Lors d’une analyse Microsoft Defender Offline, l’affichage reste parfois bloqué vers 91 % puis le PC redémarre. Ce guide explique pourquoi c’est généralement normal, comment le prouver via les journaux, et les actions concrètes pour éliminer toute menace résiduelle.
Blocage apparent de Microsoft Defender Offline à 91 %
Problème
Pendant un scan hors ligne (Windows 10/11), l’interface affiche ~91 % après l’analyse d’environ 50 000 fichiers, puis la machine redémarre. Cette séquence peut laisser croire que l’analyse s’est interrompue et que les menaces n’ont pas été traitées.
Solutions et explications
| Étape | Action | Pourquoi / Résultat attendu |
|---|---|---|
| 1 | Vérifier le journal de l’analyse Explorateur → C:\ProgramData\Microsoft\Windows Defender\Support\ (ou C:\Windows\Microsoft Antimalware\Support\) → ouvrir MPLog-…txt.Ou Observateur d’évènements → Journaux d’applications et de services → Microsoft‑Windows‑Windows Defender/Operational. | Le pourcentage affiché pendant l’Offline n’est pas fiable. Le journal confirme généralement que l’analyse s’est bien terminée (100 %) et qu’un redémarrage a été demandé pour neutraliser/mettre en quarantaine. |
| 2 | Mettre à jour Defender avant de lancer l’Offline Paramètres → Windows Update → Mises à jour des définitions (ou via PowerShell : Update-MpSignature). | Des signatures obsolètes peuvent provoquer une fin de tâche anticipée de l’environnement hors ligne. Avec des définitions à jour, l’engine prend les bonnes décisions de remédiation. |
| 3 | Exécuter un scan complet en ligne après le redémarrage Windows Security → Protection contre les virus et menaces → Options d’analyse → Analyse complète. | Vérifie qu’aucune menace résiduelle n’est présente et confirme la remédiation effectuée durant l’Offline. |
| 4 | Supprimer/agir sur les menaces restantes Protection contre les menaces → Historique de protection → Actions à entreprendre → Agir / Supprimer. | Si des éléments restent « Actifs », forcez la suppression ou l’isolation. L’historique vous indique l’ID de menace, l’heure et le chemin. |
| 5 | Contrôles système complémentaires (optionnel) Ouvrir PowerShell (admin) puis exécuter : sfc /scannowDISM /Online /Cleanup-Image /RestoreHealth | Répare d’éventuels fichiers système corrompus qui peuvent perturber l’environnement d’amorçage utilisé par Defender Offline. |
Informations complémentaires utiles
- Durée normale : la progression peut rester immobile plusieurs minutes, surtout vers la fin (analyse MBR/GPT, secteurs de démarrage, archives compressées).
- Redémarrage automatique : l’environnement Offline redémarre dès que la remédiation est déclenchée. Ce comportement est attendu et ne signifie pas un crash.
- Taille/occupation du disque : sur SSD très remplis (> 80 %), l’Offline peut abréger certaines passes pour des raisons de temps. Libérez de l’espace si possible.
- Alternative de secours : en cas d’alertes persistantes, utilisez Microsoft Safety Scanner ou un support de démarrage d’un autre éditeur (ESET, Kaspersky Rescue Disk) pour un contrôle croisé.
Pourquoi l’« arrêt » à 91 % n’est presque jamais un plantage
Microsoft Defender Offline s’exécute dans un environnement minimal (Windows RE) où la barre de progression n’est qu’un indicateur approximatif. Les dernières étapes effectuent des opérations « atomiques » (vérification des zones amorces, décompression et réanalyse d’archives, nettoyage final), qui ne mettent pas toujours à jour l’UI en temps réel. Une fois le nettoyage engagé, l’environnement déclenche un redémarrage contrôlé. C’est précisément parce que l’analyse est arrivée au bout que le redémarrage survient.
En clair : 91 % affiché ≠ 91 % réel. Le seul arbitre fiable est le journal (MPLog et/ou Observateur d’évènements).
Procédure détaillée : vérifier noir sur blanc que l’analyse est allée au bout
Afficher et lire le MPLog
- Activez l’affichage des fichiers cachés puis ouvrez :
C:\ProgramData\Microsoft\Windows Defender\Support\(ouC:\Windows\Microsoft Antimalware\Support\selon version). - Trouvez le fichier
MPLog-*.logouMPLog-*.txtcorrespondant à l’horodatage du scan Offline. - Recherchez dans le fichier des lignes similaires à :
[Offline Scan] Starting engine: ... Signatures: 1.409.#####
Scan started: FullScan (Offline)
Files scanned: 52384
Threats found: 1
Action: Quarantine
Result: Successfully remediated
Reboot required: Yes
Scan elapsed time: 00:42:31
Scan completed: 100%
Les libellés peuvent varier, mais vous devez retrouver : type d’analyse, nombre d’éléments analysés, menaces détectées, action, résultat, redémarrage requis, état 100 %.
Confirmer via l’Observateur d’évènements
- Ouvrez Observateur d’évènements (
eventvwr.msc). - Parcourez : Journaux d’applications et de services → Microsoft → Windows → Windows Defender → Operational.
- Filtrez sur Information et Avertissement. Recherchez des événements qui indiquent la fin d’analyse et/ou la remédiation (mots‑clés : Scan Finished, Threat Remediated, Reboot Initiated).
Mettre à jour les signatures avant l’Offline
Mieux vaut lancer l’Offline avec des signatures fraîches. Deux méthodes simples :
- Par l’interface : Paramètres → Windows Update → Rechercher des mises à jour → Mises à jour des définitions.
- Par commandes (admin) :
PowerShell Update-MpSignature # ou en ligne de commande : "%ProgramFiles%\Windows Defender\MpCmdRun.exe" -SignatureUpdate
Astuce : si les mises à jour restent en échec, redémarrez le service Windows Update, puis réessayez. Évitez les nettoyages « agressifs » du cache de définitions si vous n’êtes pas certain de l’impact.
Après le redémarrage : double vérification en ligne
Un scan complet en ligne permet d’attester qu’il n’y a plus de résidus et que les points de restauration, archives et chemins utilisateurs sont sains.
PowerShell (admin)
Start-MpScan -ScanType FullScan
# Ligne de commande :
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -Scan -ScanType 2
Puis ouvrez Historique de protection pour agir sur les éléments encore signalés (supprimer, restaurer, autoriser si faux positif, etc.).
Commandes utiles pour les contrôles système
Ces commandes réparent les composants Windows et l’image système si nécessaire :
PowerShell (admin)
sfc /scannow
DISM /Online /Cleanup-Image /RestoreHealth
Attendez le message de réussite et redémarrez si des corrections ont été appliquées.
Lancer proprement un scan Offline
Deux approches fiables pour démarrer Microsoft Defender Offline :
- Depuis l’interface : Windows Security → Protection contre les virus et menaces → Options d’analyse → Analyse Microsoft Defender Offline → Analyser maintenant.
- Depuis PowerShell (admin) :
Start-MpWDOScan
Si BitLocker est activé, notez votre clé de récupération avant de redémarrer au cas où l’environnement de pré‑démarrage la demanderait.
Comprendre les derniers pourcents
- Analyse des zones d’amorçage (MBR/GPT) : opérations lentes, sensibles et peu « verboses » dans l’interface.
- Ré‑examen des archives : certains fichiers compressés sont ouverts, extraits en mémoire et rescannés.
- Décisions de remédiation : quarantaine, suppression, réparation, journalisation – l’UI peut rester figée.
- Redémarrage automatique : déclenché quand l’action nécessite de déverrouiller des fichiers système.
Causes fréquentes quand un doute persiste
| Symptôme | Cause probable | Action recommandée |
|---|---|---|
| 91 % affiché indéfiniment, puis reboot | Indicateur non linéaire, nettoyage en cours | Vérifier MPLog et Event Viewer ; effectuer un scan complet en ligne |
| Aucune menace supprimée, alertes récurrentes | Définitions anciennes, faux positif, chargeur persistant | Mettre à jour signatures ; supprimer depuis l’Historique ; second avis avec Safety Scanner |
| Échec de l’Offline au démarrage | Fichiers système altérés, pilotes disk chiffrés | sfc + DISM, vérifier BitLocker/clé de récupération, réessayer |
| Analyse « trop courte » sur SSD plein | Optimisation de durée/ressources | Libérer de l’espace (> 20 % libre), relancer l’analyse |
Checklist express
- Lancer les mises à jour de signatures.
- Démarrer Microsoft Defender Offline (UI ou
Start-MpWDOScan). - Au redémarrage, lire le MPLog et/ou l’Observateur d’évènements.
- Exécuter un scan complet en ligne.
- Traiter les éléments dans Historique de protection.
- Optionnel :
sfcpuisDISM.
Scénarios avancés et cas particuliers
BitLocker / chiffrement
Sur des volumes chiffrés, l’environnement Offline peut nécessiter la clé de récupération. Assurez‑vous de l’avoir sous la main avant l’opération. Après l’Offline, vérifiez que tous les volumes montés ont été scannés lors du passage « en ligne ».
Plusieurs disques ou partitions
Si vos données sont réparties sur plusieurs volumes, l’Offline cible les volumes système et critiques en priorité. D’où l’intérêt du scan complet en ligne ensuite, qui parcourra les emplacements utilisateur (profils, archives, disques externes).
WSL/VM
Les disques virtuels (VHD/VHDX) et distributions WSL ne sont pas toujours entièrement analysés en Offline. Montez‑les puis faites un scan complet en ligne une fois la session démarrée.
Nettoyage des reliquats (avec prudence)
Les répertoires de quarantaine et de définitions se trouvent notamment ici :
C:\ProgramData\Microsoft\Windows Defender\Quarantine\C:\ProgramData\Microsoft\Windows Defender\Definition Updates\
Ne supprimez pas manuellement ces dossiers sauf procédure précise. Utilisez l’Historique de protection pour purger en toute sécurité.
FAQ
Le scan s’est « arrêté » à 91 % pendant 10 minutes. Normal ?
Oui. Les dernières étapes sont verbeuses en journal mais peu bavardes à l’écran. Lisez le MPLog : vous verrez la fin à 100 % et l’ordre de redémarrage.
Combien de temps dure un Offline ?
De quelques dizaines de minutes à plusieurs heures selon la taille des disques, le nombre d’archives et les performances du support.
Puis‑je lancer l’Offline en ligne de commande ?
Oui, via PowerShell (admin) : Start-MpWDOScan.
Que faire si l’Historique signale une menace « Active » après redémarrage ?
Lancez l’action Supprimer depuis l’Historique, refaites un scan complet en ligne, puis contrôlez le MPLog. Si l’alerte persiste, envisagez un second avis (Safety Scanner, média de secours d’un autre éditeur).
Bonnes pratiques pour éviter les faux blocages
- Maintenez les signatures et Windows à jour.
- Gardez au moins 20 % d’espace libre sur le SSD système.
- Planifiez un scan complet après chaque Offline.
- Évitez les outils de « nettoyage » qui manipulent agressivement les dossiers de Defender.
- Conservez une clé BitLocker accessible.
Exemple d’analyse de journal : décoder les lignes clés
| Extrait MPLog | Ce que cela signifie |
|---|---|
Engine version: 1.x.xxxx.x | Version du moteur antivirus utilisée pendant le scan Offline. |
Signature version: 1.###.#####.0 | Numéro de définitions ; confirme qu’elles étaient à jour. |
Scan type: FullScan (Offline) | Vérifie que vous avez bien exécuté l’Offline complet. |
Threat {ID} Action: Quarantine/Delete | Action de remédiation appliquée à la menace identifiée. |
Scan Completed: Success (100%) | Point de vérité : l’analyse est terminée. |
Reboot required: Yes | L’environnement Offline a déclenché un redémarrage contrôlé. |
Résumé
Le « blocage » à 91 % de Microsoft Defender Offline est un effet d’affichage. Dans l’immense majorité des cas, l’analyse se termine à 100 % puis redémarre pour finaliser le nettoyage. La démarche fiable consiste à lire le MPLog (et/ou l’Observateur d’évènements), mettre à jour les signatures avant l’Offline et enchaîner par un scan complet en ligne. Si une alerte persiste, agissez via l’Historique puis, si besoin, croisez avec un outil de secours. En procédant ainsi, vous éliminez les doutes et restaurez un système sain, sans faux positifs ni menaces résiduelles.
Annexe : commandes et scripts prêts à l’emploi
Mise à jour, scans et Offline
:: CMD (admin)
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -SignatureUpdate
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -Scan -ScanType 1 :: Quick
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -Scan -ScanType 2 :: Full
:: PowerShell (admin)
Update-MpSignature
Start-MpScan -ScanType FullScan
Start-MpWDOScan # lance Microsoft Defender Offline
Réparations système
:: CMD/PowerShell (admin)
sfc /scannow
DISM /Online /Cleanup-Image /RestoreHealth
Où trouver les journaux
C:\ProgramData\Microsoft\Windows Defender\Support\MPLog-*.log
C:\Windows\Microsoft Antimalware\Support\MPLog-*.log
Event Viewer → Journaux d’applications et de services → Microsoft‑Windows‑Windows Defender/Operational
En conclusion
Si vous observez un « 91 % figé » suivi d’un redémarrage, ne tirez pas de conclusions hâtives. Fiez‑vous aux journaux : ils attestent d’une analyse terminée et d’une remédiation appliquée. Avec les vérifications et bonnes pratiques ci‑dessus, vous disposez d’une procédure reproductible et efficace pour sécuriser durablement votre poste Windows 10/11.