Executar o Windows Defender Offline Scan é uma das formas mais eficazes de eliminar malware persistente, mas o reinício silencioso que sucede ao exame deixa muitos usuários sem saber se tudo correu bem. Este guia detalha como confirmar que a verificação concluiu sem encontrar ameaças no Windows 11 e garante que você saiba onde procurar qualquer registro de detecção.
Visão geral do problema
Ao iniciar a varredura offline, o Defender reinicia o computador, realiza a checagem em um ambiente isolado e então carrega o Windows normalmente. Quando não há ameaças:
- Não aparece notificação no Centro de Ações;
- O aplicativo Segurança do Windows > Proteção contra vírus e ameaças não exibe novas entradas em Histórico de proteção;
- O campo Última verificação permanece inalterado.
Essa falta de feedback é proposital (nem todo usuário deseja ler logs técnicos), mas pode gerar incertezas. Por isso, existem métodos precisos para confirmar o resultado.
Princípio “nenhuma notícia é boa notícia”
O Defender Offline registra alertas na interface apenas quando detecta e neutraliza algo. Portanto, a simples ausência de aviso já é, por si só, um bom indício de que nada foi encontrado. Ainda assim, para ter plena certeza — especialmente em ambientes corporativos ou ao lidar com incidentes críticos — consulte os registros descritos a seguir.
Verificando o msssWrapper.log
O arquivo de log mais confiável fica em:
C:\Windows\Microsoft Antimalware\Support\msssWrapper.logPasso a passo:
- Pressione Win + R, digite
notepade pressione Ctrl + Shift + Enter para abrir o Bloco de Notas como administrador. - Em Arquivo > Abrir, cole o caminho acima. Talvez seja necessário selecionar “Todos os Arquivos (*.*)” para que o Notepad enxergue o log.
- Role até o final e procure pela linha semelhante a:
Offline scan completed with 0x00000000Esse código — 0x00000000 — significa STATUS_SUCCESS. Se houver detecções, elas aparecem listadas imediatamente antes do resumo, contendo nome, hash e ação tomada (quarentena, remoção ou bloqueio).
Trecho de exemplo sem detecções
[00:12:34.567] Running offline scan...
[00:15:58.221] No threats detected.
Offline scan completed with 0x00000000Trecho de exemplo com detecção
[00:11:02.013] Threat Detected: Trojan:Win32/Contoso.A
Path: D:\Downloads\setup.exe
Action: Removed
Offline scan completed with 0x00000000Consultando via PowerShell
O módulo Defender do Windows oferece cmdlets úteis para auditoria rápida.
# Exibe ameaças em quarentena ou recentes
Get‑MpThreatDetection
Atualiza definições antes de nova varredura
Update‑MpSignatureObservações:
Get‑MpThreatDetectionnão retorna nada se o sistema estiver limpo.- Os resultados exibidos incluem apenas eventos que geraram log no Windows — e, pelo desenho do Offline Scan, isso só ocorre quando há realmente algo para reportar.
Outros locais de registro
| Arquivo / Origem | Relevância no Windows 11 | Quando usar |
|---|---|---|
C:\Windows\Microsoft Antimalware\Tmp\MpCmdRun.log | Muitas instalações não criam mais esse log | Ambientes legados ou upgrades do Win 10 |
| Visualizador de Eventos → Aplicativo e Serviços Microsoft > Windows > Windows Defender > Operational | Registra evento 1000 (início) e 1001 (fim) | Comprovar que o exame iniciou e terminou mesmo sem detecções |
| Task Scheduler → Microsoft > Windows > Windows Defender > Windows Defender Offline Scan | Exibe hora/fim da tarefa | Verificar se o gatilho foi executado corretamente |
Tabela de códigos comuns
Os códigos de término mais frequentes incluem:
| Código | Descrição | Significado prático |
|---|---|---|
0x00000000 | STATUS_SUCCESS | Varredura concluída, sem erro operacional |
0xC0000185 | STATUSIODEVICE_ERROR | Problema de leitura no disco ou mídia; verifique integridade do drive |
0x80508019 | Threats Remediated | Uma ou mais ameaças foram removidas; detalhes acima do resumo |
Boas práticas antes e depois da verificação offline
- Atualize as assinaturas: execute
Update‑MpSignatureou verifique o Windows Update; isso maximiza a chance de detectar ameaças recentes. - Faça também um Full Scan online: ele roda com o sistema carregado e cobre arquivos que não existiam no boot, oferecendo segunda camada de segurança.
- Monitore erros persistentes: códigos diferentes de
0x00000000podem indicar falta de espaço, corrupção de arquivos ou mídia removível defeituosa. - Use SFC/DISM: se o log apontar erro de integridade, abra um terminal administrativo e rode
sfc /scannow
seguido deDism /Online /Cleanup-Image /RestoreHealth. - Conserve os logs: arquive o
msssWrapper.logem repositório seguro para auditoria futura, principalmente em ambientes empresariais ou de conformidade.
Solução de problemas
O sistema reinicia, mas nenhum log é criado
Se msssWrapper.log não for atualizado:
- Abra o Gerenciador de Tarefas > Inicializar e confirme se não há softwares de segurança de terceiros bloqueando o Defender.
- Execute
bcdedit /enumem Prompt de Comando admin e verifique se há políticas de inicialização que desativem drivers do Microsoft Defender early boot. - Verifique o Visualizador de Eventos em System por falhas de disco (ID 7 ou 51) que possam ter impedido a escrita do log.
A verificação trava em certa porcentagem
Em raros casos, o Offline Scan pode congelar — geralmente devido a setores defeituosos.
- Execute
chkdsk /scan /perfpara checar a unidade. - Se for SSD NVMe, confirme BIOS/firmware atualizados. Erros de Timeout no Event Log podem indicar incompatibilidade de driver.
Não consigo abrir o log em modo gráfico
Caso o arquivo ultrapasse alguns MB, ferramentas como Notepad podem demorar a carregar. Use:
Get-Content "C:\Windows\Microsoft Antimalware\Support\msssWrapper.log" -Tail 100para ler apenas as últimas 100 linhas, onde o resumo aparece.
Fluxo recomendado em caso de suspeita de infecção
- Atualize assinaturas (
Update‑MpSignatureou Windows Update). - Execute Full Scan online e tome nota de detecções.
- Execute Offline Scan.
- Assim que o Windows carregar, abra o log
msssWrapper.log; confirme0x00000000. - Compare com
Get‑MpThreatDetection. Se nada aparecer, mas os sintomas persistirem, utilize ferramentas externas (Microsoft Safety Scanner, MRT, ou soluções de terceiros reputadas) antes de considerar reinstalação.
Perguntas frequentes
O Offline Scan atualiza definições automaticamente?
Não. Ele usa a assinatura presente quando você clicou em Verificação offline. Sempre atualize antes.
A varredura offline substitui um antivírus de terceiros?
Não. Ela atua somente no momento da inicialização e não oferece proteção em tempo real. Para usuários que já utilizam outra suíte de segurança, recomenda‑se manter apenas uma solução ativa para evitar conflitos.
Posso agendar o Offline Scan via Política de Grupo?
Sim. Navegue em gpedit.msc > Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Scan e configure a política “Turn on Microsoft Defender Offline Scan”.
Conclusão
Apesar de discreto na interface, o Windows Defender Offline oferece logs detalhados. A leitura de msssWrapper.log — especialmente a linha Offline scan completed with 0x00000000 — é a forma mais confiável de comprovar que o exame terminou corretamente e não identificou malware. Manter assinaturas atualizadas, combinar com varreduras online e monitorar eventuais códigos de erro completam uma estratégia robusta de defesa.