på følgende bilde:

   

   Velg Ja.

5. En annen melding vises og informerer deg om at du blir logget av, og Windows avsluttes om mindre enn ett minutt, på samme måte som på følgende bilde:

   

6. Du ser at antivirusskanningen Microsoft Defender (frakoblet skanning) pågår.

   

   Du ser følgende bilde:

   

Bruke PowerShell-cmdleter til å kjøre en frakoblet skanning

Bruk følgende cmdleter:

Start-MpWDOScan

Se Bruke PowerShell-cmdleter til å konfigurere og kjøre Microsoft Defender Antivirus og Defender Antivirus cmdleter for mer informasjon om hvordan du bruker PowerShell med Microsoft Defender Antivirus.

Bruke Windows Management Instruction (WMI) til å kjøre en frakoblet skanning

Bruk MSFT_MpWDOScan-klassen til å kjøre en frakoblet skanning.

Følgende WMI-skriptsnutt kjører umiddelbart en Microsoft Defender frakoblet skanning, noe som vil føre til at endepunktet startes på nytt, kjører den frakoblede skanningen og starter på nytt og starter på nytt i Windows.

wmic /namespace:\\root\Microsoft\Windows\Defender path MSFT_MpWDOScan call Start

Hvis du vil ha mer informasjon, kan du se Windows Defender WMIv2 API-er.

I Windows 7 Service Pack 1 og Windows 8.1:

1. Last ned Windows Defender Offline og installer det på en CD, DVD eller USB-flash-enhet ved hjelp av følgende koblinger:

   • Last ned 64-bitersversjonen (msstool64.exe)
   • Last ned 32-bitersversjonen (msstool32.exe)

   Hvis du ikke er sikker på hvilken versjon du skal laste ned, kan du se Kjører PC-en 32-biters- eller 64-bitersversjonen av Windows?.

2. Kom i gang ved å finne en tom CD, DVD eller USB-flash-enhet med minst 250 MB ledig plass, og deretter kjøre verktøyet. Du veiledes gjennom trinnene for å opprette de flyttbare mediene.

   Tips

   Vi anbefaler at du gjør følgende når du laster ned Windows Defender Offline:

   • Last ned Windows Defender Frakoblet, og opprett CD-EN, DVD-en eller USB-flash-enheten på en PC som ikke er infisert med skadelig programvare, da skadelig programvare kan forstyrre medieopprettingen.
   • Hvis du bruker en USB-stasjon, formateres stasjonen på nytt, og eventuelle data på den slettes. Sørg for at du sikkerhetskopierer viktige data fra stasjonen først.

   

3. Skann PC-en etter virus og annen skadelig programvare.

   1. Når du har opprettet USB-stasjonen, CD-en eller DVD-en, fjerner du den fra den gjeldende datamaskinen og tar den med til datamaskinen du vil skanne. Sett inn USB-stasjonen eller disken i den andre datamaskinen, og start datamaskinen på nytt.

   2. Start fra USB-stasjonen, CD-en eller DVD-en for å kjøre skanningen. Avhengig av datamaskinens innstillinger, kan det automatisk starte fra media etter at du starter det på nytt, eller du må kanskje trykke en tast for å gå inn i en "oppstartsenheter"-meny eller endre oppstartsrekkefølgen i datamaskinens UEFI-fastvare eller BIOS.

   3. Når du har startet enheten, ser du et Microsoft Defender verktøy som skanner datamaskinen automatisk og fjerner skadelig programvare.

   4. Når skanningen er fullført og du er ferdig med verktøyet, kan du starte datamaskinen på nytt og fjerne Microsoft Defender frakoblede medier for å starte opp igjen i Windows.

4. Fjern skadelig programvare som finnes fra PC-en.

   Hvis det oppstår en Stopp-feil på en blå skjerm når du kjører skanningen i frakoblet modus, starter du enheten på nytt og prøver å kjøre en Microsoft Defender frakoblet skanning på nytt. Hvis blåskjermfeilen oppstår igjen, kontakter du Microsoft Kundestøtte.

Hvor finner jeg skanneresultatene?

Hvis du vil se Microsoft Defender frakoblede søkeresultater i Windows 10 og Windows 11:

1. Velg Start, og velg deretter Innstillinger>Oppdater & sikkerhet>Windows Sikkerhet>Virus & trusselbeskyttelse.

2. Velg Skannealternativer under Gjeldende trusler på skjermen Virus & trusselbeskyttelse, og velg deretter Beskyttelseslogg. Hvis du vil ha mer informasjon, kan du se Se gjennom loggen for trusselregistrering i Windows Sikkerhet-appen.

Hvordan kan jeg finne ut om Microsoft Defender frakoblet skanning ble startet?

I Hendelsesliste går du til Programmer og tjenestelogger > Microsoft > Windows > Defender > Operational. Du vil se:

• Loggnavn: Microsoft-Windows-Windows Defender/Operasjonelt
• Kilde: Microsoft-Windows-Windows Defender
• Hendelses-ID: 2030
• Nivå: Informasjon
• Beskrivelse: Microsoft Defender Antivirus lastet ned og konfigurert Microsoft Defender Antivirus (frakoblet skanning) til å kjøre på neste omstart.

I eldre versjoner enn Windows 10, 2004, ser du:

Windows Defender Antivirus lastet ned og konfigurert Windows Defender Offline til å kjøre ved neste omstart.

• Loggnavn: Microsoft-Windows-Windows Defender/Operational
• Kilde: Microsoft-Windows-Windows Defender
• Hendelses-ID: 5007
• Nivå: Information
• Beskrivelse: Microsoft Defender Antivirus Configuration has changed. If this is an unexpected event, you should review the settings as this may be the result of malware.
• Gammel verdi: N/A\Scan\OfflineScanRun =
• Ny verdi: HKLM\SOFTWARE\Microsoft\Windows Defender\Scan\OfflineScanRun = 0x0

Relaterte artikler

• Tilpasse, starte og se gjennom resultatene av skanninger og utbedring
• Microsoft Defender Antivirus i Windows 10

Tips

Hvis du leter etter antivirusrelatert informasjon for andre plattformer, kan du se:

• Angi innstillinger for Microsoft Defender for endepunkt på macOS
• Microsoft Defender for endepunkt på Mac
• Innstillinger for macOS-antiviruspolicy for Microsoft Defender Antivirus for Intune
• Angi innstillinger for Microsoft Defender for endepunkt på Linux
• Microsoft Defender for endepunkt på Linux
• Konfigurer Defender for endepunkt på Android-funksjoner
• Konfigurer Microsoft Defender for endepunkt for iOS-funksjoner

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.