Ejecutar y revisar los resultados de un análisis de Microsoft Defender sin Conexión

Se aplica a:

Se aplica a Tipo
Plataforma Windows
Tipo de protección Hardware
Firmware/Rootkit Sistema operativo
Driver
Memoria (montón)
Aplicación
Identidad
Nube

Nota:

La protección de esta característica se centra en el Firmware/Rootkit.

Microsoft Defender Sin conexión es una herramienta de detección antimalware que le permite arrancar y ejecutar un examen desde un entorno de confianza. El examen se ejecuta fuera del kernel normal de Windows para que pueda dirigirse al malware que intenta omitir el shell de Windows, como virus y rootkits que infectan o sobrescriben el registro de arranque maestro (MBR).

Puede usar Microsoft Defender examen sin conexión si sospecha que hay una infección de malware o si desea confirmar una limpieza exhaustiva del punto de conexión después de un brote de malware.

Requisitos previos y requisitos

Los siguientes son los requisitos de hardware para Microsoft Defender examen sin conexión en Windows:

  • x64 Windows 11
  • x64/x86 Windows 10
  • x64/x86 Windows 8.1
  • x64/x86 Windows 7 Service Pack 1

Precaución

Microsoft Defender examen sin conexión no se aplica a:

  • ARM Windows 11
  • ARM Windows 10
  • Unidades de almacenamiento de existencias de Windows Server (SKU)

Para obtener más información sobre los requisitos de Windows 10 y Windows 11, consulte los artículos siguientes:

Microsoft Defender actualizaciones sin conexión

Para recibir Microsoft Defender actualizaciones del examen sin conexión:

Nota:

Si WinRE está deshabilitado, el examen sin conexión de Windows Defender no se ejecuta y no se muestran mensajes de error. No ocurre nada aunque la máquina se reinicie manualmente. Para corregir esto, solo tiene que habilitar WinRE.

  • Para comprobar el estado de WinRE, puede ejecutar esta línea de comandos: reagentc /info.
  • Si el estado es Deshabilitado, puede habilitarlo ejecutando esta línea de comandos: reagentc /enable.

Escenarios de uso

La necesidad de ejecutar Microsoft Defender examen sin conexión:

Si Microsoft Defender Antivirus determina que necesita ejecutar Microsoft Defender sin conexión, se lo pide al usuario en el dispositivo. El aviso puede producirse a través de una notificación, similar a la siguiente:

Notificación para ejecutar Microsoft Defender sin conexión

El usuario también recibe una notificación en el cliente Microsoft Defender Antivirus. Si usa Intune para administrar dispositivos, puede ver la notificación en Intune.

  • Puede forzar manualmente un examen sin conexión que esté integrado Windows 10, versión 1607 o posterior y Windows 11. O bien, puede examinar a través de un medio de arranque los sistemas operativos Windows más antiguos, como se describe aquí.

En Configuration Manager, puede identificar el estado de los puntos de conexión; para ello, vaya a Supervisión > Información general > Estado > de Endpoint > Protection System Center Endpoint Protection Estado.

Microsoft Defender los exámenes sin conexión se indican en Estado de corrección de malware como Examen sin conexión necesario.

Indicador de un examen de Microsoft Defender sin conexión

Configuración de notificaciones

Microsoft Defender las notificaciones sin conexión se configuran en la misma configuración de directiva que otras notificaciones Microsoft Defender Antivirus.

Para obtener más información sobre las notificaciones en Windows Defender, consulta Configurar las notificaciones que aparecen en los puntos de conexión.

Ejecutar un examen

Importante

Antes de usar Microsoft Defender examen sin conexión, asegúrese de guardar los archivos y apagar los programas en ejecución. El examen Microsoft Defender sin conexión tarda unos 15 minutos en ejecutarse. Reiniciará el punto de conexión cuando se complete el examen. El examen se realiza fuera del entorno operativo Habitual de Windows. La interfaz de usuario aparecerá diferente a un examen normal realizado por Windows Defender. Una vez completado el examen, se reiniciará el punto de conexión y Windows se cargará con normalidad.

Puede ejecutar un examen Microsoft Defender sin conexión con los métodos siguientes:

  • La aplicación Seguridad de Windows
  • PowerShell
  • Instrumental de administración de Windows (WMI)

Usar la aplicación seguridad de Windows Defender para ejecutar un examen sin conexión

A partir de Windows 10, versión 1607 o posterior y Windows 11, Microsoft Defender examen sin conexión se puede ejecutar con un solo clic directamente desde la aplicación Seguridad de Windows. En versiones anteriores de Windows, un usuario tenía que instalar Microsoft Defender examen sin conexión en medios de arranque, reiniciar el punto de conexión y cargar el medio de arranque.

Nota:

En Windows 10, versión 1607, el examen sin conexión se puede ejecutar desde Windows Settings > Update & seguridad > de Windows Defender o desde el cliente de Windows Defender.

  1. En el dispositivo Windows, abra la aplicación Seguridad de Windows y, a continuación, opciones de examen.

  2. Seleccione el botón de radio Microsoft Defender Examen sin conexión y seleccione Examinar ahora.

    El proceso comienza a partir de C:\ProgramData\Microsoft\Windows Defender\Offline Scanner.

  3. Obtendrá un mensaje para guardar el trabajo antes de continuar, de forma similar a la siguiente imagen:

    Captura de pantalla del mensaje de pantalla para guardar todo el trabajo antes de continuar.

    Después de guardar el trabajo, seleccione Examinar.

  4. Después de seleccionar Examinar, obtendrá otro mensaje que solicita su permiso para realizar cambios en el dispositivo, de forma similar a la siguiente imagen:

    Captura de pantalla de una solicitud de pantalla en la que se solicita permiso para aplicar.

    Haga clic en .

  5. Aparece otro mensaje que le informa de que se cerrará la sesión y que Windows se apagará en menos de un minuto, de forma similar a la siguiente imagen:

    Captura de pantalla de un mensaje de pantalla que informa sobre el cierre de sesión.

  6. Verá que el examen Microsoft Defender Antivirus (examen sin conexión) está en curso.

    Captura de pantalla del examen Microsoft Defender Antivirus.

    Verá la siguiente imagen:

    Captura de pantalla de un diálogo cuando la ejecución está en curso.

Uso de cmdlets de PowerShell para ejecutar un examen sin conexión

Use los siguientes cmdlets:

Start-MpWDOScan

Consulte Uso de cmdlets de PowerShell para configurar y ejecutar Microsoft Defender Antivirus y cmdlets de Antivirus de Defender para obtener más información sobre cómo usar PowerShell con Microsoft Defender Antivirus.

Uso de Instrucciones de administración de Windows (WMI) para ejecutar un examen sin conexión

Use la clase MSFT_MpWDOScan para ejecutar un examen sin conexión.

El siguiente fragmento de script WMI ejecutará inmediatamente un Microsoft Defender examen sin conexión, lo que hará que el punto de conexión se reinicie, ejecute el examen sin conexión y, a continuación, reinicie y arranque en Windows.

wmic /namespace:\\root\Microsoft\Windows\Defender path MSFT_MpWDOScan call Start

Para obtener más información, consulta API WMIv2 de Windows Defender.

En Windows 7 Service Pack 1 y Windows 8.1:

  1. Descargue Windows Defender sin conexión e instálelo en una unidad flash DE CD, DVD o USB mediante los vínculos siguientes:

    Si no estás seguro de qué versión descargar, consulta ¿Mi PC ejecuta la versión de 32 o 64 bits de Windows?.

  2. Para empezar, busque un CD, DVD o unidad flash USB en blanco con al menos 250 MB de espacio libre y, a continuación, ejecute la herramienta. Se le guiará por los pasos para crear los medios extraíbles.

    Sugerencia

    Se recomienda hacer lo siguiente al descargar Windows Defender sin conexión:

    • Descargue Windows Defender sin conexión y cree la unidad flash CD, DVD o USB en un equipo que no esté infectado con malware, ya que el malware puede interferir con la creación de medios.
    • Si usa una unidad USB, la unidad se volverá a formatear y se borrarán los datos de la unidad. Asegúrese de realizar primero una copia de seguridad de los datos importantes de la unidad.

    Captura de pantalla de un cuadro de diálogo para examinarlo en pc.

  3. Escanear su PC en busca de virus y otro malware.

    1. Una vez que haya creado la unidad USB, CD o DVD, quítelo del equipo actual y llévalo al equipo que quiera escanear. Inserte la unidad USB o el disco en el otro equipo y reinicie el equipo.

    2. Arranque desde la unidad USB, CD o DVD para ejecutar el examen. Dependiendo de la configuración del equipo, puede arrancar automáticamente desde el medio después de reiniciarlo, o es posible que tenga que presionar una tecla para entrar en un menú de "dispositivos de arranque" o modificar el orden de arranque en el firmware UEFI o BIOS del equipo.

    3. Después de arrancar el dispositivo, verá una herramienta de Microsoft Defender que examinará automáticamente el equipo y quitará el malware.

    4. Una vez completado el examen y haya terminado con la herramienta, puede reiniciar el equipo y quitar el Microsoft Defender medio sin conexión para arrancar de nuevo en Windows.

  4. Elimina cualquier malware que se encuentre en tu PC.

    Si experimenta un error Detención en una pantalla azul al ejecutar el examen sin conexión, reinicie el dispositivo e intente ejecutar un Microsoft Defender examen sin conexión de nuevo. Si vuelve a producirse el error de pantalla azul, póngase en contacto con Soporte técnico de Microsoft.

¿Dónde puedo encontrar los resultados del examen?

Para ver los resultados del examen Microsoft Defender sin conexión, Windows 10 y Windows 11:

  1. Seleccione Inicio y, a continuación, seleccione Configuración>Actualizar & Seguridad>Seguridad de Windows>Virus & protección contra amenazas.

  2. En la pantalla Protección contra amenazas de Virus & , en Amenazas actuales, seleccione Opciones de examen y, a continuación, seleccione Historial de protección. Para obtener más información, consulte Revisar el historial de detección de amenazas en la aplicación Seguridad de Windows.

¿Cómo puedo averiguar si se inició Microsoft Defender examen sin conexión?

En el Visor de eventos, vaya a Registros de aplicaciones y servicios > operativos de Microsoft > Windows > Defender>. Verá lo siguiente:

  • Nombre del registro: Microsoft-Windows-Windows Defender/Operational
  • Origen: Microsoft-Windows-Windows Defender
  • Identificador de evento: 2030
  • Nivel: Información
  • Descripción: Microsoft Defender Antivirus descargado y configurado Microsoft Defender Antivirus (examen sin conexión) para ejecutarse en el siguiente reinicio.

En versiones anteriores a Windows 10, 2004, verá lo siguiente:

Windows Antivirus de Defender descargó y configuró Windows Defender sin conexión para ejecutarse en el siguiente reinicio.

  • Nombre del registro: Microsoft-Windows-Windows Defender/Operational
  • Fuente: Microsoft-Windows-Windows Defender
  • Id. de evento: 5007
  • Nivel: Information
  • Descripción: Microsoft Defender Antivirus Configuration has changed. If this is an unexpected event, you should review the settings as this may be the result of malware.
  • Valor anterior: N/A\Scan\OfflineScanRun =
  • Nuevo valor: HKLM\SOFTWARE\Microsoft\Windows Defender\Scan\OfflineScanRun = 0x0

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.