Kör och granska resultatet av en genomsökning för Microsoft Defender Offline

Gäller för:

• Microsoft Defender för Endpoint Abonnemang 1
• Microsoft Defender för Endpoint Abonnemang 2
• Microsoft Defender Antivirus
• Microsoft Defender för företag
• Microsoft Defender för enskilda användare

Gäller för	Typ
Plattform	Windows
Skyddstyp	Hårdvara
Inbyggd programvara/Rootkit	Operativsystem Drivrutin Minne (heap) Program Identitet Moln

[OBS] Skyddet för den här funktionen fokuserar på inbyggd programvara/Rootkit.

Microsoft Defender Offline är ett genomsökningsverktyg mot skadlig kod som gör att du kan starta och köra en genomsökning från en betrodd miljö. Genomsökningen körs utanför den vanliga Windows-kerneln så att den kan rikta in sig på skadlig kod som försöker kringgå Windows-gränssnittet, till exempel virus och rootkits som infekterar eller skriver över master boot record (MBR).

Du kan använda Microsoft Defender offlinegenomsökning om du misstänker att en skadlig kod har smittats eller om du vill bekräfta en noggrann rensning av slutpunkten efter ett utbrott av skadlig kod.

Förutsättningar och krav

Följande är maskinvarukraven för Microsoft Defender offlinegenomsökning i Windows:

• x64 Windows 11
• x64/x86 Windows 10
• x64/x86 Windows 8.1
• x64/x86 Windows 7 Service Pack 1

Försiktighet

Microsoft Defender offlinegenomsökning gäller inte för:

• ARM-Windows 11
• ARM-Windows 10
• Lagerhållningsenheter för Windows Server (SKU:er)

Mer information om Windows 10 och Windows 11 krav finns i följande artiklar:

• Minimikrav för maskinvara
• Riktlinjer för maskinvarukomponenter

Microsoft Defender offlineuppdateringar

Så här tar du emot uppdateringar av Microsoft Defender offlinegenomsökning:

• Microsoft Defender Antivirus måste vara ditt primära antivirusprogram (inte i passivt läge).

• Uppdatera Microsoft Defender Antivirus hur du normalt distribuerar uppdateringar till slutpunkter. Använd en version som stöds av:

  • Plattformsuppdatering

  • Motoruppdatering

  • Säkerhetsinformation Uppdateringar

    • Du kan ladda ned och installera de senaste skyddsuppdateringarna manuellt från Microsoft Malware Protection Center
    • Mer information finns i artikeln Hantera uppdateringar av Microsoft Defender antivirussäkerhetsinformation.

• Användarna måste vara inloggade med lokal administratörsbehörighet.

• Windows Recovery Environment (WinRE) måste vara aktiverat.

Obs!

Om WinRE är inaktiverat körs inte Windows Defender offlinegenomsökning och inga felmeddelanden visas. Ingenting händer även om datorn startas om manuellt. För att åtgärda detta behöver du bara aktivera WinRE.

• Om du vill kontrollera WinRE-statusen kan du köra den här kommandoraden: reagentc /info.
• Om statusen är Inaktiverad kan du aktivera den genom att köra den här kommandoraden: reagentc /enable.

Användningsscenarier

Behovet av att köra Microsoft Defender offlinegenomsökning:

Om Microsoft Defender Antivirus fastställer att du behöver köra Microsoft Defender offline uppmanas användaren att göra det på enheten. Uppmaningen kan ske via ett meddelande som liknar följande:

Användaren meddelas också i Microsoft Defender Antivirus-klienten. Om du använder Intune för att hantera enheter kan du se meddelandet i Intune.

• Du kan manuellt framtvinga en offlinegenomsökning som är inbyggd Windows 10, version 1607 eller senare och Windows 11. Eller så kan du söka igenom ett startbart medium efter de äldre Windows-operativsystemen enligt beskrivningen här.

I Configuration Manager kan du identifiera status för slutpunkter genom att gå till Övervakning Översikt > Säkerhetsstatus >> för slutpunktsskydd > System Center Endpoint Protection status.

Microsoft Defender offlinegenomsökningar anges under Status för reparation av skadlig kod som offlinegenomsökning krävs.

Konfigurera meddelanden

Microsoft Defender offlinemeddelanden konfigureras i samma principinställning som andra Microsoft Defender Antivirus-meddelanden.

Mer information om meddelanden i Windows Defender finns i Konfigurera de meddelanden som visas på slutpunkter.

Köra en genomsökning

Viktigt

Innan du använder Microsoft Defender offlinegenomsökning måste du spara alla filer och stänga av program som körs. Det tar cirka 15 minuter att köra Microsoft Defender offlinegenomsökning. Slutpunkten startas om när genomsökningen är klar. Genomsökningen utförs utanför den vanliga Windows-driftsmiljön. Användargränssnittet ser annorlunda ut än en normal genomsökning som utförs av Windows Defender. När genomsökningen är klar startas slutpunkten om och Windows läses in normalt.

Du kan köra en Microsoft Defender offlinegenomsökning med följande metoder:

• Appen Windows-säkerhet
• PowerShell
• Windows Management Instrumentation (WMI)

Använda Windows Defender Security-appen för att köra en offlinegenomsökning

Från och med Windows 10 version 1607 eller senare och Windows 11 kan Microsoft Defender offlinegenomsökning köras med ett klick direkt från Windows-säkerhet-appen. I tidigare versioner av Windows var en användare tvungen att installera Microsoft Defender offlinegenomsökning till startbara medier, starta om slutpunkten och läsa in startbart medium.

Obs!

I Windows 10 version 1607 kan offlinegenomsökningen köras från Windows Settings > Update & säkerhets > Windows Defender eller från Windows Defender-klienten.

1. Öppna appen Windows-säkerhet på din Windows-enhet och sedan genomsöka alternativ.

2. Välj alternativknappen Microsoft Defender offlinegenomsökning och välj Skanna nu.

   Processen börjar från C:\ProgramData\Microsoft\Windows Defender\Offline Scanner.

3. Du uppmanas att spara ditt arbete innan du fortsätter, ungefär som i följande bild:

   

   När du har sparat ditt arbete väljer du Skanna.

4. När du har valt Genomsök får du ett nytt meddelande som begär din behörighet att göra ändringar på enheten, ungefär som i följande bild:

   

   Välj Ja.

5. En annan fråga visas och informerar dig om att du kommer att loggas ut och Windows stängs av på mindre än en minut, ungefär som i följande bild:

   

6. Du ser att Microsoft Defender antivirusgenomsökning (offlinegenomsökning) pågår.

   

   Följande bild visas:

   

Använda PowerShell-cmdletar för att köra en offlinegenomsökning

Använd följande cmdletar:

Start-MpWDOScan

Mer information om hur du använder PowerShell med Microsoft Defender Antivirus finns i Använda PowerShell-cmdletar för att konfigurera och köra Microsoft Defender Antivirus- och Defender Antivirus-cmdletar.

Använda Windows Management Instruction (WMI) för att köra en offlinegenomsökning

Använd klassen MSFT_MpWDOScan för att köra en offlinegenomsökning.

Följande WMI-skriptfragment kör omedelbart en Microsoft Defender offlinegenomsökning, vilket gör att slutpunkten startas om, kör offlinegenomsökningen och startar sedan om och startar om i Windows.

wmic /namespace:\\root\Microsoft\Windows\Defender path MSFT_MpWDOScan call Start

Mer information finns i Windows Defender WMIv2-API:er.

I Windows 7 Service Pack 1 och Windows 8.1:

1. Ladda ned Windows Defender offline och installera den på en CD-, DVD- eller USB-flash-enhet med hjälp av följande länkar:

   • Ladda ned 64-bitarsversionen (msstool64.exe)
   • Ladda ned 32-bitarsversionen (msstool32.exe)

   Om du inte är säker på vilken version som ska laddas ned läser du Kör min dator 32-bitars- eller 64-bitarsversionen av Windows?.

2. Kom igång genom att hitta en tom CD-, DVD- eller USB-flashenhet med minst 250 MB ledigt utrymme och kör sedan verktyget. Du vägleds genom stegen för att skapa det flyttbara mediet.

   Tips

   Vi rekommenderar att du gör följande när du laddar ned Windows Defender offline:

   • Ladda ned Windows Defender offline och skapa CD-, DVD- eller USB-flash-enheten på en dator som inte är infekterad med skadlig kod eftersom den skadliga koden kan störa medieskapandet.
   • Om du använder en USB-enhet formateras enheten om och alla data på den raderas. Se till att säkerhetskopiera viktiga data från enheten först.

   

3. Sök igenom datorn efter virus och annan skadlig kod.

   1. När du har skapat USB-enheten, CD:n eller DVD:n tar du bort den från den aktuella datorn och tar den till den dator som du vill genomsöka. Sätt i USB-enheten eller skivan i den andra datorn och starta om datorn.

   2. Starta från USB-enheten, CD:n eller DVD:n för att köra genomsökningen. Beroende på datorns inställningar kan den startas automatiskt från mediet när du har startat om den, eller så kan du behöva trycka på en tangent för att ange en "startenheter"-meny eller ändra startordningen i datorns inbyggda UEFI-programvara eller BIOS.

   3. När du har startat enheten visas ett Microsoft Defender verktyg som automatiskt genomsöker datorn och tar bort skadlig kod.

   4. När genomsökningen är klar och du är klar med verktyget kan du starta om datorn och ta bort Microsoft Defender offlinemedia för att starta tillbaka till Windows.

4. Ta bort skadlig kod som hittas från datorn.

   Om du får ett stoppfel på en blå skärm när du kör offlinegenomsökningen startar du om enheten och försöker köra en Microsoft Defender offlinegenomsökning igen. Kontakta Microsoft Support om felet på den blå skärmen inträffar igen.

Var hittar jag genomsökningsresultatet?

Om du vill se Microsoft Defender offlinegenomsökningsresultat i Windows 10 och Windows 11:

1. Välj Start och välj sedan Inställningar>Uppdatera & Säkerhet>Windows-säkerhet>Virus & skydd mot hot.

2. På skärmen Virus & skydd mot hot , under Aktuella hot, väljer du Genomsökningsalternativ och sedan Skyddshistorik. Mer information finns i Granska historiken för hotidentifiering i Windows-säkerhet-appen.

Hur kan jag ta reda på om Microsoft Defender offlinegenomsökning startades?

I Loggboken går du till Program- och tjänstloggar > Microsoft > Windows > Windows Defender > Drift. Du kommer att se:

• Loggnamn: Microsoft-Windows-Windows Defender/Operational
• Källa: Microsoft-Windows-Windows Defender
• Händelse-ID: 2030
• Nivå: Information
• Beskrivning: Microsoft Defender Antivirus har laddats ned och konfigurerats Microsoft Defender Antivirus (offlinegenomsökning) för att köras vid nästa omstart.

I äldre versioner än Windows 10, 2004, ser du:

Windows Defender Antivirus har laddats ned och konfigurerats Windows Defender Offline för att köras vid nästa omstart.

• Loggnamn: Microsoft-Windows-Windows Defender/Operational
• Källkod: Microsoft-Windows-Windows Defender
• Händelse-ID: 5007
• Nivå: Information
• Beskrivning: Microsoft Defender Antivirus Configuration has changed. If this is an unexpected event, you should review the settings as this may be the result of malware.
• Gammalt värde: N/A\Scan\OfflineScanRun =
• Nytt värde: HKLM\SOFTWARE\Microsoft\Windows Defender\Scan\OfflineScanRun = 0x0

Relaterade artiklar

• Anpassa, initiera och granska resultatet av genomsökningar och åtgärder
• Microsoft Defender Antivirus i Windows 10

Tips

Om du letar efter antivirusrelaterad information för andra plattformar läser du:

• Ange inställningar för Microsoft Defender för Endpoint på macOS
• Microsoft Defender för Endpoint för Mac
• macOS Antivirus-principinställningar för Microsoft Defender Antivirus för Intune
• Ange inställningar för Microsoft Defender för Endpoint i Linux
• Microsoft Defender för Endpoint för Linux
• Konfigurera Defender för Endpoint för Android-funktioner
• Konfigurera Microsoft Defender för Endpoint på iOS-funktioner

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.