Vérifier la réussite d’une analyse hors ligne Microsoft Defender sous Windows 11 Pro 24H2

Vous venez de lancer une « Analyse hors ligne Microsoft Defender » sur votre PC Windows 11 Pro 24H2 et, après le redémarrage, aucun rapport ne s’affiche ? Pas de panique ! Ce guide exhaustif vous montre comment confirmer, pas à pas, que l’analyse s’est bien déroulée, qu’elle est allée au terme du processus et qu’aucune menace n’a été détectée. Nous décortiquons les journaux, les codes d’état et les meilleures pratiques pour garantir la fiabilité de vos contrôles antivirus.

Pourquoi lancer une analyse hors ligne ?

L’analyse hors ligne (Offline Scan) de Microsoft Defender redémarre l’ordinateur dans un environnement de pré‑démarrage minimaliste basé sur Windows RE. Dès que le stockage est monté, le moteur antivirus scanne disque, registre et partitions système sans que les malwares n’aient la moindre chance de se dissimuler derrière des processus ou des services actifs. Cette approche est particulièrement efficace contre les rootkits, bootkits et malwares capables de désactiver Defender en session utilisateur.

Comment fonctionne Microsoft Defender Offline ?

Le processus se déroule en trois phases :

1. Préparation sous Windows « online » : validation de la version des définitions, création d’une partition RAMDisk temporaire, copie des binaires et génération des scripts d’initialisation.
2. Redémarrage et exécution hors ligne : lancement de l’environnement Windows Recovery, chargement du service MsMpEng OOBE, analyse des volumes montés, journalisation dans %windir%\Microsoft Antimalware\Support.
3. Retour au système hôte : nettoyage partiel des fichiers temporaires, extinction du service OOBE, retour au shell utilisateur.

Pré‑requis avant de démarrer l’analyse

• Exécuter la mise à jour des signatures DNS/MSSP : Update-MpSignature
• Fermer les applications critiques ; l’opération implique un redémarrage forcé.
• Sauvegarder le travail en cours.
• Être connecté sur un compte disposant de droits administrateur.

Lancer l’analyse hors ligne sous Windows 11 Pro 24H2

1. Ouvrez Windows Security  > Virus & threat protection.
2. Cliquez sur Scan options puis cochez Microsoft Defender Offline scan.
3. Sélectionnez Scan now ; un compte à rebours de 60 s démarre avant le redémarrage automatique.

Vérifier la réussite de l’analyse

Une fois de retour sur le Bureau, l’interface n’affiche aucun résultat explicite ; tout se joue dans les journaux. Le tableau récapitulatif ci‑dessous liste les points de contrôle essentiels.

Vérification	Emplacement / Commande	Indication de réussite
Fichier‑journal principal	C:\Windows\Microsoft Antimalware\Support\msssWrapper.log	Chaîne Offline scan completed with 0x00000000. Les détections éventuelles sont listées après.
Historique des menaces	Windows Security > Protection history	Entrées visibles seulement si des menaces ont été traitées. Aucune entrée = aucune détection.
PowerShell (Admin)	Get-MpThreatDetection	Sortie vide = zéro menace active ou archivée.
Observateur d’événements	Applications and Services Logs → Microsoft‑Windows‑Windows Defender/Operational	Évènement 1001 « Scan finished » avec ErrorCode 0.
Fichier secondaire (héritage)	C:\Windows\Microsoft Antimalware\Tmp\MpCmdRun.log	Souvent absent ou vide sous Windows 11 ; encore utilisé dans certains scénarios Windows 10.

Lecture pas à pas du fichier msssWrapper.log

Ouvrez le fichier avec Notepad ou Notepad++. Faites une recherche (Ctrl+F) sur la chaîne Offline scan started pour repérer le début du job. Poursuivez jusqu’à Offline scan completed.... Voici les principales lignes à surveiller :

[INFO]  Core  : Offline scan started, engine version 1.1.24070.1
[INFO]  Core  : Offline scan completed with 0x00000000
[INFO]  Summary: Scanned=315234, Detected=0, Remediated=0

Le code 0x00000000 indique un succès sans erreur. Tout code 0x8007XXXX ou 0xC0000XXX mérite une investigation (définitions corrompues, volume chiffré inaccessible, etc.).

Inspection de l’Observateur d’événements

Dans la vue Custom Views > Administrative Events, filtrez Event ID = 1001. Double‑cliquez sur l’évènement correspondant ; le champ Error Code reflète le même code que celui du log principal.

Interprétion des codes de retour

• 0x00000000 : Succès complet, aucune menace.
• 0x80070002 : Fichier introuvable (souvent les signatures) ; réexécutez Update-MpSignature.
• 0x80508019 : Timeout ou scan interrompu prématurément.
• 0x8007045B : Service déjà en cours ; un second scan a été lancé trop vite.

Que faire si une menace est détectée ?

1. Consultez la section Protection history ; chaque détection affiche la ThreatID, la sévérité et l’action appliquée (quarantaine, suppression, etc.).
2. Exécutez Start-MpScan -ScanType FullScan pour une seconde passe “en ligne”.
3. Éventuellement, démarrez en Safe Mode with Networking et utilisez MpCmdRun.exe -Restore si un faux positif a été isolé.
4. Actualisez vos sauvegardes ; un fichier infecté restauré depuis un NAS peut ré‑apparaître.

Troubleshooting : l’analyse ne laisse aucune trace

Il arrive que msssWrapper.log soit absent. Les causes les plus fréquentes sont :

• Le dossier Support a été effacé par un nettoyage disque ou un outil tiers.
• Le redémarrage a été interrompu (coupure de courant).
• Une solution tierce (e.g., EDR, chiffrage BitLocker) bloque l’écriture du log hors ligne.

Dans ce cas :

1. Validez que la partition système n’est pas chiffrée en Pre‑Boot Auth.
2. Désactivez temporairement la protection Tamper Protection si un conflit est suspecté, puis relancez l’analyse.
3. Contrôlez les journaux Event ID 103 (échec) dans l’Observateur.

Automatiser la vérification avec PowerShell

Le script suivant extrait automatiquement le dernier code d’état :

param(
    [string]$Log = "$Env:windir\Microsoft Antimalware\Support\msssWrapper.log"
)
if (Test-Path $Log) {
    $last = Get-Content $Log | Select-String "Offline scan completed" -SimpleMatch | Select -Last 1
    if ($last -match '0x[0-9A-F]+') {
        $code = $Matches[0]
        if ($code -eq '0x00000000') { Write-Host "Succès : aucune menace." }
        else { Write-Host "Attention : code de retour $code." }
    }
} else {
    Write-Warning "Log introuvable."
}

Bonnes pratiques d’archivage

• Copiez msssWrapper.log dans un dossier daté (C:\Logs\Defender\2025‑07‑09) après chaque scan.
• Activez l’Audit Object Access pour tracer toute suppression de log.
• Sur un parc d’entreprise, appuyez‑vous sur Microsoft Defender for Endpoint (MDE) : un évènement DeviceScanCompleted est automatiquement poussé vers le portail.

FAQ

L’analyse hors ligne met‑elle à jour la date du « Last scan » ?

Non. Le champ « Last scan » reflète uniquement les scans Quick ou Full exécutés en session. Microsoft prévoit d’unifier ce comportement mais, à ce jour, le scan Offline demeure invisible dans cette statistique.
Puis‑je lancer un Offline Scan via ligne de commande ?

Oui, exécutez PowerShell Start-MpWDOScan. Vous obtenez un retour immédiat ; le redémarrage suit dans la foulée.
Combien de temps dure un scan hors ligne ?

De 10 à 45 minutes selon le type de stockage, la taille du disque et le nombre de fichiers. Le journal indique la durée totale exact au milliseconde près (ScanTime=272540ms).

Conclusion

La clé pour confirmer la réussite d’une analyse hors ligne Microsoft Defender est de s’appuyer sur les journaux internes plutôt que sur l’interface graphique. En vérifiant systématiquement msssWrapper.log, l’Observateur d’événements et la cmdlet Get‑MpThreatDetection, vous obtenez une preuve irréfutable que l’analyse s’est bien déroulée et qu’aucun logiciel malveillant n’a franchi les mailles du filet. Ajoutez à cela l’archivage régulier des fichiers de log et vous disposerez d’une piste d’audit solide pour toutes vos exigences de conformité ou de forensique.