執行和檢查 Microsoft Defender Offline 掃描的結果

適用於：

• 適用於端點的 Microsoft Defender 方案 1
• 適用於端點的 Microsoft Defender 方案 2
• Microsoft Defender 防毒軟體
• 適用於企業的 Microsoft Defender
• 個人 Microsoft Defender

適用於	類型
平台	Windows
保護類型	硬體
韌體/Rootkit	作業系統 驅動程式 記憶體 (堆積) 應用程式 身分識別 雲端

[注意]這項功能的保護著重於 Firmware/Rootkit。

Microsoft Defender 離線是一種反惡意代碼掃描工具，可讓您從信任的環境開機並執行掃描。 掃描會從一般 Windows 核心外部執行，以便以嘗試略過 Windows 殼層的惡意代碼為目標，例如感染或覆寫主要開機記錄的病毒和 rootkit (MBR) 。

如果您懷疑有惡意代碼感染，或想要在惡意代碼入侵之後確認端點的完整清除，您可以使用 Microsoft Defender 脫機掃描]。

必要條件和需求

以下是 Windows 中 Microsoft Defender 離線掃描的硬體需求：

• x64 Windows 11
• x64/x86 Windows 10
• x64/x86 Windows 8.1
• x64/x86 Windows 7 Service Pack 1

注意

Microsoft Defender 離線掃描不適用於：

• ARM Windows 11
• ARM Windows 10
• SKU (的 Windows Server 庫存單位)

如需 Windows 10 和 Windows 11 需求的詳細資訊，請參閱下列文章：

• 最低硬體需求
• 硬體元件指導方針

Microsoft Defender 離線更新

若要接收 Microsoft Defender 離線掃描更新：

• Microsoft Defender 防病毒軟體必須是您的主要防病毒軟體， (不是被動模式) 。

• 更新 Microsoft Defender 防病毒軟體，您通常會將更新部署至端點。 使用支援的版本：

  • 平臺更新

  • 引擎更新

  • 安全性情報 匯報

    • 您可以從 Microsoft 惡意程式碼防護中心 手動下載並安裝最新的保護更新
    • 如需詳細資訊，請參閱管理 Microsoft Defender 防病毒軟體安全性情報更新一文。

• 用戶必須以本機系統管理員許可權登入。

• 必須啟用 Windows Recovery Environment (WinRE) 。

注意事項

如果 WinRE 已停用，Windows Defender 離線掃描不會執行，也不會顯示任何錯誤訊息。 即使計算機已手動重新啟動，也不會發生任何事。 若要修正此問題，您只需要啟用 WinRE。

• 若要檢查 WinRE 狀態，您可以執行下列命令行： reagentc /info。
• 如果狀態為 [已停用]，您可以執行下列命令行加以啟用： reagentc /enable。

使用情況

需要執行 Microsoft Defender 離線掃描：

如果 Microsoft Defender 防病毒軟體判斷您需要在離線 Microsoft Defender 執行，它會在裝置上提示使用者。 提示可能會透過通知發生，如下所示：

使用者也會在 Microsoft Defender 防病毒軟體用戶端內收到通知。 如果您使用 Intune 來管理裝置，您可以在 Intune 中看到通知。

• 您可以手動強制執行內建 Windows 10、版本 1607 或更新版本的離線掃描，並 Windows 11。 或者，您可以掃描舊版 Windows OS 的可開機媒體，如 這裡所述。

在 Configuration Manager 中，您可以流覽至 [監視>概觀>] [安全>性端點保護>狀態] System Center Endpoint Protection 狀態，以識別端點的狀態。

Microsoft Defender 離線掃描會在 [惡意代碼補救狀態] 底下指出為 [需要離線掃描]。

設定通知

Microsoft Defender 離線通知設定於與其他 Microsoft Defender 防病毒軟體通知相同的原則設定中。

如需 Windows Defender 中通知的詳細資訊，請參閱設定出現在端點上的通知。

執行掃描

重要事項

使用 Microsoft Defender 離線掃描之前，請務必儲存任何檔案並關閉執行中的程式。 Microsoft Defender 離線掃描大約需要15分鐘的時間才能執行。 掃描完成時，它會重新啟動端點。 掃描是在一般 Windows 作業環境之外執行。 使用者介面看起來會與 Windows Defender 執行的一般掃描不同。 掃描完成之後，端點將會重新啟動，且 Windows 會正常載入。

您可以使用下列方法執行 Microsoft Defender 離線掃描：

• Windows 安全性 應用程式
• PowerShell
• Windows Management Instrumentation (WMI)

使用 Windows Defender 安全性應用程式執行離線掃描

從 Windows 10 版本 1607 或更新版本開始，Windows 11，Microsoft Defender 脫機掃描可以直接從 Windows 安全性 應用程式按兩下即可執行。 在舊版 Windows 中，用戶必須安裝 Microsoft Defender 離線掃描]，才能開機媒體、重新啟動端點，以及載入可開機媒體。

注意事項

在 Windows 10 1607 版中，離線掃描可以從 Windows 設定>更新 & 安全>性 Windows Defender 或從 Windows Defender 客戶端執行。

1. 在 Windows 裝置上，開啟 Windows 安全性 應用程式，然後開啟 [掃描] 選項。

2. 選取 [離線掃描] Microsoft Defender 單選按鈕，然後選取 [立即掃描]。

   此程式會從 C:\ProgramData\Microsoft\Windows Defender\Offline Scanner開始。

3. 在繼續之前，您會收到儲存工作的提示，如下圖所示：

   

   儲存工作之後，請選取 [ 掃描]。

4. 選取 [ 掃描] 之後，您會收到另一個提示，要求您對裝置進行變更的許可權，如下圖所示：

   

   選取 [是]。

5. 另一個提示隨即出現，並通知您將註銷，且 Windows 將在一分鐘內關閉，如下圖所示：

   

6. 您會看到 Microsoft Defender 防病毒軟體掃描 (離線掃描) 正在進行中。

   

   您會看到下列影像：

   

使用 PowerShell Cmdlet 執行離線掃描

使用下列 Cmdlet：

Start-MpWDOScan

如需如何搭配使用 PowerShell 與 Microsoft Defender 防病毒軟體的詳細資訊，請參閱使用 PowerShell Cmdlet 來設定及執行 Microsoft Defender 防病毒軟體和 Defender 防病毒軟體 Cmdlet。

使用 Windows 管理指示 (WMI) 執行離線掃描

使用 MSFT_MpWDOScan 類別來執行離線掃描。

下列 WMI 腳本代碼段會立即執行 Microsoft Defender 離線掃描，這會導致端點重新啟動、執行離機掃描，然後重新啟動並開機到 Windows。

wmic /namespace:\\root\Microsoft\Windows\Defender path MSFT_MpWDOScan call Start

如需詳細資訊，請參閱 Windows Defender WMIv2 API。

在 Windows 7 Service Pack 1 和 Windows 8.1 中：

1. 下載 Windows Defender 離線，並使用下列連結將它安裝到CD、DVD或USB快閃磁碟驅動器：

   • 下載 64 位版本 (msstool64.exe)
   • 下載32位版本 (msstool32.exe)

   如果您不確定要下載哪個版本，請參閱 我的計算機是否執行 32 位或 64 位版本的 Windows？。

2. 若要開始使用，請尋找具有至少 250 MB 可用空間的空白 CD、DVD 或 USB 快閃磁碟驅動器，然後執行此工具。 系統會引導您完成建立抽取式媒體的步驟。

   提示

   建議您在下載 Windows Defender Offline 時執行下列動作：

   • 下載 Windows Defender 離線，並在未受惡意代碼感染的電腦上建立CD、DVD或USB快閃磁碟驅動器，因為惡意代碼可能會干擾媒體建立。
   • 如果您使用 USB 磁碟驅動器，磁碟驅動器將會重新格式化，且其上的任何數據都會被清除。 請務必先從磁碟驅動器備份任何重要數據。

   

3. 掃描您的電腦是否有病毒和其他惡意代碼。

   1. 建立 USB 磁碟驅動器、CD 或 DVD 之後，請從目前的電腦中移除它，並將其移至您要掃描的電腦。 將USB磁碟驅動器或磁碟驅動器插入另一部電腦，然後重新啟動電腦。

   2. 從 USB 磁碟驅動器、CD 或 DVD 開機以執行掃描。 根據計算機的設定，它可能會在您重新啟動之後自動從媒體開機，或者您可能必須按下按鍵，才能輸入「開機裝置」功能表，或修改電腦 UEFI 韌體或 BIOS 中的開機順序。

   3. 開機裝置之後，您會看到 Microsoft Defender 工具，該工具會自動掃描您的計算機並移除惡意代碼。

   4. 掃描完成並完成此工具之後，您可以重新啟動計算機，並移除 Microsoft Defender 離線媒體以重新開機回到 Windows。

4. 拿掉從您的電腦找到的任何惡意代碼。

   如果您在執行離線掃描時遇到藍色畫面上的停止錯誤，請重新啟動裝置，然後再次嘗試執行 Microsoft Defender 離線掃描。 如果再次發生藍屏錯誤，請連絡 Microsoft 支援服務。

哪裡可以找到掃描結果？

若要查看 Microsoft Defender 離線掃描會產生 Windows 10和 Windows 11：

1. 選取 [開始]，然後選取 [設定>更新 & 安全>性 Windows 安全性>病毒 & 威脅防護]。

2. 在 [ 病毒 & 威脅防護 ] 畫面的 [ 目前威脅] 底下，選取 [ 掃描選項]，然後選取 [ 保護歷程記錄]。 如需詳細資訊，請參閱檢閱 Windows 安全性 應用程式中的威脅偵測歷程記錄。

如何找出 Microsoft Defender 離線掃描是否已啟動？

在 事件檢視器 中，移至應用程式和服務記錄 > Microsoft > Windows > Windows Defender > 作業。 你會知道的：

• 記錄檔名稱：Microsoft-Windows-Windows Defender/Operational
• 來源：Microsoft-Windows-Windows Defender
• 事件標識碼：2030
• 層級：資訊
• 描述：Microsoft Defender 防病毒軟體下載並設定 Microsoft Defender 防病毒軟體 (脫機掃描) 在下次重新啟動時執行。

在 2004 年 Windows 10 版以外的舊版上，您會看到：

Windows Defender Windows Defender 離線下載並設定防病毒軟體，以在下次重新啟動時執行。

• 記錄檔名稱： Microsoft-Windows-Windows Defender/Operational
• 源： Microsoft-Windows-Windows Defender
• 事件識別碼： 5007
• 水準： Information
• 描述： Microsoft Defender Antivirus Configuration has changed. If this is an unexpected event, you should review the settings as this may be the result of malware.
• 舊值： N/A\Scan\OfflineScanRun =
• 新值： HKLM\SOFTWARE\Microsoft\Windows Defender\Scan\OfflineScanRun = 0x0

相關文章

• 自定義、起始及檢閱掃描和補救的結果
• Windows 10 中的 Microsoft Defender 防毒軟體

提示

如果您在尋找其他平台適用的防毒軟體相關資訊，請參閱：

• 設定 macOS 上適用於端點的 Microsoft Defender 的喜好設定
• macOS 上適用於端點的 Microsoft Defender
• 適用於 Intune 版 Microsoft Defender 防毒軟體 的 macOS 防毒軟體原則設定
• 為 Linux 上適用於端點的 Microsoft Defender 設定喜好設定
• Linux 上適用於端點的 Microsoft Defender
• 設定 Android 上適用於端點的 Microsoft Defender 功能
• 設定 iOS 上適用於端點的 Microsoft Defender 功能

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群：適用於端點的 Microsoft Defender 技術社群。