Share via

Запуск и просмотр результатов проверки в автономном Microsoft Defender

  • Статья

Область применения:

Сфера применения Тип
Платформа Windows
Тип защиты Оборудование
Встроенное ПО/ Rootkit Операционная система
Driver
Память (куча)
Приложение
Удостоверение
Облако

[ПРИМЕЧАНИЕ] Защита для этой функции сосредоточена на встроенном ПО или Rootkit.

Microsoft Defender в автономном режиме — это средство проверки для защиты от вредоносных программ, которое позволяет загружаться и выполнять сканирование из доверенной среды. Проверка выполняется из-за пределов обычного ядра Windows, чтобы оно направлено на вредоносные программы, которые пытаются обойти оболочку Windows, например вирусы и rootkit, которые заражают или перезаписывают загрузочную запись master (MBR).

Вы можете использовать Microsoft Defender автономной проверки, если подозреваете заражение вредоносными программами или хотите подтвердить тщательную очистку конечной точки после вспышки вредоносных программ.

Предварительные требования и требования

Ниже приведены требования к оборудованию для Microsoft Defender автономной проверки в Windows.

  • x64 Windows 11
  • x64/x86 Windows 10
  • x64/x86 Windows 8.1
  • x64/x86 Windows 7 с пакетом обновления 1 (SP1)

Предостережение

Microsoft Defender автономная проверка не применяется к:

  • WINDOWS 11 ARM
  • WINDOWS 10 ARM
  • Единицы хранения запасов Windows Server (номера SKU)

Дополнительные сведения о требованиях к Windows 10 и Windows 11 см. в следующих статьях:

Microsoft Defender автономные обновления

Чтобы получать обновления автономной проверки Microsoft Defender, выполните следующие действия.

Примечание.

Если WinRE отключен, проверка Защитник Windows автономно не выполняется и сообщения об ошибках не отображаются. Ничего не происходит, даже если компьютер перезагружается вручную. Чтобы устранить эту проблему, необходимо только включить WinRE.

  • Чтобы проверка состояние WinRE, можно выполнить следующую командную строку: reagentc /info.
  • Если состояние отключено, его можно включить, выполнив следующую командную строку: reagentc /enable.

Сценарии использования

Необходимость запуска Microsoft Defender автономной проверки:

Если антивирусная программа Microsoft Defender определяет, что необходимо запустить Microsoft Defender автономном режиме, она предложит пользователю на устройстве. Запрос может выполняться с помощью уведомления, аналогичного следующему:

Уведомление о запуске Microsoft Defender в автономном режиме

Пользователь также получает уведомление в клиенте антивирусной программы Microsoft Defender. Если вы используете Intune для управления устройствами, вы можете увидеть уведомление в Intune.

  • Вы можете вручную принудительно выполнить автономную проверку, встроенную Windows 10 версии 1607 или более поздней, а также Windows 11. Кроме того, можно проверить загрузочный носитель на наличие более старых ОС Windows, как описано здесь.

В Configuration Manager можно определить состояние конечных точек, перейдя к обзору мониторинга >> Состояние > защиты > конечных точек System Center Endpoint Protection состояние.

Microsoft Defender проверка в автономном режиме указывается в разделе Состояние исправления вредоносных программ как требуется проверка в автономном режиме.

Индикатор проверки на наличие Microsoft Defender в автономном режиме

Настройка уведомлений

Microsoft Defender уведомления в автономном режиме настраиваются в том же параметре политики, что и другие уведомления Microsoft Defender антивирусной программы.

Дополнительные сведения об уведомлениях в Защитник Windows см. в разделе Настройка уведомлений, отображаемых в конечных точках.

Запустить сканирование

Важно!

Перед использованием Microsoft Defender автономной проверки убедитесь, что вы сохранили все файлы и завершили работу программ. Проверка Microsoft Defender в автономном режиме занимает около 15 минут. После завершения проверки она перезапустит конечную точку. Проверка выполняется за пределами обычной операционной среды Windows. Пользовательский интерфейс будет отличаться от обычного сканирования, выполняемого Защитник Windows. После завершения проверки конечная точка будет перезапущена, и Windows загрузится в обычном режиме.

Вы можете запустить проверку Microsoft Defender в автономном режиме с помощью следующих методов:

  • Приложение Безопасность Windows
  • PowerShell
  • Инструментарий управления Windows (WMI)

Использование приложения Защитник Windows Security для запуска автономной проверки

Начиная с Windows 10 версии 1607 или более поздней и Windows 11 Microsoft Defender автономной проверки можно запустить одним щелчком непосредственно из приложения Безопасность Windows. В предыдущих версиях Windows пользователю приходилось устанавливать Microsoft Defender автономной проверки на загрузочный носитель, перезапускать конечную точку и загружать загрузочный носитель.

Примечание.

В Windows 10 версии 1607 автономную проверку можно запустить в центре обновления параметров > Windows & Защитник Windows безопасности > или из клиента Защитник Windows.

  1. На устройстве с Windows откройте приложение Безопасность Windows, а затем выберите Параметры сканирования.

  2. Нажмите переключатель Microsoft Defender Автономное сканирование и выберите Проверить сейчас.

    Процесс начинается с C:\ProgramData\Microsoft\Windows Defender\Offline Scanner.

  3. Перед продолжением вы получите запрос на сохранение работы, как показано на следующем рисунке:

    Снимок экрана: запрос на сохранение всех работ перед продолжением.

    После сохранения работы выберите Сканировать.

  4. После нажатия кнопки Проверить вы получите еще один запрос с запросом разрешения на внесение изменений в устройство, как показано на следующем рисунке:

    Снимок экрана с запросом разрешения на применение.

    Выберите Да.

  5. Появится еще один запрос, сообщающий о том, что вы выйдете из нее, и Windows завершит работу менее чем через минуту, как показано на следующем рисунке:

    Снимок экрана: подсказка на экране, информирующая о выходе.

  6. Вы увидите, что выполняется проверка антивирусной программы Microsoft Defender (проверка в автономном режиме).

    Снимок экрана: проверка антивирусной программы Microsoft Defender.

    Вы увидите следующее изображение:

    Снимок экрана: диалог при выполнении.

Использование командлетов PowerShell для запуска автономной проверки

Используйте следующие командлеты:

Start-MpWDOScan

Дополнительные сведения об использовании PowerShell с Microsoft Defender антивирусной программы см. в статье Использование командлетов PowerShell для настройки и запуска Microsoft Defender антивирусной программы и антивирусной программы Defender.

Использование инструкции по управлению Windows (WMI) для запуска автономной проверки

Используйте класс MSFT_MpWDOScan для запуска автономной проверки.

Следующий фрагмент скрипта WMI немедленно запустит проверку Microsoft Defender в автономном режиме, что приведет к перезапуску конечной точки, запуску автономной проверки, а затем перезапуску и загрузке Windows.

wmic /namespace:\\root\Microsoft\Windows\Defender path MSFT_MpWDOScan call Start

Дополнительные сведения см. в разделе API Защитник Windows WMIv2.

В Windows 7 с пакетом обновления 1 (SP1) и Windows 8.1:

  1. Скачайте Защитник Windows в автономном режиме и установите его на компакт-диск, DVD-диск или USB-устройство флэш-памяти, используя следующие ссылки:

    Если вы не знаете, какую версию скачать, см. статью На моем компьютере установлена 32-разрядная или 64-разрядная версия Windows?

  2. Чтобы приступить к работе, найдите пустой компакт-диск, DVD-диск или USB-устройство флэш-памяти с объемом свободного места не менее 250 МБ, а затем запустите средство. Вам показано, как создать съемный носитель.

    Совет

    При скачивании Защитник Windows в автономном режиме рекомендуется выполнить следующие действия:

    • Скачайте Защитник Windows автономном режиме и создайте компакт-диск, DVD-диск или USB-устройство флэш-памяти на компьютере, который не заражен вредоносными программами, так как вредоносная программа может помешать созданию носителя.
    • Если вы используете USB-накопитель, диск будет переформатирован, а все данные на нем будут удалены. Убедитесь, что сначала создайте резервную копию всех важных данных с диска.

    Снимок экрана: диалоговое окно для сканирования на компьютере.

  3. Проверьте компьютер на наличие вирусов и других вредоносных программ.

    1. После создания USB-накопителя, компакт-диска или DVD-диска удалите его с текущего компьютера и отвезите на компьютер, который вы хотите проверить. Вставьте USB-накопитель или диск в другой компьютер и перезагрузите компьютер.

    2. Загрузите usb-накопитель, компакт-диск или DVD-диск для запуска сканирования. В зависимости от параметров компьютера он может автоматически загружаться с носителя после перезагрузки компьютера, или вам может потребоваться нажать клавишу, чтобы войти в меню "загрузочные устройства" или изменить порядок загрузки в встроенном ПО UEFI компьютера или BIOS.

    3. После загрузки устройства вы увидите средство Microsoft Defender, которое автоматически сканирует компьютер и удаляет вредоносные программы.

    4. После завершения проверки и завершения работы с инструментом можно перезагрузить компьютер и удалить Microsoft Defender автономный носитель для загрузки обратно в Windows.

  4. Удалите все обнаруженные вредоносные программы с компьютера.

    Если при запуске автономной проверки на синем экране возникает stop-ошибка, перезагрузите устройство и повторите попытку Microsoft Defender автономной проверки. Если ошибка синего экрана повторится снова, обратитесь к служба поддержки Майкрософт.

Где можно найти результаты сканирования?

Чтобы просмотреть результаты автономной проверки Microsoft Defender в Windows 10 и Windows 11, выполните следующие действия:

  1. Нажмите кнопку Пуск, а затем выберите Параметры>Обновление & Безопасность>Безопасность Windows>Вирус & защита от угроз.

  2. На экране Защита от угроз от вирусов & в разделе Текущие угрозы выберите Параметры сканирования, а затем выберите Журнал защиты. Дополнительные сведения см. в разделе Просмотр журнала обнаружения угроз в приложении Безопасность Windows.

Как узнать, была ли выполнена проверка в автономном режиме Microsoft Defender?

В Просмотр событий перейдите в раздел Журналы > приложений и служб Microsoft > Windows > Защитник Windows > Operational. Вот что вы увидите:

  • Имя журнала: Microsoft-Windows-Windows Defender/Operational
  • Источник: Microsoft-Windows-Windows Defender
  • Идентификатор события: 2030
  • Уровень: сведения
  • Описание: Microsoft Defender антивирусная программа загружена и настроена Microsoft Defender антивирусная программа (автономная проверка) для запуска при следующей перезагрузке.

В более старых версиях, чем Windows 10, 2004, вы увидите следующее:

Защитник Windows антивирусная программа загружена и настроена Защитник Windows автономно для запуска при следующей перезагрузке.

  • Имя журнала: Microsoft-Windows-Windows Defender/Operational
  • Источник: Microsoft-Windows-Windows Defender
  • Идентификатор события: 5007
  • Уровень: Information
  • Описание: Microsoft Defender Antivirus Configuration has changed. If this is an unexpected event, you should review the settings as this may be the result of malware.
  • Старое значение: N/A\Scan\OfflineScanRun =
  • Новое значение: HKLM\SOFTWARE\Microsoft\Windows Defender\Scan\OfflineScanRun = 0x0

Совет

Если вам нужны сведения об антивирусной программе для других платформ, см.:

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.