运行并查看 Microsoft Defender 脱机扫描的结果

适用于:

适用对象 类型
平台 Windows
防护类型 硬件
固件/Rootkit 操作系统
Driver
内存 (堆)
应用程序
标识

注意

此功能的保护侧重于固件/Rootkit。

Microsoft Defender脱机版是一种反恶意软件扫描工具,可用于从受信任的环境启动和运行扫描。 扫描从普通 Windows 内核外部运行,因此它可以针对尝试绕过 Windows shell 的恶意软件,例如感染或覆盖主启动记录的病毒和 rootkit, (MBR) 。

如果怀疑恶意软件感染,或者想要在恶意软件爆发后确认终结点的彻底清理,可以使用Microsoft Defender脱机扫描。

先决条件和要求

以下是 Windows 中Microsoft Defender脱机扫描的硬件要求:

  • x64 Windows 11
  • x64/x86 Windows 10
  • x64/x86 Windows 8.1
  • x64/x86 Windows 7 Service Pack 1

警告

Microsoft Defender脱机扫描不适用于:

  • ARM Windows 11
  • ARM Windows 10
  • Windows Server 库存单位 (SKU)

有关Windows 10和Windows 11要求的详细信息,请参阅以下文章:

Microsoft Defender脱机更新

若要接收Microsoft Defender脱机扫描更新,请执行以下操作:

注意

如果禁用 WinRE,则不会运行 Windows Defender 脱机扫描,并且不会显示错误消息。 即使手动重启计算机,也不会发生任何操作。 若要解决此问题,只需启用 WinRE。

  • 若要检查 WinRE 状态,可以执行以下命令行:reagentc /info
  • 如果状态为“已禁用”,可以通过执行以下命令行来启用它: reagentc /enable

使用方案

需要运行Microsoft Defender脱机扫描:

如果Microsoft Defender防病毒确定需要脱机运行Microsoft Defender,它会提示用户在设备上。 提示可以通过通知发生,如下所示:

脱机运行Microsoft Defender通知

还会在 Microsoft Defender 防病毒客户端中通知用户。 如果使用 Intune 来管理设备,可以在 Intune 中看到通知。

  • 可以手动强制执行内置Windows 10版本 1607 或更高版本的脱机扫描,并Windows 11。 或者,你可以扫描较旧的 Windows OS 的可启动媒体,如此 所述。

在Configuration Manager中,可以通过导航到“监视>概述>安全>终结点保护>状态”System Center Endpoint Protection状态来标识终结点的状态

Microsoft Defender脱机扫描在“恶意软件修正状态”下指示为“需要脱机扫描”。

脱机扫描Microsoft Defender指示器

配置通知

Microsoft Defender脱机通知配置为与其他Microsoft Defender防病毒通知相同的策略设置。

有关 Windows Defender 中的通知的详细信息,请参阅 配置终结点上显示的通知

运行扫描

重要

在使用Microsoft Defender脱机扫描之前,请确保保存所有文件并关闭正在运行的程序。 运行Microsoft Defender脱机扫描大约需要 15 分钟。 扫描完成后,它将重启终结点。 扫描在通常的 Windows 操作环境之外执行。 用户界面看起来与 Windows Defender 执行的普通扫描不同。 扫描完成后,终结点将重启,Windows 将正常加载。

可以使用以下方法运行Microsoft Defender脱机扫描:

  • Windows 安全中心应用
  • PowerShell
  • Windows Management Instrumentation (WMI)

使用 Windows Defender 安全应用运行脱机扫描

从 Windows 10 版本 1607 或更高版本开始,Windows 11,Microsoft Defender脱机扫描可以直接从 Windows 安全中心 应用中单击一下即可运行。 在早期版本的 Windows 中,用户必须安装Microsoft Defender脱机扫描到可启动媒体、重启终结点并加载可启动媒体。

注意

在 Windows 10 版本 1607 中,可以从 Windows 设置>更新 & 安全 > Windows Defender 或 Windows Defender 客户端运行脱机扫描。

  1. 在 Windows 设备上,打开“Windows 安全中心”应用,然后打开“扫描”选项

  2. 选择“脱机扫描”Microsoft Defender单选按钮,然后选择“立即扫描”。

    该过程从 C:\ProgramData\Microsoft\Windows Defender\Offline Scanner开始。

  3. 在继续操作之前,你会收到保存工作的提示,如下图所示:

    屏幕提示在继续操作之前保存所有工作的屏幕截图。

    保存工作后,选择“ 扫描”。

  4. 选择“ 扫描”后,你会收到另一个提示,请求对设备进行更改的权限,如下图所示:

    请求应用权限的屏幕提示的屏幕截图。

    选择“是”

  5. 将出现另一个提示,并通知你将注销,Windows 将在不到一分钟的时间内关闭,如下图所示:

    通知注销的屏幕提示的屏幕截图。

  6. 你将看到Microsoft Defender防病毒扫描 (脱机扫描) 正在进行中。

    Microsoft Defender防病毒扫描的屏幕截图。

    你将看到下图:

    正在运行时对话框的屏幕截图。

使用 PowerShell cmdlet 运行脱机扫描

使用以下 cmdlet:

Start-MpWDOScan

有关如何将 PowerShell 与 Microsoft Defender 防病毒配合使用的详细信息,请参阅使用 PowerShell cmdlet 配置和运行 Microsoft Defender 防病毒和 Defender 防病毒 cmdlet

使用 Windows 管理指令 (WMI) 运行脱机扫描

使用 MSFT_MpWDOScan 类运行脱机扫描。

以下 WMI 脚本代码片段将立即运行Microsoft Defender脱机扫描,这将导致终结点重启、运行脱机扫描,然后重启并启动到 Windows。

wmic /namespace:\\root\Microsoft\Windows\Defender path MSFT_MpWDOScan call Start

有关详细信息,请参阅 Windows Defender WMIv2 API

在 Windows 7 Service Pack 1 和 Windows 8.1中:

  1. 使用以下链接下载 Windows Defender Offline 并将其安装到 CD、DVD 或 U 盘:

    如果不确定要下载哪个版本,请参阅 我的电脑是否运行 32 位或 64 位版本的 Windows?

  2. 若要开始,请查找具有至少 250 MB 可用空间的空白 CD、DVD 或 U 盘,然后运行该工具。 指导你完成创建可移动媒体的步骤。

    提示

    建议在下载 Windows Defender 脱机版时执行以下操作:

    • 下载 Windows Defender 脱机版,并在未感染恶意软件的电脑上创建 CD、DVD 或 U 盘,因为恶意软件可能会干扰媒体创建。
    • 如果使用 U 盘,驱动器将重新格式化,并且将擦除其上的所有数据。 确保首先备份驱动器中的任何重要数据。

    电脑中用于扫描的对话框的屏幕截图。

  3. 扫描电脑中的病毒和其他恶意软件。

    1. 创建 U 盘、CD 或 DVD 后,将其从当前计算机中删除,并将其带到要扫描的计算机。 将 U 盘或光盘插入另一台计算机,然后重新启动计算机。

    2. 从 U 盘、CD 或 DVD 启动以运行扫描。 根据计算机的设置,它可能会在重启后从媒体自动启动,或者可能必须按某个键才能输入“启动设备”菜单或修改计算机的 UEFI 固件或 BIOS 中的启动顺序。

    3. 启动设备后,会看到一个Microsoft Defender工具,该工具会自动扫描计算机并删除恶意软件。

    4. 扫描完成后,使用完该工具后,可以重新启动计算机并删除Microsoft Defender脱机媒体以启动回 Windows。

  4. 删除从电脑中找到的任何恶意软件。

    如果在运行脱机扫描时遇到蓝屏停止错误,请重启设备,然后再次尝试运行Microsoft Defender脱机扫描。 如果再次发生蓝屏错误,请联系 Microsoft 支持部门

在哪里可以找到扫描结果?

若要查看Windows 10和Windows 11 Microsoft Defender脱机扫描结果,请执行以下操作:

  1. 选择“开始”,然后选择“设置更新>& 安全性>Windows 安全中心>病毒 & 威胁防护”。

  2. “病毒 & 威胁防护 ”屏幕上,在“ 当前威胁”下,选择“ 扫描选项”,然后选择“ 保护历史记录”。 有关详细信息,请参阅在 Windows 安全中心 应用中查看威胁检测历史记录

如何确定Microsoft Defender脱机扫描是否已启动?

事件查看器中,转到 Windows Windows Defender > 操作Microsoft >>应用程序和服务日志>。 你会知道的:

  • 日志名称:Microsoft-Windows-Windows Defender/Operational
  • 源:Microsoft-Windows-Windows Defender
  • 事件 ID:2030
  • 级别:信息
  • 说明:Microsoft Defender防病毒下载并配置Microsoft Defender防病毒 (脱机扫描) 下次重新启动时运行。

在 2004 Windows 10 之前的版本中,你将看到:

Windows Defender 防病毒下载并配置了 Windows Defender 脱机版,以在下次重新启动时运行。

  • 日志名称: Microsoft-Windows-Windows Defender/Operational
  • 源: Microsoft-Windows-Windows Defender
  • 事件 ID: 5007
  • 水平: Information
  • 描述: Microsoft Defender Antivirus Configuration has changed. If this is an unexpected event, you should review the settings as this may be the result of malware.
  • 旧值: N/A\Scan\OfflineScanRun =
  • 新值: HKLM\SOFTWARE\Microsoft\Windows Defender\Scan\OfflineScanRun = 0x0

提示

想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区