运行并查看 Microsoft Defender 脱机扫描的结果

适用于:

适用对象 类型
平台 Windows
防护类型 硬件
固件/Rootkit
  • 操作系统
  • Driver
  • 内存 (堆)
  • 应用程序
  • 标识
  • 注意

    此功能的保护侧重于固件/Rootkit。

    Microsoft Defender脱机版是一种反恶意软件扫描工具,可用于从受信任的环境启动和运行扫描。 扫描从普通 Windows 内核外部运行,因此它可以针对尝试绕过 Windows shell 的恶意软件,例如感染或覆盖主启动记录的病毒和 rootkit, (MBR) 。

    如果怀疑恶意软件感染,或者想要在恶意软件爆发后确认终结点的彻底清理,可以使用Microsoft Defender脱机扫描。

    先决条件和要求

    以下是 Windows 中Microsoft Defender脱机扫描的硬件要求:

    • x64 Windows 11
    • x64/x86 Windows 10
    • x64/x86 Windows 8.1
    • x64/x86 Windows 7 Service Pack 1

    警告

    Microsoft Defender脱机扫描不适用于:

    • ARM Windows 11
    • ARM Windows 10
    • Windows Server 库存单位 (SKU)

    有关Windows 10和Windows 11要求的详细信息,请参阅以下主题:

    Microsoft Defender脱机更新

    若要接收Microsoft Defender脱机扫描更新,请执行以下操作:

    注意

    如果禁用 WinRE,则不会运行 WDO 扫描,并且不会显示错误消息。 即使手动重启计算机,也不会发生任何操作。 若要解决此问题,只需启用 WinRE。

    • 若要检查 WinRE 状态,可以执行以下命令行:reagentc /info
    • 如果状态为“已禁用”,可以通过执行以下命令行来启用它: reagentc /enable

    使用方案

    需要运行Microsoft Defender脱机扫描:

    如果Microsoft Defender防病毒确定需要运行:

    • 它会提示用户在终结点上。 提示可以通过通知发生,如下所示:

      脱机运行Microsoft Defender通知

      用户还将在 Microsoft Defender 防病毒客户端中收到通知,如果你正在使用它来管理 Windows 终结点,则可以在Microsoft Intune中显示该通知。

    • 可以手动强制执行内置Windows 10版本 1607 或更高版本的脱机扫描,并Windows 11。 或者,你可以扫描较旧的 Windows OS 的可启动媒体,如此 所述。

    在Configuration Manager中,可以通过导航到“监视>概述>安全>终结点保护>状态”System Center Endpoint Protection状态来标识终结点的状态

    Microsoft Defender脱机扫描在“恶意软件修正状态”下指示为“需要脱机扫描”。

    脱机扫描Microsoft Defender指示器

    配置通知

    Microsoft Defender脱机通知配置为与其他Microsoft Defender防病毒通知相同的策略设置。

    有关Windows Defender中的通知的详细信息,请参阅配置终结点上显示的通知

    运行扫描

    重要

    在使用Microsoft Defender脱机扫描之前,请确保保存所有文件并关闭正在运行的程序。 运行Microsoft Defender脱机扫描大约需要 15 分钟。 扫描完成后,它将重启终结点。 扫描在通常的 Windows 操作环境之外执行。 用户界面看起来与Windows Defender执行的普通扫描不同。 扫描完成后,终结点将重启,Windows 将正常加载。

    可以使用以下命令运行Microsoft Defender脱机扫描:

    • Windows 安全中心应用
    • PowerShell
    • Windows Management Instrumentation (WMI)

    使用 Windows Defender Security 应用运行脱机扫描

    从 Windows 10 版本 1607 或更高版本开始,Windows 11,Microsoft Defender脱机扫描可以直接从 Windows 安全中心 应用中单击一下即可运行。 在早期版本的 Windows 中,用户必须安装Microsoft Defender脱机扫描到可启动媒体、重启终结点并加载可启动媒体。

    注意

    在 Windows 10 版本 1607 中,可以从 Windows 设置>更新 & 安全>Windows Defender或Windows Defender客户端运行脱机扫描。

    1. 打开Windows 安全中心应用:

      • 在“开始”菜单中,选择“应用应用”,然后选择“Windows 安全中心”,或者
      • 在“开始”菜单中,依次选择“设置”、“隐私 & 安全性”、“Windows 安全中心”或
      • 在“搜索”中,搜索Windows 安全中心,或者
      • 在任务栏中,选择隐藏图标 (指向) 的 v 形图标,然后单击“Microsoft Defender防病毒防护”图标。
    2. 选择“ 扫描选项”。

    3. 选择脱机扫描Microsoft Defender单选按钮,然后单击“立即扫描”。

      注意

      该过程从 C:\ProgramData\Microsoft\Windows Defender\Offline Scanner 开始。

    4. 在继续操作之前,你将收到保存工作的提示,如下图所示:

      屏幕提示在继续操作之前保存所有工作的屏幕截图。

      保存工作后,选择“ 扫描”。

    5. 单击“ 扫描”后,你将收到另一条提示,请求你允许对设备进行更改,如下图所示:

      请求应用权限的屏幕提示的屏幕截图。

      选择“是”

    6. 将显示另一个提示,通知你将注销,窗口将在不到一分钟的时间内关闭,如下图所示:

      通知注销的屏幕提示的屏幕截图。

    7. 你将看到Microsoft Defender防病毒扫描 (脱机扫描) 正在进行中。

      Microsoft Defender防病毒扫描的屏幕截图。

      你将看到下图:

      正在运行时对话框的屏幕截图。

    使用 PowerShell cmdlet 运行脱机扫描

    使用以下 cmdlet:

    Start-MpWDOScan
    

    有关如何将 PowerShell 与 Microsoft Defender 防病毒配合使用的详细信息,请参阅使用 PowerShell cmdlet 配置和运行 Microsoft Defender 防病毒Defender 防病毒 cmdlet

    使用 Windows 管理指令 (WMI) 运行脱机扫描

    使用 MSFT_MpWDOScan 类运行脱机扫描。

    以下 WMI 脚本代码片段将立即运行Microsoft Defender脱机扫描,这将导致终结点重启、运行脱机扫描,然后重启并启动到 Windows。

    wmic /namespace:\\root\Microsoft\Windows\Defender path MSFT_MpWDOScan call Start
    

    有关详细信息,请参阅 Windows Defender WMIv2 API

    在 Windows 7 Service Pack 1 和 Windows 8.1中:

    1. 下载Windows Defender脱机,并使用以下链接将其安装到 CD、DVD 或 U 盘:

      如果不确定要下载哪个版本,请参阅 我的电脑是否运行 32 位或 64 位版本的 Windows?

    2. 若要开始,请查找具有至少 250 MB 可用空间的空白 CD、DVD 或 U 盘,然后运行该工具。 将指导你完成创建可移动媒体的步骤。

      提示

      建议在脱机下载Windows Defender时执行以下操作:

      • 脱机下载Windows Defender,并在未感染恶意软件的电脑上创建 CD、DVD 或 U 盘,因为恶意软件可能会干扰媒体创建。
      • 如果使用 U 盘,驱动器将重新格式化,并且将擦除其上的所有数据。 确保首先备份驱动器中的任何重要数据。

      电脑中用于扫描的对话框的屏幕截图。

    3. 扫描电脑中的病毒和其他恶意软件。

      1. 创建 U 盘、CD 或 DVD 后,需要将其从当前计算机中删除,并将其带到要扫描的计算机。 将 U 盘或光盘插入另一台计算机,然后重新启动计算机。
      2. 从 U 盘、CD 或 DVD 启动以运行扫描。 根据计算机的设置,它可能会在重启后从媒体自动启动,或者可能必须按某个键才能输入“启动设备”菜单或修改计算机的 UEFI 固件或 BIOS 中的启动顺序。
      3. 从设备启动后,你将看到一个Microsoft Defender工具,该工具将自动扫描计算机并删除恶意软件。
      4. 扫描完成后,使用完该工具后,可以重新启动计算机并删除Microsoft Defender脱机媒体以启动回 Windows。
    4. 删除从电脑中找到的任何恶意软件。

      1. 如果在运行脱机扫描时遇到蓝屏停止错误,请重启设备,然后再次尝试运行Microsoft Defender脱机扫描。 如果再次发生蓝屏错误,请联系 Microsoft 支持部门

    在哪里可以找到扫描结果?

    若要查看Windows 10和Windows 11 Microsoft Defender脱机扫描结果,请执行以下操作:

    1. 选择“开始”,然后选择“设置更新>& 安全性>Windows 安全中心>病毒 & 威胁防护”。

    2. “病毒 & 威胁防护 ”屏幕上,在“ 当前威胁”下,选择“ 扫描选项”,然后选择“ 保护历史记录”。 有关详细信息,请参阅在 Windows 安全中心 应用中查看威胁检测历史记录

    如何确定Microsoft Defender脱机扫描是否已启动?

    事件查看器中,转到“应用程序和服务日志>”“Microsoft > Windows > Windows Defender>操作”。 你会知道的:

    • 日志名称:Microsoft-Windows-Windows Defender/Operational
    • 来源:Microsoft-Windows-Windows Defender
    • 事件 ID:2030
    • 级别:信息
    • 说明:Microsoft Defender防病毒下载并配置Microsoft Defender防病毒 (脱机扫描) 下次重新启动时运行。

    在 2004 Windows 10 之前的版本中,你将看到:

    Windows Defender防病毒下载并配置为脱机Windows Defender下次重新启动时运行。

    • 日志名称:Microsoft-Windows-Windows Defender/Operational
    • 来源:Microsoft-Windows-Windows Defender
    • 事件 ID:5007
    • 级别:信息
    • 说明:Microsoft Defender防病毒配置已更改。 如果这是意外事件,则应查看设置,因为这可能是恶意软件的结果。
    • 旧值:N/A\Scan\OfflineScanRun =
    • 新值:HKLM\SOFTWARE\Microsoft\Windows Defender\Scan\OfflineScanRun = 0x0

    提示

    想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区