Udostępnij za pośrednictwem

Uruchom i przejrzyj wyniki skanowania programu Microsoft Defender Offline

  • Artykuł

Dotyczy:

Informacje zawarte w tym artykule dotyczą Wpisać
Platforma System Windows
Typ ochrony Sprzęt
Oprogramowanie układowe/ zestaw rootkit System operacyjny
Sterownik
Pamięć (sterta)
Aplikacja
Tożsamości
Chmura

Uwaga

Ochrona tej funkcji koncentruje się na oprogramowaniu układowym/zestawie rootkit.

Microsoft Defender offline to narzędzie do skanowania przed złośliwym oprogramowaniem, które umożliwia rozruch i uruchamianie skanowania z zaufanego środowiska. Skanowanie jest uruchamiane spoza normalnego jądra systemu Windows, dzięki czemu może być ukierunkowane na złośliwe oprogramowanie, które próbuje ominąć powłokę systemu Windows, takie jak wirusy i zestawy rootkit, które infekują lub zastępują główny rekord rozruchowy (MBR).

Możesz użyć Microsoft Defender skanowania w trybie offline, jeśli podejrzewasz infekcję złośliwym oprogramowaniem lub chcesz potwierdzić dokładne oczyszczenie punktu końcowego po wybuchu złośliwego oprogramowania.

Wymagania wstępne i wymagania

Poniżej przedstawiono wymagania sprzętowe dotyczące skanowania w trybie offline Microsoft Defender w systemie Windows:

  • Windows 11 x64
  • Windows 10 x64/x86
  • Windows 8.1 x64/x86
  • x64/x86 Windows 7 Service Pack 1

Uwaga

Microsoft Defender Skanowanie w trybie offline nie ma zastosowania do:

  • Windows 11 ARM
  • Windows 10 ARM
  • Jednostki przechowywania zapasów systemu Windows Server (jednostki SKU)

Aby uzyskać więcej informacji na temat wymagań Windows 10 i Windows 11, zobacz następujące artykuły:

aktualizacje Microsoft Defender offline

Aby otrzymywać aktualizacje skanowania Microsoft Defender offline:

Uwaga

Jeśli funkcja WinRE jest wyłączona, skanowanie w trybie offline usługi Windows Defender nie jest uruchamiane i nie są wyświetlane żadne komunikaty o błędach. Nic się nie dzieje, nawet jeśli maszyna zostanie ponownie uruchomiona ręcznie. Aby rozwiązać ten problem, wystarczy włączyć funkcję WinRE.

  • Aby sprawdzić stan winRE, można wykonać ten wiersz polecenia: reagentc /info.
  • Jeśli stan to Wyłączone, możesz go włączyć, wykonując ten wiersz polecenia: reagentc /enable.

Scenariusze użycia

Konieczność uruchomienia Microsoft Defender skanowania w trybie offline:

Jeśli program antywirusowy Microsoft Defender ustali, że musisz uruchomić program Microsoft Defender offline, zostanie wyświetlony monit o jego uruchomienie na urządzeniu. Monit może wystąpić za pośrednictwem powiadomienia podobnego do następującego:

Powiadomienie o uruchomieniu Microsoft Defender w trybie offline

Użytkownik jest również powiadamiany w ramach klienta programu antywirusowego Microsoft Defender. Jeśli używasz Intune do zarządzania urządzeniami, powiadomienie zostanie wyświetlone w Intune.

  • Możesz ręcznie wymusić skanowanie w trybie offline, które jest wbudowane Windows 10, wersja 1607 lub nowsza i Windows 11. Możesz też przeskanować nośnik rozruchowy pod kątem starszych systemów operacyjnych Windows, jak opisano tutaj.

W Configuration Manager możesz zidentyfikować stan punktów końcowych, przechodząc do obszaru Stan System Center Endpoint Protection stanu usługi Security > Endpoint Protection > w przeglądzie > monitorowania>.

Microsoft Defender skanowania w trybie offline są wskazywane w obszarze Stan korygowania złośliwego oprogramowania jako wymagane skanowanie w trybie offline.

Wskaźnik skanowania pod kątem Microsoft Defender offline

Konfigurowanie powiadomień

Microsoft Defender powiadomienia w trybie offline są konfigurowane w tym samym ustawieniu zasad co inne powiadomienia Microsoft Defender antywirusowe.

Aby uzyskać więcej informacji na temat powiadomień w usłudze Windows Defender, zobacz Konfigurowanie powiadomień wyświetlanych w punktach końcowych.

Uruchamianie skanowania

Ważna

Przed użyciem Microsoft Defender skanowania w trybie offline upewnij się, że zapiszesz wszystkie pliki i zamkniesz uruchomione programy. Uruchomienie skanowania w trybie offline Microsoft Defender trwa około 15 minut. Po zakończeniu skanowania zostanie ponownie uruchomiony punkt końcowy. Skanowanie jest wykonywane poza zwykłym środowiskiem operacyjnym Windows. Interfejs użytkownika będzie wyglądać inaczej niż normalne skanowanie wykonywane przez usługę Windows Defender. Po zakończeniu skanowania punkt końcowy zostanie uruchomiony ponownie, a system Windows będzie ładowany normalnie.

Skanowanie w trybie offline Microsoft Defender można uruchomić przy użyciu następujących metod:

  • Aplikacja Zabezpieczenia Windows
  • PowerShell
  • Instrumentacja zarządzania Windows (WMI)

Uruchamianie skanowania w trybie offline przy użyciu aplikacji Windows Defender Security

Począwszy od Windows 10, wersji 1607 lub nowszej i Windows 11, skanowanie w trybie offline Microsoft Defender można uruchomić za pomocą jednego kliknięcia bezpośrednio z aplikacji Zabezpieczenia Windows. W poprzednich wersjach systemu Windows użytkownik musiał zainstalować Microsoft Defender skanowanie w trybie offline na nośniku rozruchowym, ponownie uruchomić punkt końcowy i załadować nośnik rozruchowy.

Uwaga

W Windows 10 wersji 1607 skanowanie w trybie offline można uruchomić z poziomu usługi Windows Settings > Update & zabezpieczeń > usługi Windows Defender lub klienta usługi Windows Defender.

  1. Na urządzeniu z systemem Windows otwórz aplikację Zabezpieczenia Windows, a następnie opcje Skanuj.

  2. Wybierz przycisk radiowy Microsoft Defender Skanowanie w trybie offline i wybierz pozycję Skanuj teraz.

    Proces rozpoczyna się od C:\ProgramData\Microsoft\Windows Defender\Offline Scanner.

  3. Zostanie wyświetlony monit o zapisanie pracy przed kontynuowaniem, podobnie jak na poniższej ilustracji:

    Zrzut ekranu przedstawiający monit o zapisanie całej pracy przed kontynuowaniem.

    Po zapisaniu pracy wybierz pozycję Skanuj.

  4. Po wybraniu pozycji Skanuj zostanie wyświetlony kolejny monit z prośbą o uprawnienie do wprowadzania zmian na urządzeniu, podobnie jak na poniższej ilustracji:

    Zrzut ekranu przedstawiający monit ekranu z żądaniem uprawnień do zastosowania.

    Wybierz opcję Tak.

  5. Zostanie wyświetlony kolejny monit z informacją, że zostanie wylogowywane, a system Windows zostanie zamknięty za mniej niż minutę, podobnie jak na poniższej ilustracji:

    Zrzut ekranu przedstawiający monit ekranu informujący o wylogowaniu.

  6. Zobaczysz, że skanowanie programu antywirusowego Microsoft Defender (skanowanie w trybie offline) jest w toku.

    Zrzut ekranu przedstawiający skanowanie programu antywirusowego Microsoft Defender.

    Zobaczysz następujący obraz:

    Zrzut ekranu przedstawiający dialog, gdy przebieg jest w toku.

Uruchamianie skanowania w trybie offline przy użyciu poleceń cmdlet programu PowerShell

Użyj następujących poleceń cmdlet:

Start-MpWDOScan

Zobacz Używanie poleceń cmdlet programu PowerShell do konfigurowania i uruchamiania poleceń cmdlet Microsoft Defender Antivirus i Program antywirusowy Defender, aby uzyskać więcej informacji na temat używania programu PowerShell z programem antywirusowym Microsoft Defender.

Uruchamianie skanowania w trybie offline za pomocą instrukcji zarządzania systemem Windows (WMI)

Użyj klasy MSFT_MpWDOScan , aby uruchomić skanowanie w trybie offline.

Poniższy fragment kodu WMI natychmiast uruchomi skanowanie w trybie offline Microsoft Defender, co spowoduje ponowne uruchomienie punktu końcowego, uruchomienie skanowania w trybie offline, a następnie ponowne uruchomienie i rozruch w systemie Windows.

wmic /namespace:\\root\Microsoft\Windows\Defender path MSFT_MpWDOScan call Start

Aby uzyskać więcej informacji, zobacz Interfejsy API WMIv2 usługi Windows Defender.

W systemie Windows 7 z dodatkiem Service Pack 1 i Windows 8.1:

  1. Pobierz usługę Windows Defender Offline i zainstaluj ją na dysku flash CD, DVD lub USB, korzystając z następujących linków:

    Jeśli nie masz pewności, którą wersję pobrać, zobacz Czy na moim komputerze jest uruchomiona wersja 32-bitowa czy 64-bitowa systemu Windows?.

  2. Aby rozpocząć, znajdź pusty dysk CD, DVD lub USB z co najmniej 250 MB wolnego miejsca, a następnie uruchom narzędzie. Poniżej przedstawiono kroki tworzenia nośnika wymiennego.

    Porada

    Zalecamy wykonanie następujących czynności podczas pobierania usługi Windows Defender w trybie offline:

    • Pobierz usługę Windows Defender Offline i utwórz dysk flash CD, DVD lub USB na komputerze, który nie jest zainfekowany złośliwym oprogramowaniem, ponieważ złośliwe oprogramowanie może zakłócać tworzenie nośnika.
    • Jeśli używasz dysku USB, dysk zostanie sformatowany i wszelkie dane na nim zostaną usunięte. Upewnij się, że najpierw utwórz kopię zapasową wszystkich ważnych danych z dysku.

    Zrzut ekranu przedstawiający dialog skanowania na komputerze.

  3. Przeskanuj komputer pod kątem wirusów i innego złośliwego oprogramowania.

    1. Po utworzeniu dysku USB, dysku CD lub DVD usuń go z bieżącego komputera i zanieś go do komputera, który chcesz przeskanować. Włóż dysk LUB dysk USB do drugiego komputera i uruchom ponownie komputer.

    2. Rozruch z dysku USB, dysku CD lub DVD w celu uruchomienia skanowania. W zależności od ustawień komputera może on automatycznie uruchamiać się z nośnika po jego ponownym uruchomieniu lub nacisnąć, aby wprowadzić menu "urządzenia rozruchowe" lub zmodyfikować kolejność rozruchu w oprogramowaniu układowym UEFI komputera lub systemie BIOS.

    3. Po uruchomieniu urządzenia zostanie wyświetlone narzędzie Microsoft Defender, które automatycznie przeskanuje komputer i usunie złośliwe oprogramowanie.

    4. Po zakończeniu skanowania i zakończeniu pracy z narzędziem możesz ponownie uruchomić komputer i usunąć nośnik Microsoft Defender Offline, aby uruchomić ponownie system Windows.

  4. Usuń wszystkie złośliwe oprogramowanie znalezione na komputerze.

    Jeśli podczas uruchamiania skanowania w trybie offline wystąpi błąd Zatrzymania na niebieskim ekranie, uruchom ponownie urządzenie i spróbuj ponownie uruchomić skanowanie w trybie offline Microsoft Defender. Jeśli błąd niebieskiego ekranu wystąpi ponownie, skontaktuj się z pomoc techniczna firmy Microsoft.

Gdzie można znaleźć wyniki skanowania?

Aby wyświetlić wyniki skanowania w trybie offline Microsoft Defender w Windows 10 i Windows 11:

  1. Wybierz pozycję Start, a następnie wybierz pozycję Ustawienia>Aktualizuj & Zabezpieczenia>Zabezpieczenia Windows>Zabezwłasny & ochrony przed zagrożeniami.

  2. Na ekranie Ochrona przed zagrożeniami & wirusów w obszarze Bieżące zagrożenia wybierz pozycję Opcje skanowania, a następnie wybierz pozycję Historia ochrony. Aby uzyskać więcej informacji, zobacz Przeglądanie historii wykrywania zagrożeń w aplikacji Zabezpieczenia Windows.

Jak sprawdzić, czy skanowanie w trybie offline Microsoft Defender zostało uruchomione?

W Podgląd zdarzeń przejdź do obszaru Dzienniki > aplikacji i usług Microsoft > Windows > Defender > Operational. Zobaczysz:

  • Nazwa dziennika: Microsoft-Windows-Windows Defender/Operational
  • Źródło: Microsoft-Windows-Windows Defender
  • Identyfikator zdarzenia: 2030
  • Poziom: informacje
  • Opis: program antywirusowy Microsoft Defender pobrany i skonfigurowany program antywirusowy Microsoft Defender (skanowanie w trybie offline) do uruchomienia podczas następnego ponownego rozruchu.

W starszych wersjach niż Windows 10, 2004 r., zobaczysz:

System Windows Program antywirusowy Defender pobrany i skonfigurowany do uruchamiania usługi Windows Defender Offline podczas następnego ponownego rozruchu.

  • Nazwa dziennika: Microsoft-Windows-Windows Defender/Operational
  • Źródło: Microsoft-Windows-Windows Defender
  • Identyfikator zdarzenia: 5007
  • Poziom: Information
  • Opis: Microsoft Defender Antivirus Configuration has changed. If this is an unexpected event, you should review the settings as this may be the result of malware.
  • Stara wartość: N/A\Scan\OfflineScanRun =
  • Nowa wartość: HKLM\SOFTWARE\Microsoft\Windows Defender\Scan\OfflineScanRun = 0x0

Porada

Jeśli szukasz informacji dotyczących programu antywirusowego dla innych platform, zobacz:

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.