L'analyse hors ligne de Windows Defender est l'un des nouveaux paramètres ajoutés par la mise à jour anniversaire de Windows 10. Bien que Defender Offline soit déjà une fonctionnalité intégrée dans Windows 10 depuis les premières versions, l'option GUI n'est ajoutée dans la page Paramètres de Windows Defender qu'après avoir installé la mise à jour anniversaire (v1607).
De nos jours, les logiciels malveillants sont plus complexes qu'ils ne l'étaient il y a de nombreuses années. Ils fonctionnent au niveau du pilote de filtre, du service ou du rootkit et les éliminer est très difficile. Dans certains cas, vous devez démarrer dans l'environnement Windows RE (ou en utilisant un support de démarrage Linux), puis supprimer les principaux fichiers et services malveillants ajoutés dans votre installation Windows.
Windows Defender Offline gère cette situation en exécutant une analyse rapide avant même le chargement du système d'exploitation. Lorsque Windows Defender détecte un rootkit ou tout autre malware malveillant lorsque Windows est en cours d'exécution, il vous suggère d'exécuter une analyse hors ligne, affichant le message suivant ou similaire.
Nettoyage supplémentaire requis.Pour terminer le processus de nettoyage, votre PC doit être redémarré et nettoyé avec Windows Defender Offline. Cela prendra environ 15 minutes. Veuillez enregistrer tous vos fichiers avant de cliquer sur le bouton.
Lancer la numérisation «Windows Defender hors ligne» à l'aide des paramètres de Windows Defender
Ouvrez Paramètres (WinKey + i), cliquez sur Mise à jour et sécurité et sélectionnez Windows Defender.
Cliquez sur Numériser hors ligne. Il télécharge silencieusement un scanner hors ligne léger, redémarre le système et exécute une analyse avant de charger Windows.
L'image de numérisation hors ligne légère est d'environ ~ 2 Mo comprenant les fichiers suivants:
EppManifest.dll mpasdesc.dll MpClient.dll MpCmdRun.exe MpCommu.dll MpSvc.dll MpTpmAtt.dll MsMpCom.dll MsMpEng.exe MsMpLics.dll MsMpRes.dll msseces.exe OfflineScannerShell.exe EN-US\MpSwpHelp.RTF EN-US\MsMpRes.dll.mui EN-US\offlinescannershell.exe.mui EN-US\EppManifest.dll.mui EN-US\EULA.RTF EN-US\mpasdesc.dll.mui
Vraisemblablement OfflineScannerShell.exe est celui qui alimente l'analyse dans Windows RE, y compris la tâche de localiser le système d'exploitation correct sur lequel l'analyse doit être exécutée. Il est entièrement automatisé et préconfiguré pour exécuter une analyse rapide en utilisant les définitions qui sont déjà dans le système.
Lancer l'analyse «Windows Defender hors ligne» à l'aide de PowerShell
Auparavant, l'analyse hors ligne de Windows Defender ne pouvait être lancée qu'à l'aide de l'applet de commande PowerShell suivante, ou si Windows Defender suggère automatiquement une analyse hors ligne lorsqu'il s'agit d'un malware complexe ou d'une infection par rootkit.
Pour démarrer l'analyse hors ligne de Windows Defender à l'aide de PowerShell, lancez PowerShell en tant qu'administrateur, puis exécutez la commande suivante:
Start-MpWDOScan
Appuyez sur Entrée. Le système redémarrera automatiquement dans une minute et effectuera une analyse rapide en mode hors ligne. Cependant, aucun paramètre n'est disponible pour le modifier en analyse complète.
Windows Defender hors ligne dans Windows 7 et Windows 8
Windows Defender Offline est désormais une fonctionnalité intégrée à Windows 10. Si vous utilisez Windows 7 ou 8, vous pouvez créer un support de démarrage Windows Defender Offline (lecteur USB ou CD / DVD) à l'aide de l'image numérisée que vous pouvez télécharger à partir du site Microsoft. . Consultez Aide à la protection de mon PC avec Windows Defender Offline - Aide de Windows pour télécharger l'image de numérisation de démarrage de Windows Defender Offline dans Windows 7 ou Windows 8. Assurez-vous de télécharger la version correcte (x86 vs x64) pour votre système.
Voir également Comment créer un support de démarrage hors ligne Windows Defender et exécuter une analyse.