Executar e rever os resultados de uma análise offline do Microsoft Defender

Aplica-se a:

• API do Microsoft Defender para Endpoint 1
• Microsoft Defender para Endpoint Plano 2
• Antivírus do Microsoft Defender
• Microsoft Defender para Empresas
• Microsoft Defender para Indivíduos

Aplica-se a	Tipo
Plataforma	Windows
Tipo de proteção	Hardware
Firmware/Rootkit	Sistema operativo Controlador Memória (Área Dinâmica para Dados) Aplicação Identidade Cloud

[NOTA] A proteção para esta funcionalidade centra-se no Firmware/Rootkit.

Microsoft Defender Offline é uma ferramenta de análise antimalware que lhe permite iniciar e executar uma análise a partir de um ambiente fidedigno. A análise é executada fora do kernel normal do Windows para que possa visar software maligno que tenta ignorar a shell do Windows, como vírus e rootkits que infectam ou substituem o registo de arranque principal (MBR).

Pode utilizar Microsoft Defender Análise Offline se suspeitar de uma infeção por software maligno ou se quiser confirmar uma limpeza completa do ponto final após um surto de software maligno.

Pré-requisitos e requisitos

Seguem-se os requisitos de hardware para Microsoft Defender Análise Offline no Windows:

• Windows 11 x64
• Windows 10 x64/x86
• x64/x86 Windows 8.1
• x64/x86 Windows 7 Service Pack 1

Atenção

Microsoft Defender Análise Offline não se aplica a:

• ARM Windows 11
• ARM Windows 10
• Windows Server Stock Keeping Units (SKU's)

Para obter mais informações sobre Windows 10 e requisitos de Windows 11, consulte os seguintes artigos:

• Requisitos mínimos de hardware
• Diretrizes de componentes de hardware

atualizações offline do Microsoft Defender

Para receber Microsoft Defender atualizações da Análise Offline:

• Microsoft Defender Antivírus tem de ser o seu software antivírus principal (não no modo passivo).

• Atualize Microsoft Defender Antivírus como normalmente implementa atualizações em pontos finais. Utilize uma versão suportada do:

  • Atualização da Plataforma

  • Atualização do Motor

  • Atualizações de Informações de Segurança

    • Pode transferir e instalar manualmente as atualizações de proteção mais recentes do Centro Microsoft de Proteção Contra Software Maligno
    • Veja o artigo Gerir Microsoft Defender atualizações de informações de Segurança antivírus para obter mais informações.

• Os utilizadores têm de ter sessão iniciada com privilégios de administrador local.

• O Ambiente de Recuperação do Windows (WinRE) tem de estar ativado.

Nota

Se o WinRE estiver desativado, a análise Windows Defender Offline não é executada e não são apresentadas mensagens de erro. Nada acontece mesmo que a máquina seja reiniciada manualmente. Para corrigir este problema, só tem de ativar o WinRE.

• Para verificar o estado winRE, pode executar esta linha de comandos: reagentc /info.
• Se o estado for Desativado, pode ativá-lo ao executar esta linha de comandos: reagentc /enable.

Cenários de utilização

A necessidade de executar Microsoft Defender Análise Offline:

Se Microsoft Defender Antivírus determinar que precisa de executar Microsoft Defender Offline, será solicitado ao utilizador no dispositivo. O pedido pode ocorrer através de uma notificação, semelhante à seguinte:

O utilizador também é notificado no cliente antivírus Microsoft Defender. Se estiver a utilizar Intune para gerir dispositivos, pode ver a notificação no Intune.

• Pode forçar manualmente uma análise offline incorporada Windows 10, versão 1607 ou mais recente e Windows 11. Em alternativa, pode analisar um suporte de dados de arranque para o SO Windows mais antigo, conforme descrito aqui.

No Configuration Manager, pode identificar o estado dos pontos finais ao navegar para Estado System Center Endpoint Protection de Estado do Ponto Final de Segurança > da Descrição Geral > da Monitorização >>.

Microsoft Defender as análises offline são indicadas em Estado de remediação de software maligno, uma vez que é necessária a análise offline.

Configurar notificações

Microsoft Defender as notificações offline são configuradas na mesma definição de política que outras notificações do Antivírus Microsoft Defender.

Para obter mais informações sobre notificações no Windows Defender, veja Configurar as notificações que aparecem nos pontos finais.

Executar uma análise

Importante

Antes de utilizar Microsoft Defender Análise Offline, certifique-se de que guarda quaisquer ficheiros e encerra programas em execução. A análise Microsoft Defender Offline demora cerca de 15 minutos a ser executada. Reiniciará o ponto final quando a análise estiver concluída. A análise é efetuada fora do ambiente operativo Windows habitual. A interface de utilizador será diferente de uma análise normal efetuada por Windows Defender. Depois de concluída a análise, o ponto final será reiniciado e o Windows será carregado normalmente.

Pode executar uma análise Microsoft Defender Offline com os seguintes métodos:

• A aplicação Segurança do Windows
• PowerShell
• Windows Management Instrumentation (WMI)

Utilizar a aplicação Windows Defender Security para executar uma análise offline

A partir de Windows 10, versão 1607 ou mais recente e Windows 11, Microsoft Defender Análise Offline pode ser executada com um clique diretamente a partir da aplicação Segurança do Windows. Em versões anteriores do Windows, um utilizador teve de instalar Microsoft Defender Análise Offline para suportes de dados de arranque, reiniciar o ponto final e carregar o suporte de dados de arranque.

Nota

No Windows 10, versão 1607, a análise offline pode ser executada a partir da Atualização de Definições > do Windows & Windows Defender de segurança > ou do cliente Windows Defender.

1. No seu dispositivo Windows, abra a aplicação Segurança do Windows e, em seguida, selecione Opções de análise.

2. Selecione o botão de opção Microsoft Defender Análise offline e selecione Analisar agora.

   O processo é iniciado a partir de C:\ProgramData\Microsoft\Windows Defender\Offline Scanner.

3. Recebe um pedido para guardar o seu trabalho antes de continuar, semelhante à imagem seguinte:

   

   Depois de guardar o seu trabalho, selecione Analisar.

4. Depois de selecionar Analisar, recebe outro pedido de permissão para efetuar alterações ao seu dispositivo, semelhante à imagem seguinte:

   

   Selecione Sim.

5. É apresentado outro pedido e informa-o de que a sessão será terminada e o Windows será encerrado em menos de um minuto, semelhante à imagem seguinte:

   

6. Verá que a análise Microsoft Defender Antivírus (análise offline) está em curso.

   

   Verá a seguinte imagem:

   

Utilizar cmdlets do PowerShell para executar uma análise offline

Utilize os seguintes cmdlets:

Start-MpWDOScan

Veja Utilizar cmdlets do PowerShell para configurar e executar Microsoft Defender cmdlets antivírus e Antivírus do Defender para obter mais informações sobre como utilizar o PowerShell com o Antivírus Microsoft Defender.

Utilizar a Instrução de Gestão do Windows (WMI) para executar uma análise offline

Utilize a classe MSFT_MpWDOScan para executar uma análise offline.

O fragmento de script WMI seguinte executará imediatamente uma análise Microsoft Defender Offline, o que fará com que o ponto final reinicie, execute a análise offline e, em seguida, reinicie e inicie no Windows.

wmic /namespace:\\root\Microsoft\Windows\Defender path MSFT_MpWDOScan call Start

Para obter mais informações, veja Windows Defender APIs WMIv2.

No Windows 7 Service Pack 1 e Windows 8.1:

1. Transfira Windows Defender Offline e instale-o numa pen CD, DVD ou USB com as seguintes ligações:

   • Transferir a versão de 64 bits (msstool64.exe)
   • Transferir a versão de 32 bits (msstool32.exe)

   Se não tiver a certeza de qual a versão a transferir, consulte O meu PC está a executar a versão de 32 bits ou de 64 bits do Windows?.

2. Para começar, localize um CD, DVD ou pen USB em branco com, pelo menos, 250 MB de espaço livre e, em seguida, execute a ferramenta. É guiado através dos passos para criar o suporte de dados amovível.

   Sugestão

   Recomendamos que faça o seguinte ao transferir Windows Defender Offline:

   • Transfira Windows Defender Offline e crie o CD, DVD ou pen USB num PC que não esteja infetado com software maligno, uma vez que o software maligno pode interferir com a criação do suporte de dados.
   • Se utilizar uma pen USB, a unidade será reformatada e todos os dados na mesma serão apagados. Certifique-se de que efetua uma cópia de segurança de quaisquer dados importantes da unidade primeiro.

   

3. Analise o PC quanto a vírus e outro software maligno.

   1. Depois de criar a pen USB, CD ou DVD, remova-a do computador atual e leve-a para o computador que pretende digitalizar. Insira a pen USB ou o disco no outro computador e reinicie o computador.

   2. Arranque a partir da pen USB, CD ou DVD para executar a análise. Consoante as definições do computador, este pode arrancar automaticamente a partir do suporte de dados depois de o reiniciar ou poderá ter de premir uma tecla para introduzir um menu "dispositivos de arranque" ou modificar a ordem de arranque no firmware UEFI ou BIOS do computador.

   3. Depois de iniciar o dispositivo, verá uma ferramenta de Microsoft Defender que irá analisar automaticamente o seu computador e remover software maligno.

   4. Quando a análise estiver concluída e terminar de utilizar a ferramenta, pode reiniciar o computador e remover o Microsoft Defender suporte de dados Offline para iniciar novamente no Windows.

4. Remova qualquer software maligno encontrado no PC.

   Se ocorrer um Erro de paragem num ecrã azul quando executar a análise offline, reinicie o dispositivo e tente executar uma Microsoft Defender análise offline novamente. Se o erro de ecrã azul voltar a ocorrer, contacte Suporte da Microsoft.

Onde posso encontrar os resultados da análise?

Para ver os resultados da análise Microsoft Defender Offline em Windows 10 e Windows 11:

1. Selecione Iniciar e, em seguida, selecione Definições>Atualizar & Segurança>Segurança do Windows>Virus & proteção contra ameaças.

2. No ecrã Proteção contra ameaças & vírus , em Ameaças atuais, selecione Opções de análise e, em seguida, selecione Histórico de proteção. Para obter mais informações, veja Rever o histórico de deteção de ameaças na aplicação Segurança do Windows.

Como posso descobrir se Microsoft Defender análise offline foi iniciada?

Na Visualizador de Eventos, aceda a Registos de Aplicações e Serviços > do Microsoft > Windows > Windows Defender > Operacional. Verá:

• Nome do Registo: Microsoft-Windows-Windows Defender/Operacional
• Origem: Microsoft-Windows-Windows Defender
• ID do Evento: 2030
• Nível: Informações
• Descrição: Microsoft Defender Antivírus transferido e configurado Microsoft Defender Antivírus (análise offline) para ser executado no próximo reinício.

Em versões mais antigas do que Windows 10, 2004, verá:

Windows Defender Antivírus transferido e configurado Windows Defender Offline para ser executado no próximo reinício.

• Nome do Registo: Microsoft-Windows-Windows Defender/Operational
• Origem: Microsoft-Windows-Windows Defender
• ID do Evento: 5007
• Nível: Information
• Descrição: Microsoft Defender Antivirus Configuration has changed. If this is an unexpected event, you should review the settings as this may be the result of malware.
• Valor antigo: N/A\Scan\OfflineScanRun =
• Novo valor: HKLM\SOFTWARE\Microsoft\Windows Defender\Scan\OfflineScanRun = 0x0

Artigos relacionados

• Personalizar, iniciar e rever os resultados das análises e da remediação
• Antivírus Microsoft Defender no Windows 10

Sugestão

Se estiver à procura de informações relacionadas com o Antivírus para outras plataformas, consulte:

• Definir preferências para o Microsoft Defender para Endpoint no macOS
• Microsoft Defender para Endpoint no Mac
• Definições de política de Antivírus do macOS para o Antivírus do Microsoft Defender para Intune
• Definir preferências para o Microsoft Defender para Endpoint no Linux
• Microsoft Defender para Endpoint no Linux
• Configurar o Microsoft Defender para Endpoint em funcionalidades do Android
• Configurar o Microsoft Defender para Endpoint em funcionalidades do iOS

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.