Megosztás a következőn keresztül:

Egy Microsoft Defender offline vizsgálat futtatása és eredményeinek áttekintése

  • Cikk

Érintett szolgáltatás:

A következőkre vonatkozik: Típus
Platform A Windows
Védelem típusa Hardver
Belső vezérlőprogram/ Rootkit Operációs rendszer
Illesztőprogram
Memória (halom)
Alkalmazás
Identitás
Felhő

[MEGJEGYZÉS] Ennek a funkciónak a védelme a belső vezérlőprogramra/rootkitre összpontosít.

Microsoft Defender Offline egy kártevőirtó ellenőrző eszköz, amellyel megbízható környezetből indíthat és futtathat vizsgálatot. A vizsgálat a normál Windows-kernelen kívülről fut, így olyan kártevőket célozhat meg, amelyek megpróbálják megkerülni a Windows rendszerhéjat, például a fő rendszerindítási rekordot (MBR) megfertőző vagy felülíró vírusokat és rootkiteket.

A Microsoft Defender offline vizsgálat akkor használható, ha kártevő-fertőzésre gyanakszik, vagy ha egy kártevő kitörése után meg szeretné erősíteni a végpont alapos tisztítását.

Előfeltételek és követelmények

A Windows Microsoft Defender offline vizsgálatának hardverkövetelményei a következők:

  • x64 Windows 11
  • x64/x86 Windows 10
  • x64/x86 Windows 8.1
  • x64/x86 Windows 7 Service Pack 1

Figyelem!

Microsoft Defender offline vizsgálat nem vonatkozik a következőre:

  • ARM-Windows 11
  • ARM-Windows 10
  • Windows Server készletmegőrzési egységek (termékváltozatok)

A Windows 10 és Windows 11 követelményeiről az alábbi cikkekben talál további információt:

offline frissítések Microsoft Defender

Microsoft Defender offline vizsgálat frissítésének fogadása:

Megjegyzés:

Ha a WinRE le van tiltva, a Windows Defender offline vizsgálat nem fut, és nem jelennek meg hibaüzenetek. Semmi sem történik, még akkor sem, ha a gépet manuálisan indítják újra. A probléma megoldásához csak engedélyeznie kell a WinRE-t.

  • A WinRE állapotának ellenőrzéséhez futtassa a következő parancssort: reagentc /info.
  • Ha az állapot Le van tiltva, a következő parancssor végrehajtásával engedélyezheti: reagentc /enable.

Használati forgatókönyvek

Microsoft Defender offline vizsgálat futtatásának szükségessége:

Ha Microsoft Defender víruskereső úgy dönt, hogy offline Microsoft Defender kell futtatnia, a rendszer kéri a felhasználót az eszközön. A kérés az alábbihoz hasonló értesítésen keresztül történhet:

Értesítés az offline Microsoft Defender futtatásáról

A felhasználó az Microsoft Defender víruskereső ügyfélen belül is értesítést kap. Ha Intune használ az eszközök kezeléséhez, az értesítés megjelenik a Intune.

  • Manuálisan kényszerítheti a beépített Windows 10, az 1607-es vagy újabb verziójú és Windows 11 offline vizsgálatot. Vagy egy rendszerindító adathordozón ellenőrizheti a régebbi Windows operációs rendszereket az itt leírtak szerint.

A Configuration Manager a végpontok állapotának azonosításához lépjen a Figyelés > áttekintése > Biztonsági > végpontvédelem állapota > System Center Endpoint Protection Állapot szakaszra.

Microsoft Defender Offline vizsgálatok a Kártevők szervizelése állapot alatt offline vizsgálat szükségesként jelennek meg.

Az offline Microsoft Defender vizsgálatának jelzője

Értesítések konfigurálása

Microsoft Defender Offline értesítések ugyanabban a házirend-beállításban vannak konfigurálva, mint a többi Microsoft Defender víruskereső értesítés.

A Windows Defender értesítéseiről további információt a Végpontokon megjelenő értesítések konfigurálása című témakörben talál.

Vizsgálat futtatása

Fontos

Az offline vizsgálat Microsoft Defender használata előtt mindenképpen mentse a fájlokat, és állítsa le a futó programokat. Az Microsoft Defender offline vizsgálat futtatása körülbelül 15 percet vesz igénybe. A vizsgálat befejezésekor újraindítja a végpontot. A vizsgálat a szokásos Windows operációs környezeten kívül történik. A felhasználói felület a Windows Defender által végzett normál vizsgálattól eltérően jelenik meg. A vizsgálat befejezése után a végpont újraindul, és a Windows a szokásos módon töltődik be.

Az alábbi módszerekkel futtathat Microsoft Defender offline vizsgálatot:

  • Az Windows biztonság alkalmazás
  • PowerShell-
  • Windows Management Instrumentation (WMI)

Offline vizsgálat futtatása a Windows Defender Security alkalmazással

A Windows 10, az 1607-es vagy újabb verziótól és Windows 11 kezdve Microsoft Defender offline vizsgálat egyetlen kattintással futtatható közvetlenül a Windows biztonság alkalmazásból. A Windows korábbi verzióiban a felhasználónak telepítenie kellett Microsoft Defender offline vizsgálatot a rendszerindító adathordozóra, újra kellett indítania a végpontot, és be kellett töltenie a rendszerindító adathordozót.

Megjegyzés:

Az Windows 10 1607-es verziójában az offline vizsgálat futtatható a Windows Beállítások > frissítése & biztonsági > Windows Defender vagy az Windows Defender-ügyfélről.

  1. Windows-eszközén nyissa meg a Windows biztonság alkalmazást, majd a Vizsgálati beállítások parancsot.

  2. Válassza a választógombot Microsoft Defender Offline vizsgálat, majd a Vizsgálat most lehetőséget.

    A folyamat a következőtől C:\ProgramData\Microsoft\Windows Defender\Offline Scannerkezdődik: .

  3. A folytatás előtt egy üzenet jelenik meg, amely a következő képhez hasonlóan menti a munkáját:

    Képernyőkép a folytatás előtt az összes munka mentésére vonatkozó képernyőfelvételről.

    Miután mentette a munkáját, válassza a Vizsgálat lehetőséget.

  4. A Vizsgálat lehetőség kiválasztása után egy újabb kérést kap, amely engedélyt kér az eszköz módosítására, az alábbi képen láthatóhoz hasonlóan:

    Képernyőkép egy képernyőfelvételről, amely engedélyt kér az alkalmazáshoz.

    Válassza az Igen lehetőséget.

  5. Megjelenik egy másik üzenet, amely tájékoztatja, hogy kijelentkeztetjük, és a Windows kevesebb mint egy perc alatt leáll, az alábbi képen láthatóhoz hasonlóan:

    Képernyőkép a kijelentkezésről tájékoztató képernyő-üzenetről.

  6. Láthatja, hogy a Microsoft Defender víruskereső vizsgálata (offline vizsgálat) folyamatban van.

    Képernyőkép a Microsoft Defender víruskereső vizsgálatáról.

    A következő kép jelenik meg:

    Képernyőkép egy párbeszédről, amikor a futtatás folyamatban van.

Offline vizsgálat futtatása PowerShell-parancsmagokkal

Használja a következő parancsmagokat:

Start-MpWDOScan

A PowerShell Microsoft Defender Víruskeresővel való használatáról további információt a Microsoft Defender Víruskereső és Defender víruskereső parancsmagokkonfigurálása és futtatása PowerShell-parancsmagok használatával című témakörben talál.

Kapcsolat nélküli vizsgálat futtatása a Windows felügyeleti utasítással (WMI)

Offline vizsgálat futtatásához használja a MSFT_MpWDOScan osztályt.

A következő WMI-szkriptrészlet azonnal lefuttat egy Microsoft Defender offline vizsgálatot, amely a végpont újraindítását, az offline vizsgálat futtatását, majd az újraindítást és a windowsos rendszerindítást eredményezi.

wmic /namespace:\\root\Microsoft\Windows\Defender path MSFT_MpWDOScan call Start

További információ: WINDOWS DEFENDER WMIv2 API-k.

Windows 7 Service Pack 1 és Windows 8.1 rendszerben:

  1. Töltse le Windows Defender offline állapotba, és telepítse CD-re, DVD-re vagy USB flash meghajtóra az alábbi hivatkozásokra kattintva:

    Ha nem biztos abban, hogy melyik verziót kell letöltenie, olvassa el a Windows 32 bites vagy 64 bites verzióját futtató számítógépem? című témakört.

  2. Elsőként keressen egy legalább 250 MB szabad tárterülettel rendelkező üres CD-t, DVD-t vagy USB flash meghajtót, majd futtassa az eszközt. A rendszer végigvezeti a cserélhető adathordozó létrehozásának lépésein.

    Tipp

    Az offline Windows Defender letöltésekor a következőket javasoljuk:

    • Töltse le Windows Defender offline állapotba, és hozza létre a CD-t, DVD-t vagy USB flash meghajtót egy olyan számítógépen, amely nem fertőzött kártevővel, mivel a kártevők zavarhatják az adathordozó létrehozását.
    • HA USB-meghajtót használ, a meghajtó újra lesz formázva, és a rajta lévő adatok törlődnek. Először győződjön meg arról, hogy biztonsági másolatot készít a fontos adatokról a meghajtóról.

    Képernyőkép egy pc-s vizsgálathoz használható párbeszédről.

  3. Vírusokat és egyéb kártevőket keres a számítógépen.

    1. Miután létrehozta az USB-meghajtót, a CD-t vagy a DVD-t, távolítsa el az aktuális számítógépről, és vigye a beolvasni kívánt számítógépre. Helyezze be az USB-meghajtót vagy -lemezt a másik számítógépre, és indítsa újra a számítógépet.

    2. A vizsgálat futtatásához indítsa el az usb-meghajtóról, CD-ről vagy DVD-ről. A számítógép beállításaitól függően előfordulhat, hogy az újraindítás után automatikusan elindul az adathordozóról, vagy egy billentyű lenyomásával be kell írnia a "rendszerindító eszközök" menüt, vagy módosítania kell a rendszerindítási sorrendet a számítógép UEFI belső vezérlőprogramjában vagy BIOS-ban.

    3. Az eszköz elindítása után megjelenik egy Microsoft Defender eszköz, amely automatikusan megvizsgálja a számítógépet, és eltávolítja a kártevőket.

    4. Miután a vizsgálat befejeződött, és végzett az eszközzel, újraindíthatja a számítógépet, és eltávolíthatja a Microsoft Defender offline adathordozót, hogy újrainduljon a Windowsba.

  4. Távolítsa el a számítógépről talált kártevőket.

    Ha kék képernyőn leállítási hibát tapasztal az offline vizsgálat futtatásakor, indítsa újra az eszközt, és próbálkozzon újra egy Microsoft Defender offline vizsgálat futtatásával. Ha a kék képernyős hiba ismét előfordul, lépjen kapcsolatba Microsoft ügyfélszolgálata.

Hol találom a vizsgálati eredményeket?

Az Microsoft Defender offline vizsgálat eredményeinek megtekintése Windows 10 és Windows 11:

  1. Válassza a Start gombot, majd válassza a Beállítások>Frissítés & Biztonság>Windows biztonság>Virus & veszélyforrások elleni védelem lehetőséget.

  2. A Vírus & veszélyforrások elleni védelem képernyő Aktuális fenyegetések területén válassza a Vizsgálati beállítások, majd a Védelmi előzmények lehetőséget. További információ: A fenyegetésészlelési előzmények áttekintése az Windows biztonság alkalmazásban.

Hogyan állapíthatom meg, hogy Microsoft Defender offline vizsgálat elindult-e?

A eseménymegtekintő lépjen az Alkalmazások és szolgáltatások naplói Microsoft Windows Windows Defender Operational (A Microsoft > Windows > Windows Defender > működési naplói>) elemre. A következőt fogja látni:

  • Napló neve: Microsoft-Windows-Windows Defender/Operational
  • Forrás: Microsoft-Windows-Windows Defender
  • Eseményazonosító: 2030
  • Szint: Információ
  • Leírás: Microsoft Defender víruskereső letöltötte és konfigurálta Microsoft Defender víruskeresőt (offline vizsgálat) a következő újraindításra.

A 2004-Windows 10-nél régebbi verziókban a következőt fogja látni:

Windows Defender víruskereső letöltötte és konfigurálta az offline Windows Defender, hogy a következő újraindításon fusson.

  • Napló neve: Microsoft-Windows-Windows Defender/Operational
  • Forrás: Microsoft-Windows-Windows Defender
  • Eseményazonosító: 5007
  • Szinten: Information
  • Leírás: Microsoft Defender Antivirus Configuration has changed. If this is an unexpected event, you should review the settings as this may be the result of malware.
  • Régi érték: N/A\Scan\OfflineScanRun =
  • Új érték: HKLM\SOFTWARE\Microsoft\Windows Defender\Scan\OfflineScanRun = 0x0

Tipp

Ha más platformokra vonatkozó, víruskeresővel kapcsolatos információkat keres, lásd:

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.