Una scansione offline di Microsoft Defender è uno dei metodi più potenti per rimuovere malware annidato in aree protette del sistema; tuttavia, su Windows 11 Pro 24H2 può lasciare l’utente interdetto perché, al riavvio, l’app Sicurezza di Windows non mostra alcun risultato. Questa guida spiega in dettaglio come capire se la scansione è andata a buon fine e se ha rilevato minacce, analizzando log, eventi e strumenti da riga di comando.
Perché l’interfaccia non mostra esiti della scansione
La modalità offline avvia un ambiente minimale in memoria, esegue il motore antimalware, quindi riavvia Windows senza aggiornare il contatore “Ultima scansione” né popolare la Cronologia protezione se non trova nulla. L’assenza di notifiche non è quindi un guasto, ma il comportamento atteso quando non sono stati rilevati oggetti dannosi.
Dove trovare la prova definitiva del successo
Cosa verificare | Dove / Come | Cosa aspettarsi |
---|---|---|
Log dedicato di Defender Offline | C:\Windows\Microsoft Antimalware\Support\msssWrapper.log | La riga Offline scan completed with 0x00000000 conferma l’esecuzione senza errori. Eventuali minacce vengono elencate immediatamente sotto con percorso, severità, azione intrapresa. |
Event Viewer (facoltativo) | Applications and Services Logs ► Microsoft ► Windows ► Windows Defender | Evento 1000 = avvio della scansione; evento 1001 = terminazione. Non includono dettagli sui malware. |
Windows Security ► Cronologia protezione | Interfaccia grafica | Mostra voci solo se sono state trovate minacce. Nessuna notizia = nessun rilevamento. |
PowerShell | Get‑MpThreatDetection | Elenca minacce correnti o pregresse. Output vuoto significa database pulito. |
Log temporaneo (talvolta assente) | C:\Windows\Microsoft Antimalware\Tmp\MpCmdRun.log | In Windows 11 spesso non viene generato; era usato in versioni precedenti. |
Come leggere msssWrapper.log
in pratica
Apri il file con Blocco note
o un editor avanzato e scorri verso il basso:
[Offline scan completed with 0x00000000]
[15:47:02] Threat Summary
[15:47:02] Threat Name: Trojan:Win32/Redcap.B
[15:47:02] Severity: Severe
[15:47:02] Action: Removed
[15:47:02] Path: file:C:\Users\Public\payload.dll
Se vedi soltanto la riga di completamento seguita da fine file, significa che non è stato trovato nulla.
Usare Event Viewer per verificare tempi di esecuzione
Sebbene gli eventi 1000 e 1001 non forniscano dettagli sulle minacce, sono utili per misurare:
- Durata effettiva (differenza tra timestamp start/stop).
- Verifica dell’orario di avvio: se la scansione parte alle 03:00 ma il PC si riavvia alle 03:02, potrebbe non aver avuto tempo di completarsi.
Se mancasse l’evento 1001, sospetta un’interruzione improvvisa (spegnimento forzato o crash).
Cronologia protezione e Get‑MpThreatDetection
Entrambi attingono dallo stesso archivio interno:
Get‑MpThreatDetection
è veloce da scriptare e da esportare in CSV.- La Cronologia è più intuitiva per l’utente non tecnico.
Se la scansione offline ha rimosso un malware prima che Windows si avviasse, il motore potrebbe comunque registrare un elemento “Minaccia rimossa” quando il servizio riparte in modalità online.
Automatizzare il controllo post‑riavvio con PowerShell
Lo script seguente legge l’ultima riga di msssWrapper.log
, genera una notifica toast e apre il file se sono presenti minacce:
param(
[string]$Log = "C:\Windows\Microsoft Antimalware\Support\msssWrapper.log"
)
if (Test-Path $Log) {
$lastLines = Get-Content $Log -Tail 50
$ok = $lastLines -match "Offline scan completed with 0x00000000"
$threats = $lastLines -match "Threat Name:"
if ($ok -and -not $threats) {
New-BurntToastNotification -Text "Scansione offline completata", "Nessuna minaccia rilevata"
} elseif ($threats) {
New-BurntToastNotification -Text "Scansione offline: minacce trovate", "Apri log per dettagli"
notepad.exe $Log
} else {
New-BurntToastNotification -Text "Scansione offline", "Verifica manuale del log necessaria"
}
} else {
Write-Warning "File di log non trovato."
}
Pianifica lo script in Utilità di pianificazione all’avvio (At log on) per un controllo automatico a ogni riapertura di sessione.
Buone prassi per ottenere risultati affidabili
- Mantieni aggiornate le definizioni antimalware:
Update-MpSignature
o tramite Windows Update. - Esegui una scansione completa online periodica per individuare minacce attive che l’offline potrebbe non intercettare.
- Disconnetti unità esterne dopo la scansione per evitare reinfezioni da supporti rimovibili.
- Verifica l’integrità del sistema con
sfc /scannow
se sospetti modifiche ai file di sistema causate da malware.
FAQ sulla scansione offline di Microsoft Defender
Posso interrompere la scansione offline se impiega troppo tempo?
Sì, ma sconsigliato: la sola interruzione può lasciare minacce in stato inconsistente. Se devi interrompere, esegui poi una scansione completa online.
La scansione offline distrugge file sospetti senza chiedere?
Applica l’azione predefinita (quasi sempre “Rimuovi” per minacce gravi). Il log registrerà l’azione. Se preferisci confermare manualmente, crea prima un punto di ripristino.
Come forzo l’aggiornamento dello strumento offline?
Avvia Sicurezza di Windows ➝ Protezione da virus e minacce ➝ Opzioni di scansione ➝ Scansione Microsoft Defender Offline: scaricherà l’immagine più recente prima di riavviare.
Riepilogo visivo: dove guardare e cosa significa
- Log
msssWrapper.log
: se presente, è la fonte primaria; cerca 0x00000000. - Eventi 1000/1001: confermano avvio/fine, ma non i dettagli.
- Cronologia protezione e
Get‑MpThreatDetection
: solo se qualcosa è stato trovato. - Assenza di notifiche: indicatore di scansione pulita.
Conclusione
Verificare l’esito di una scansione offline di Microsoft Defender su Windows 11 Pro 24H2 richiede di andare oltre l’interfaccia grafica. Il file msssWrapper.log
resta l’evidenza decisiva sia per confermare il successo (codice 0x00000000) sia per dettagliare eventuali minacce e azioni. Event Viewer, la Cronologia protezione e PowerShell offrono ulteriori livelli di controllo, mentre uno script automatico può trasformare l’operazione in un processo “imposta e dimentica”. Seguendo i passaggi descritti ridurrai al minimo i falsi allarmi e avrai la certezza di scansionare e proteggere il sistema in modo completo.