Partilhar via


Executar e rever os resultados de uma análise offline do Microsoft Defender

Aplica-se a:

Aplica-se a Tipo
Plataforma Windows
Tipo de proteção Hardware
Firmware/Rootkit Sistema operativo
Controlador
Memória (Área Dinâmica para Dados)
Aplicação
Identidade
Cloud

Nota

A proteção para esta funcionalidade centra-se no Firmware/Rootkit.

Microsoft Defender Offline é uma ferramenta de análise antimalware que lhe permite iniciar e executar uma análise a partir de um ambiente fidedigno. A análise é executada fora do kernel normal do Windows para que possa visar software maligno que tenta ignorar a shell do Windows, como vírus e rootkits que infectam ou substituem o registo de arranque principal (MBR).

Pode utilizar Microsoft Defender Análise Offline se suspeitar de uma infeção por software maligno ou se quiser confirmar uma limpeza completa do ponto final após um surto de software maligno.

Pré-requisitos e requisitos

Seguem-se os requisitos de hardware para Microsoft Defender Análise Offline no Windows:

  • Windows 11 x64
  • Windows 10 x64/x86
  • x64/x86 Windows 8.1
  • x64/x86 Windows 7 Service Pack 1

Atenção

Microsoft Defender Análise Offline não se aplica a:

  • ARM Windows 11
  • ARM Windows 10
  • Windows Server Stock Keeping Units (SKU's)

Para obter mais informações sobre Windows 10 e requisitos de Windows 11, consulte os seguintes artigos:

atualizações offline do Microsoft Defender

Para receber Microsoft Defender atualizações da Análise Offline:

Nota

Se o WinRE estiver desativado, a análise do Windows Defender Offline não é executada e não são apresentadas mensagens de erro. Nada acontece mesmo que a máquina seja reiniciada manualmente. Para corrigir este problema, só tem de ativar o WinRE.

  • Para verificar o estado winRE, pode executar esta linha de comandos: reagentc /info.
  • Se o estado for Desativado, pode ativá-lo ao executar esta linha de comandos: reagentc /enable.

Cenários de utilização

A necessidade de executar Microsoft Defender Análise Offline:

Se Microsoft Defender Antivírus determinar que precisa de executar Microsoft Defender Offline, será solicitado ao utilizador no dispositivo. O pedido pode ocorrer através de uma notificação, semelhante à seguinte:

Notificação para executar Microsoft Defender Offline

O utilizador também é notificado no cliente antivírus Microsoft Defender. Se estiver a utilizar Intune para gerir dispositivos, pode ver a notificação no Intune.

  • Pode forçar manualmente uma análise offline incorporada Windows 10, versão 1607 ou mais recente e Windows 11. Em alternativa, pode analisar um suporte de dados de arranque para o SO Windows mais antigo, conforme descrito aqui.

No Configuration Manager, pode identificar o estado dos pontos finais ao navegar para Estado System Center Endpoint Protection de Estado do Ponto Final de Segurança > da Descrição Geral > da Monitorização >>.

Microsoft Defender as análises offline são indicadas em Estado de remediação de software maligno, uma vez que é necessária a análise offline.

O indicador para uma análise de Microsoft Defender Offline

Configurar notificações

Microsoft Defender as notificações offline são configuradas na mesma definição de política que outras notificações do Antivírus Microsoft Defender.

Para obter mais informações sobre notificações no Windows Defender, consulte Configurar as notificações que aparecem nos pontos finais.

Executar uma análise

Importante

Antes de utilizar Microsoft Defender Análise Offline, certifique-se de que guarda quaisquer ficheiros e encerra programas em execução. A análise Microsoft Defender Offline demora cerca de 15 minutos a ser executada. Reiniciará o ponto final quando a análise estiver concluída. A análise é efetuada fora do ambiente operativo Windows habitual. A interface de utilizador será diferente de uma análise normal efetuada pelo Windows Defender. Depois de concluída a análise, o ponto final será reiniciado e o Windows será carregado normalmente.

Pode executar uma análise Microsoft Defender Offline com os seguintes métodos:

  • A aplicação Segurança do Windows
  • PowerShell
  • Windows Management Instrumentation (WMI)

Utilizar a aplicação Segurança do Windows Defender para executar uma análise offline

A partir de Windows 10, versão 1607 ou mais recente e Windows 11, Microsoft Defender Análise Offline pode ser executada com um clique diretamente a partir da aplicação Segurança do Windows. Em versões anteriores do Windows, um utilizador teve de instalar Microsoft Defender Análise Offline para suportes de dados de arranque, reiniciar o ponto final e carregar o suporte de dados de arranque.

Nota

No Windows 10, versão 1607, a análise offline pode ser executada a partir da Atualização de Definições > do Windows & segurança > do Windows Defender ou do cliente do Windows Defender.

  1. No seu dispositivo Windows, abra a aplicação Segurança do Windows e, em seguida, selecione Opções de análise.

  2. Selecione o botão de opção Microsoft Defender Análise offline e selecione Analisar agora.

    O processo é iniciado a partir de C:\ProgramData\Microsoft\Windows Defender\Offline Scanner.

  3. Recebe um pedido para guardar o seu trabalho antes de continuar, semelhante à imagem seguinte:

    Captura de ecrã do pedido de ecrã para guardar todo o trabalho antes de continuar.

    Depois de guardar o seu trabalho, selecione Analisar.

  4. Depois de selecionar Analisar, recebe outro pedido de permissão para efetuar alterações ao seu dispositivo, semelhante à imagem seguinte:

    Captura de ecrã a mostrar um pedido de ecrã a pedir permissão para aplicar.

    Selecione Sim.

  5. É apresentado outro pedido e informa-o de que a sessão será terminada e o Windows será encerrado em menos de um minuto, semelhante à imagem seguinte:

    Captura de ecrã a mostrar um pedido de ecrã a informar sobre o fim de sessão.

  6. Verá que a análise Microsoft Defender Antivírus (análise offline) está em curso.

    Captura de ecrã a mostrar a análise do Antivírus Microsoft Defender.

    Verá a seguinte imagem:

    Captura de ecrã de um diálogo quando a execução está em curso.

Utilizar cmdlets do PowerShell para executar uma análise offline

Utilize os seguintes cmdlets:

Start-MpWDOScan

Veja Utilizar cmdlets do PowerShell para configurar e executar Microsoft Defender cmdlets antivírus e Antivírus do Defender para obter mais informações sobre como utilizar o PowerShell com o Antivírus Microsoft Defender.

Utilizar a Instrução de Gestão do Windows (WMI) para executar uma análise offline

Utilize a classe MSFT_MpWDOScan para executar uma análise offline.

O fragmento de script WMI seguinte executará imediatamente uma análise Microsoft Defender Offline, o que fará com que o ponto final reinicie, execute a análise offline e, em seguida, reinicie e inicie no Windows.

wmic /namespace:\\root\Microsoft\Windows\Defender path MSFT_MpWDOScan call Start

Para obter mais informações, veja APIs WMIv2 do Windows Defender.

No Windows 7 Service Pack 1 e Windows 8.1:

  1. Transfira o Windows Defender Offline e instale-o num CD, DVD ou pen USB com as seguintes ligações:

    Se não tiver a certeza de qual a versão a transferir, consulte O meu PC está a executar a versão de 32 bits ou de 64 bits do Windows?.

  2. Para começar, localize um CD, DVD ou pen USB em branco com, pelo menos, 250 MB de espaço livre e, em seguida, execute a ferramenta. É guiado através dos passos para criar o suporte de dados amovível.

    Sugestão

    Recomendamos que faça o seguinte ao transferir o Windows Defender Offline:

    • Transfira o Windows Defender Offline e crie o CD, DVD ou pen USB num PC que não esteja infetado com software maligno, uma vez que o software maligno pode interferir com a criação do suporte de dados.
    • Se utilizar uma pen USB, a unidade será reformatada e todos os dados na mesma serão apagados. Certifique-se de que efetua uma cópia de segurança de quaisquer dados importantes da unidade primeiro.

    Captura de ecrã de um diálogo para análise no PC.

  3. Analise o PC quanto a vírus e outro software maligno.

    1. Depois de criar a pen USB, CD ou DVD, remova-a do computador atual e leve-a para o computador que pretende digitalizar. Insira a pen USB ou o disco no outro computador e reinicie o computador.

    2. Arranque a partir da pen USB, CD ou DVD para executar a análise. Consoante as definições do computador, este pode arrancar automaticamente a partir do suporte de dados depois de o reiniciar ou poderá ter de premir uma tecla para introduzir um menu "dispositivos de arranque" ou modificar a ordem de arranque no firmware UEFI ou BIOS do computador.

    3. Depois de iniciar o dispositivo, verá uma ferramenta de Microsoft Defender que irá analisar automaticamente o seu computador e remover software maligno.

    4. Quando a análise estiver concluída e terminar de utilizar a ferramenta, pode reiniciar o computador e remover o Microsoft Defender suporte de dados Offline para iniciar novamente no Windows.

  4. Remova qualquer software maligno encontrado no PC.

    Se ocorrer um Erro de paragem num ecrã azul quando executar a análise offline, reinicie o dispositivo e tente executar uma Microsoft Defender análise offline novamente. Se o erro de ecrã azul voltar a ocorrer, contacte Suporte da Microsoft.

Onde posso encontrar os resultados da análise?

Para ver os resultados da análise Microsoft Defender Offline em Windows 10 e Windows 11:

  1. Selecione Iniciar e, em seguida, selecione Definições>Atualizar & Segurança>Segurança do Windows>Virus & proteção contra ameaças.

  2. No ecrã Proteção contra ameaças & vírus , em Ameaças atuais, selecione Opções de análise e, em seguida, selecione Histórico de proteção. Para obter mais informações, veja Rever o histórico de deteção de ameaças na aplicação Segurança do Windows.

Como posso descobrir se Microsoft Defender análise offline foi iniciada?

Na Visualizador de Eventos, aceda a Registos de Aplicações e Serviços > Microsoft > Windows > Defender > Operacional. Tu vais ver:

  • Nome do Registo: Microsoft-Windows-Windows Defender/Operacional
  • Origem: Microsoft-Windows-Windows Defender
  • ID do Evento: 2030
  • Nível: Informações
  • Descrição: Microsoft Defender Antivírus transferido e configurado Microsoft Defender Antivírus (análise offline) para ser executado no próximo reinício.

Em versões mais antigas do que Windows 10, 2004, verá:

O Windows Antivírus do Defender transferido e configurado o Windows Defender Offline para ser executado no próximo reinício.

  • Nome do Registo: Microsoft-Windows-Windows Defender/Operational
  • Origem: Microsoft-Windows-Windows Defender
  • ID do Evento: 5007
  • Nível: Information
  • Descrição: Microsoft Defender Antivirus Configuration has changed. If this is an unexpected event, you should review the settings as this may be the result of malware.
  • Valor antigo: N/A\Scan\OfflineScanRun =
  • Novo valor: HKLM\SOFTWARE\Microsoft\Windows Defender\Scan\OfflineScanRun = 0x0

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.