运行并查看 Microsoft Defender 脱机扫描的结果
适用于:
- Microsoft Defender for Endpoint 计划 1
- Microsoft Defender for Endpoint 计划 2
- Microsoft Defender 防病毒
- Microsoft Defender 商业版
- 个人Microsoft Defender
适用对象 | 类型 |
---|---|
平台 | Windows |
防护类型 | 硬件 |
固件/Rootkit |
注意
此功能的保护侧重于固件/Rootkit。
Microsoft Defender脱机版是一种反恶意软件扫描工具,可用于从受信任的环境启动和运行扫描。 扫描从普通 Windows 内核外部运行,因此它可以针对尝试绕过 Windows shell 的恶意软件,例如感染或覆盖主启动记录的病毒和 rootkit, (MBR) 。
如果怀疑恶意软件感染,或者想要在恶意软件爆发后确认终结点的彻底清理,可以使用Microsoft Defender脱机扫描。
先决条件和要求
以下是 Windows 中Microsoft Defender脱机扫描的硬件要求:
- x64 Windows 11
- x64/x86 Windows 10
- x64/x86 Windows 8.1
- x64/x86 Windows 7 Service Pack 1
警告
Microsoft Defender脱机扫描不适用于:
- ARM Windows 11
- ARM Windows 10
- Windows Server 库存单位 (SKU)
有关Windows 10和Windows 11要求的详细信息,请参阅以下主题:
Microsoft Defender脱机更新
若要接收Microsoft Defender脱机扫描更新,请执行以下操作:
- Microsoft Defender防病毒必须是主 AV (不处于被动模式) 。
- 更新 MDAV,但通常将更新部署到终结点,这是受支持的版本:
- 平台更新
- 引擎更新
- 安全智能更新
- 可以从 Microsoft 恶意软件防护中心手动下载并安装最新的保护更新
- 有关详细信息,请参阅管理Microsoft Defender防病毒安全智能更新主题。
- 用户必须使用本地管理员权限登录。
- 需要启用 Windows 恢复环境 (WinRE) 。
注意
如果禁用 WinRE,则不会运行 WDO 扫描,并且不会显示错误消息。 即使手动重启计算机,也不会发生任何操作。 若要解决此问题,只需启用 WinRE。
- 若要检查 WinRE 状态,可以执行以下命令行:
reagentc /info
。 - 如果状态为“已禁用”,可以通过执行以下命令行来启用它:
reagentc /enable
。
使用方案
需要运行Microsoft Defender脱机扫描:
如果Microsoft Defender防病毒确定需要运行:
它会提示用户在终结点上。 提示可以通过通知发生,如下所示:
用户还将在 Microsoft Defender 防病毒客户端中收到通知,如果你正在使用它来管理 Windows 终结点,则可以在Microsoft Intune中显示该通知。
可以手动强制执行内置Windows 10版本 1607 或更高版本的脱机扫描,并Windows 11。 或者,你可以扫描较旧的 Windows OS 的可启动媒体,如此 处所述。
在Configuration Manager中,可以通过导航到“监视>概述>安全>终结点保护>状态”System Center Endpoint Protection状态来标识终结点的状态。
Microsoft Defender脱机扫描在“恶意软件修正状态”下指示为“需要脱机扫描”。
配置通知
Microsoft Defender脱机通知配置为与其他Microsoft Defender防病毒通知相同的策略设置。
有关Windows Defender中的通知的详细信息,请参阅配置终结点上显示的通知。
运行扫描
重要
在使用Microsoft Defender脱机扫描之前,请确保保存所有文件并关闭正在运行的程序。 运行Microsoft Defender脱机扫描大约需要 15 分钟。 扫描完成后,它将重启终结点。 扫描在通常的 Windows 操作环境之外执行。 用户界面看起来与Windows Defender执行的普通扫描不同。 扫描完成后,终结点将重启,Windows 将正常加载。
可以使用以下命令运行Microsoft Defender脱机扫描:
- Windows 安全中心应用
- PowerShell
- Windows Management Instrumentation (WMI)
使用 Windows Defender Security 应用运行脱机扫描
从 Windows 10 版本 1607 或更高版本开始,Windows 11,Microsoft Defender脱机扫描可以直接从 Windows 安全中心 应用中单击一下即可运行。 在早期版本的 Windows 中,用户必须安装Microsoft Defender脱机扫描到可启动媒体、重启终结点并加载可启动媒体。
注意
在 Windows 10 版本 1607 中,可以从 Windows 设置>更新 & 安全>Windows Defender或Windows Defender客户端运行脱机扫描。
打开Windows 安全中心应用:
- 在“开始”菜单中,选择“应用应用”,然后选择“Windows 安全中心”,或者
- 在“开始”菜单中,依次选择“设置”、“隐私 & 安全性”、“Windows 安全中心”或
- 在“搜索”中,搜索Windows 安全中心,或者
- 在任务栏中,选择隐藏图标 (指向) 的 v 形图标,然后单击“Microsoft Defender防病毒防护”图标。
选择“ 扫描选项”。
选择脱机扫描Microsoft Defender单选按钮,然后单击“立即扫描”。
注意
该过程从 C:\ProgramData\Microsoft\Windows Defender\Offline Scanner 开始。
在继续操作之前,你将收到保存工作的提示,如下图所示:
保存工作后,选择“ 扫描”。
单击“ 扫描”后,你将收到另一条提示,请求你允许对设备进行更改,如下图所示:
选择“是”。
将显示另一个提示,通知你将注销,窗口将在不到一分钟的时间内关闭,如下图所示:
你将看到Microsoft Defender防病毒扫描 (脱机扫描) 正在进行中。
你将看到下图:
使用 PowerShell cmdlet 运行脱机扫描
使用以下 cmdlet:
Start-MpWDOScan
有关如何将 PowerShell 与 Microsoft Defender 防病毒配合使用的详细信息,请参阅使用 PowerShell cmdlet 配置和运行 Microsoft Defender 防病毒和 Defender 防病毒 cmdlet。
使用 Windows 管理指令 (WMI) 运行脱机扫描
使用 MSFT_MpWDOScan 类运行脱机扫描。
以下 WMI 脚本代码片段将立即运行Microsoft Defender脱机扫描,这将导致终结点重启、运行脱机扫描,然后重启并启动到 Windows。
wmic /namespace:\\root\Microsoft\Windows\Defender path MSFT_MpWDOScan call Start
有关详细信息,请参阅 Windows Defender WMIv2 API。
在 Windows 7 Service Pack 1 和 Windows 8.1中:
下载Windows Defender脱机,并使用以下链接将其安装到 CD、DVD 或 U 盘:
如果不确定要下载哪个版本,请参阅 我的电脑是否运行 32 位或 64 位版本的 Windows?。
若要开始,请查找具有至少 250 MB 可用空间的空白 CD、DVD 或 U 盘,然后运行该工具。 将指导你完成创建可移动媒体的步骤。
提示
建议在脱机下载Windows Defender时执行以下操作:
- 脱机下载Windows Defender,并在未感染恶意软件的电脑上创建 CD、DVD 或 U 盘,因为恶意软件可能会干扰媒体创建。
- 如果使用 U 盘,驱动器将重新格式化,并且将擦除其上的所有数据。 确保首先备份驱动器中的任何重要数据。
扫描电脑中的病毒和其他恶意软件。
- 创建 U 盘、CD 或 DVD 后,需要将其从当前计算机中删除,并将其带到要扫描的计算机。 将 U 盘或光盘插入另一台计算机,然后重新启动计算机。
- 从 U 盘、CD 或 DVD 启动以运行扫描。 根据计算机的设置,它可能会在重启后从媒体自动启动,或者可能必须按某个键才能输入“启动设备”菜单或修改计算机的 UEFI 固件或 BIOS 中的启动顺序。
- 从设备启动后,你将看到一个Microsoft Defender工具,该工具将自动扫描计算机并删除恶意软件。
- 扫描完成后,使用完该工具后,可以重新启动计算机并删除Microsoft Defender脱机媒体以启动回 Windows。
删除从电脑中找到的任何恶意软件。
- 如果在运行脱机扫描时遇到蓝屏停止错误,请重启设备,然后再次尝试运行Microsoft Defender脱机扫描。 如果再次发生蓝屏错误,请联系 Microsoft 支持部门。
在哪里可以找到扫描结果?
若要查看Windows 10和Windows 11 Microsoft Defender脱机扫描结果,请执行以下操作:
选择“开始”,然后选择“设置更新>& 安全性>Windows 安全中心>病毒 & 威胁防护”。
在 “病毒 & 威胁防护 ”屏幕上,在“ 当前威胁”下,选择“ 扫描选项”,然后选择“ 保护历史记录”。 有关详细信息,请参阅在 Windows 安全中心 应用中查看威胁检测历史记录。
如何确定Microsoft Defender脱机扫描是否已启动?
在事件查看器中,转到“应用程序和服务日志>”“Microsoft > Windows > Windows Defender>操作”。 你会知道的:
- 日志名称:Microsoft-Windows-Windows Defender/Operational
- 来源:Microsoft-Windows-Windows Defender
- 事件 ID:2030
- 级别:信息
- 说明:Microsoft Defender防病毒下载并配置Microsoft Defender防病毒 (脱机扫描) 下次重新启动时运行。
在 2004 Windows 10 之前的版本中,你将看到:
Windows Defender防病毒下载并配置为脱机Windows Defender下次重新启动时运行。
- 日志名称:Microsoft-Windows-Windows Defender/Operational
- 来源:Microsoft-Windows-Windows Defender
- 事件 ID:5007
- 级别:信息
- 说明:Microsoft Defender防病毒配置已更改。 如果这是意外事件,则应查看设置,因为这可能是恶意软件的结果。
- 旧值:N/A\Scan\OfflineScanRun =
- 新值:HKLM\SOFTWARE\Microsoft\Windows Defender\Scan\OfflineScanRun = 0x0
相关文章
提示
如果要查找其他平台的防病毒相关信息,请参阅:
- 设置 macOS 上 Microsoft Defender for Endpoint 的首选项
- Mac 上的 Microsoft Defender for Endpoint
- 适用于 Intune 的 Microsoft Defender 防病毒软件的 macOS 防病毒程序策略设置
- 设置 Linux 上 Microsoft Defender for Endpoint 的首选项
- Microsoft Defender for Endpoint on Linux
- 在 Android 功能上配置 Defender for Endpoint
- 在 iOS 功能上配置 Microsoft Defender for Endpoint
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区。
反馈
https://aka.ms/ContentUserFeedback。
即将推出:在整个 2024 年,我们将逐步取消以“GitHub 问题”作为内容的反馈机制,并将其替换为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈