Freigeben über

Ausführen und Überprüfen der Ergebnisse eines Microsoft Defender Offline-Scans

  • Artikel

Gilt für:

Gilt für Typ
Plattform Windows
Schutztyp Hardware
Firmware/Rootkit Betriebssystem
Driver
Arbeitsspeicher (Heap)
App
Identität
Cloud

Hinweis

Der Schutz für dieses Feature konzentriert sich auf das Firmware/Rootkit.

Microsoft Defender Offline ist ein Antischadsoftware-Scantool, mit dem Sie eine Überprüfung aus einer vertrauenswürdigen Umgebung starten und ausführen können. Die Überprüfung wird von außerhalb des normalen Windows-Kernels ausgeführt, sodass sie auf Schadsoftware abzielen kann, die versucht, die Windows-Shell zu umgehen, z. B. Viren und Rootkits, die den master Boot Record (MBR) infizieren oder überschreiben.

Sie können Microsoft Defender Offline-Überprüfung verwenden, wenn Sie eine Malware-Infektion vermuten oder eine gründliche sauber des Endpunkts nach einem Malware-Ausbruch bestätigen möchten.

Voraussetzungen und Anforderungen

Im Folgenden sind die Hardwareanforderungen für Microsoft Defender Offlinescans in Windows aufgeführt:

  • x64 Windows 11
  • x64/x86 Windows 10
  • x64/x86 Windows 8.1
  • x64/x86 Windows 7 Service Pack 1

Achtung

Microsoft Defender Offlineüberprüfung gilt nicht für:

  • ARM-Windows 11
  • ARM-Windows 10
  • Windows Server Stock Keeping Units (SKU's)

Weitere Informationen zu Windows 10 und Windows 11 Anforderungen finden Sie in den folgenden Artikeln:

Microsoft Defender Offlineupdates

So erhalten Sie Microsoft Defender Offlinescan-Updates:

Hinweis

Wenn WinRE deaktiviert ist, wird die Windows Defender Offline-Überprüfung nicht ausgeführt, und es werden keine Fehlermeldungen angezeigt. Selbst wenn der Computer manuell neu gestartet wird, geschieht nichts. Um dies zu beheben, müssen Sie nur WinRE aktivieren.

  • Um die WinRE-status zu überprüfen, können Sie die folgende Befehlszeile ausführen: reagentc /info.
  • Wenn die status Deaktiviert ist, können Sie sie aktivieren, indem Sie die folgende Befehlszeile ausführen: reagentc /enable.

Verwendungsszenarien

Die Notwendigkeit, Microsoft Defender Offlineüberprüfung auszuführen:

Wenn Microsoft Defender Antivirus feststellt, dass Sie Microsoft Defender Offline ausführen müssen, wird der Benutzer auf dem Gerät aufgefordert. Die Eingabeaufforderung kann über eine Benachrichtigung erfolgen, ähnlich der folgenden:

Benachrichtigung zum Ausführen von Microsoft Defender Offline

Der Benutzer wird auch innerhalb des Microsoft Defender Antivirus-Clients benachrichtigt. Wenn Sie Intune zum Verwalten von Geräten verwenden, wird die Benachrichtigung in Intune angezeigt.

  • Sie können eine Offlineüberprüfung manuell erzwingen, die Windows 10, Version 1607 oder höher, und Windows 11 ist. Alternativ können Sie ein startbares Medium für die älteren Windows-Betriebssysteme durchsuchen, wie hier beschrieben.

In Configuration Manager können Sie die status von Endpunkten identifizieren, indem Sie zu Überwachung > Übersicht Sicherheitsendpunktschutzstatus >>> System Center Endpoint Protection Status navigieren.

Microsoft Defender Offline-Überprüfungen werden unter Schadsoftwarekorrektur status als Offline-Überprüfung erforderlich angegeben.

Der Indikator für eine Überprüfung für Microsoft Defender Offline

Konfigurieren von Benachrichtigungen

Microsoft Defender Offlinebenachrichtigungen werden in derselben Richtlinieneinstellung wie andere Microsoft Defender Antivirusbenachrichtigungen konfiguriert.

Weitere Informationen zu Benachrichtigungen in Windows Defender finden Sie unter Konfigurieren der Benachrichtigungen, die auf Endpunkten angezeigt werden.

Ausführen eines Scanvorgangs

Wichtig

Bevor Sie Microsoft Defender Offlinescan verwenden, stellen Sie sicher, dass Sie alle Dateien speichern und ausgeführte Programme herunterfahren. Die Ausführung der Microsoft Defender Offlineüberprüfung dauert etwa 15 Minuten. Der Endpunkt wird neu gestartet, wenn die Überprüfung abgeschlossen ist. Die Überprüfung wird außerhalb der üblichen Windows-Betriebsumgebung ausgeführt. Die Benutzeroberfläche unterscheidet sich von einer normalen Überprüfung, die von Windows Defender ausgeführt wird. Nach Abschluss der Überprüfung wird der Endpunkt neu gestartet, und Windows wird normal geladen.

Sie können eine Microsoft Defender Offlineüberprüfung mit den folgenden Methoden ausführen:

  • Die Windows-Sicherheit-App
  • PowerShell
  • Windows-Verwaltungsinstrumentation (WMI)

Verwenden der Windows Defender Security-App zum Ausführen einer Offlineüberprüfung

Ab Windows 10, Version 1607 oder höher, und Windows 11 kann Microsoft Defender Offlinescan mit einem Klick direkt über die Windows-Sicherheit-App ausgeführt werden. In früheren Versionen von Windows musste ein Benutzer Microsoft Defender Offlinescan auf startbaren Medien installieren, den Endpunkt neu starten und die startbaren Medien laden.

Hinweis

In Windows 10 Version 1607 kann die Offlineüberprüfung über Windows Settings > Update & Sicherheits-Windows > Defender oder über den Windows Defender-Client ausgeführt werden.

  1. Öffnen Sie auf Ihrem Windows-Gerät die Windows-Sicherheit-App und dann die Scanoptionen.

  2. Wählen Sie das Optionsfeld Microsoft Defender Offlinescan aus, und wählen Sie Jetzt scannen aus.

    Der Prozess beginnt mit C:\ProgramData\Microsoft\Windows Defender\Offline Scanner.

  3. Sie erhalten eine Aufforderung, Ihre Arbeit zu speichern, bevor Sie fortfahren, ähnlich wie in der folgenden Abbildung:

    Screenshot der Bildschirmaufforderung zum Speichern der gesamten Arbeit, bevor Sie fortfahren.

    Nachdem Sie Ihre Arbeit gespeichert haben, wählen Sie Scannen aus.

  4. Nachdem Sie Scannen ausgewählt haben, erhalten Sie eine weitere Eingabeaufforderung, die Ihre Berechtigung zum Vornehmen von Änderungen an Ihrem Gerät anfordert, ähnlich wie in der folgenden Abbildung:

    Screenshot einer Bildschirmaufforderung, die die Berechtigung zum Anwenden anfordert.

    Wählen Sie Ja.

  5. Eine weitere Eingabeaufforderung wird angezeigt und informiert Sie darüber, dass Sie abgemeldet werden und Windows in weniger als einer Minute heruntergefahren wird, ähnlich wie in der folgenden Abbildung:

    Screenshot einer Bildschirmaufforderung, die über die Abmeldung informiert.

  6. Sie sehen, dass die Microsoft Defender Antivirus-Überprüfung (Offlineüberprüfung) ausgeführt wird.

    Screenshot der Microsoft Defender Antivirus-Überprüfung.

    Die folgende Abbildung wird angezeigt:

    Screenshot eines Dialogs, wenn die Ausführung ausgeführt wird.

Verwenden von PowerShell-Cmdlets zum Ausführen einer Offlineüberprüfung

Verwenden Sie die folgenden Cmdlets:

Start-MpWDOScan

Weitere Informationen zur Verwendung von PowerShell mit Microsoft Defender Antivirus finden Sie unter Verwenden von PowerShell-Cmdlets zum Konfigurieren und Ausführen von Microsoft Defender Antivirus- und Defender Antivirus-Cmdlets.

Verwenden der Windows-Verwaltungsanweisung (WMI) zum Ausführen einer Offlineüberprüfung

Verwenden Sie die klasse MSFT_MpWDOScan , um eine Offlineüberprüfung auszuführen.

Der folgende WMI-Skriptausschnitt führt sofort eine Microsoft Defender Offlineüberprüfung aus, die dazu führt, dass der Endpunkt neu gestartet, die Offlineüberprüfung ausgeführt und dann neu gestartet und in Windows gestartet wird.

wmic /namespace:\\root\Microsoft\Windows\Defender path MSFT_MpWDOScan call Start

Weitere Informationen finden Sie unter Windows Defender WMIv2-APIs.

In Windows 7 Service Pack 1 und Windows 8.1:

  1. Laden Sie Windows Defender Offline herunter, und installieren Sie es auf einer CD, DVD oder einem USB-Speicherstick über die folgenden Links:

    Wenn Sie nicht sicher sind, welche Version Heruntergeladen werden soll, lesen Sie Ist auf meinem PC die 32-Bit- oder 64-Bit-Version von Windows?.

  2. Suchen Sie zunächst nach einer leeren CD, DVD oder einem USB-Speicherstick mit mindestens 250 MB freiem Speicherplatz, und führen Sie dann das Tool aus. Sie werden durch die Schritte zum Erstellen der Wechselmedien geführt.

    Tipp

    Es wird empfohlen, beim Herunterladen von Windows Defender Offline die folgenden Schritte auszuführen:

    • Laden Sie Windows Defender Offline herunter, und erstellen Sie das CD-, DVD- oder USB-Flashlaufwerk auf einem PC, der nicht mit Schadsoftware infiziert ist, da die Schadsoftware die Medienerstellung beeinträchtigen kann.
    • Wenn Sie ein USB-Laufwerk verwenden, wird das Laufwerk neu formatiert, und alle daten darauf werden gelöscht. Stellen Sie sicher, dass Alle wichtigen Daten zuerst vom Laufwerk gesichert werden.

    Screenshot eines Dialogfelds für die Überprüfung auf dem PC.

  3. Scannen Sie Ihren PC auf Viren und andere Schadsoftware.

    1. Nachdem Sie das USB-Laufwerk, die CD oder die DVD erstellt haben, entfernen Sie es von Ihrem aktuellen Computer, und bringen Sie es auf den Computer, den Sie scannen möchten. Schließen Sie das USB-Laufwerk oder den USB-Datenträger an den anderen Computer an, und starten Sie den Computer neu.

    2. Starten Sie vom USB-Laufwerk, der CD oder der DVD, um die Überprüfung auszuführen. Abhängig von den Einstellungen des Computers kann es nach dem Neustart automatisch von den Medien gestartet werden, oder Sie müssen eine Taste drücken, um ein Menü "Startgeräte" einzugeben oder die Startreihenfolge in der UEFI-Firmware oder im BIOS des Computers zu ändern.

    3. Nachdem Sie das Gerät gestartet haben, wird ein Microsoft Defender-Tool angezeigt, das Ihren Computer automatisch scannt und Schadsoftware entfernt.

    4. Nachdem die Überprüfung abgeschlossen ist und Sie mit dem Tool fertig sind, können Sie Ihren Computer neu starten und die Microsoft Defender Offlinemedien entfernen, um wieder in Windows zu starten.

  4. Entfernen Sie alle Schadsoftware, die von Ihrem PC gefunden wird.

    Wenn beim Ausführen der Offlineüberprüfung ein Stoppfehler auf einem blauen Bildschirm auftritt, starten Sie Ihr Gerät neu, und versuchen Sie erneut, eine Microsoft Defender Offlineüberprüfung auszuführen. Wenn der Bluescreen-Fehler erneut auftritt, wenden Sie sich an Microsoft-Support.

Wo finde ich die Scanergebnisse?

So zeigen Sie die Ergebnisse der Microsoft Defender Offlineüberprüfung in Windows 10 und Windows 11 an:

  1. Wählen Sie Start und dann Einstellungen>Update & Security>Windows-Sicherheit>Virus & Threat Protection aus.

  2. Wählen Sie auf dem Bildschirm Virenschutz & Bedrohungen unter Aktuelle Bedrohungen die Option Scanoptionen und dann Schutzverlauf aus. Weitere Informationen finden Sie unter Überprüfen des Verlaufs der Bedrohungserkennung in der Windows-Sicherheit-App.

Wie kann ich herausfinden, ob Microsoft Defender Offline-Überprüfung gestartet wurde?

Wechseln Sie im Ereignisanzeige zu Anwendungs- und Dienstprotokolle > Microsoft > Windows > Windows Defender > Operational. Du wirst sehen:

  • Protokollname: Microsoft-Windows-Windows Defender/Operational
  • Quelle: Microsoft-Windows-Windows Defender
  • Ereignis-ID: 2030
  • Ebene: Informationen
  • Beschreibung: Microsoft Defender Antivirus heruntergeladen und konfiguriert Microsoft Defender Antivirus (Offlineüberprüfung) für die Ausführung beim nächsten Neustart.

In älteren Versionen als Windows 10 2004 sehen Sie Folgendes:

Windows Defender Antivirus heruntergeladen und konfiguriert, um Windows Defender Offline beim nächsten Neustart auszuführen.

  • Protokollname: Microsoft-Windows-Windows Defender/Operational
  • Quelle: Microsoft-Windows-Windows Defender
  • Ereignis-ID: 5007
  • Niveau: Information
  • Beschreibung: Microsoft Defender Antivirus Configuration has changed. If this is an unexpected event, you should review the settings as this may be the result of malware.
  • Alter Wert: N/A\Scan\OfflineScanRun =
  • Neuer Wert: HKLM\SOFTWARE\Microsoft\Windows Defender\Scan\OfflineScanRun = 0x0

Tipp

Wenn Sie nach Informationen zu Antivirensoftware für andere Plattformen suchen, lesen Sie:

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.