Сканирование Windows с помощью Microsoft Safety Scanner

Почему использовать Safety Scanner, а не Microsoft Defender

Microsoft Safety Scanner не предназначен как постоянная альтернатива Microsoft Defender. Когда система работает нормально и Defender доступен, используйте Defender. Safety Scanner создан как аварийный, переносной инструмент для ситуаций, когда Defender не запускается или Windows не позволяет выполнить стандартное сканирование.

Ключевые моменты:

• Safety Scanner не требует установки — это портативный исполняемый файл. Подойдёт, если Windows или сам Defender повреждены.
• После загрузки он действует 10 дней — затем нужно скачать актуальную версию заново, чтобы не использовать устаревшие определения.
• Он показывает найденные подозрительные файлы и их расположение, но обычно не удаляет угрозы автоматически.

Как просканировать Windows с помощью Safety Scanner

Мини-методология (короткий план): скачать → запустить MSERT → выбрать тип сканирования → изучить лог → удалить найденные файлы.

Подробные шаги:

1. Перейдите на официальный сайт Microsoft и скачайте Microsoft Safety Scanner. Выберите версию, соответствующую архитектуре вашей системы: 32‑бит или 64‑бит.
2. Найдите загруженный файл в папке «Загрузки» или на рабочем столе и дважды кликните по значку MSERT, чтобы запустить приложение.
3. Прочитайте и примите лицензионное соглашение, затем нажмите Next. Откроется экран с вариантами сканирования.
4. Выберите тип сканирования: Quick Scan (быстрое), Full Scan (полное) или Custom Scan (выборочная папка). Эти варианты соответствуют типам в Defender, за исключением оффлайн-сканирования.
5. Если вы выбрали Custom Scan, укажите папку или диск для проверки. При выборе полного сканирования будьте готовы к долгой работе: время зависит от объёма данных и типа накопителя.
6. Нажмите Next и дождитесь завершения сканирования. В процессе приложение покажет прогресс и найденные элементы.
7. После завершения вы можете открыть лог-файл: C:\Windows\debug\msert.log (если Windows установлена в стандартное место). Откройте файл в Notepad или другом текстовом редакторе для подробного анализа.

Важно: Safety Scanner — переносной инструмент, поэтому его можно запускать с флешки, внешнего диска или из папки “Загрузки” без установки.

Что делать, если Safety Scanner находит вредоносное ПО

1. Запишите путь к файлу, который показал сканер, и имя файла — это указано в логах и в отчёте приложения.
2. Проверьте файл в Microsoft Malware Protection Center или на сайтах репутаций (например, VirusTotal) — это поможет понять, известна ли угроза и как её обрабатывают другие решения.
3. Если файл действительно вредоносный, переместите его в карантин (если доступна функция другого антивируса) или удалите вручную — убедитесь, что вы не удаляете системные файлы по ошибке.
4. После удаления перезагрузите систему и выполните повторное сканирование, чтобы убедиться, что угроза устранена.

Совет для удобства: если вы часто открываете логи через Notepad, добавьте опцию “Открыть в блокноте” в контекстное меню — это упростит дальнейшую проверку.

Ограничения Microsoft Safety Scanner

• Срок действия: скачанный инструмент действует 10 дней. Затем нужно загрузить свежую копию — это гарантирует актуальность сигнатур.
• Нет автоматического удаления: инструмент указывает и помечает подозрительные файлы, но удаления/карантина он может не выполнять; обычно требуется вмешательство пользователя.
• Возможны коды ошибок: иногда сканер возвращает внутренние коды ошибок до или после сканирования. Частые коды и их смысл:
  • 0x80508019 — указанный файл или диск для сканирования не существует.
  • 0x80508007 — недостаточно памяти для завершения процесса.
  • 0x80508024 — требуется полное сканирование (Full Scan).
  • 0x80508001 — не удалось загрузить движок сканирования.

Когда Safety Scanner не поможет:

• Если вредоносное ПО глубоко внедрено в загрузчик (boot sector) или используется rootkit на уровне ядра, простой запуск портативного сканера из под заражённой системы может быть недостаточен. В таком случае пригодится офлайн-сканирование или восстановление с внешнего носителя.
• Если системные файлы повреждены и Windows не загружается, имеет смысл использовать загрузочный антивирусный диск/USB, среду восстановления или переустановку ОС.

Альтернативные подходы

• Использовать встроенный офлайн-сканер Defender (Windows Defender Offline) — он загружает среду до загрузки ОС и сканирует вне работающей системы.
• Загрузочные антивирусные утилиты от вендоров (Kaspersky Rescue Disk, ESET SysRescue) — подходят для сложных случаев и rootkit‑инфекций.
• Восстановление системы или чистая переустановка — крайний, но действенный метод при серьёзном повреждении.

Чек-листы по ролям

Чек‑лист для домашнего пользователя:

• Скачать правильную версию (32‑бит или 64‑бит).
• Запустить MSERT из папки «Загрузки» или с флешки.
• Сделать Quick Scan, затем при необходимости Full Scan.
• Открыть C:\Windows\debug\msert.log и записать найденные файлы.
• Проверить подозрительные файлы в онлайн-сервисах и удалить их.

Чек‑лист для IT‑администратора:

• Скачивать свежую копию перед каждой диагностики (после 10 дней).
• Если возможно, запускать сканирование в безопасном окружении или офлайн‑режиме.
• Сопоставить результаты с журналами EDR/AV на корпоративных хостах.
• Подготовить план отката (создать резервные копии, точки восстановления) перед удалением системных файлов.
• Документировать найденные индикаторы компрометации (IOC).

Мини‑методология: быстрый план действий при подозрении на заражение

1. Убедиться, что у вас есть резервная копия важных данных.
2. Запустить Safety Scanner (MSERT) и выполнить Quick Scan.
3. Если Quick Scan что-то найдёт, изучить лог и выполнить Full Scan.
4. Проверить подозрительные файлы на репутацию и удалить/изолировать.
5. При неясных или устойчивых признаках инфекции — перейти к офлайн-сканированию или загрузочному антивирусному диску.

Матрица рисков и способы смягчения

• Низкий риск: подозрения без подтверждения — запуск Quick Scan, мониторинг.
• Средний риск: подтверждённые нежелательные программы — локальное удаление и обновление паролей.
• Высокий риск: обнаружены бэкдоры или индикаторы компрометации — изоляция хоста, оповещение команды безопасности, глубокий анализ журналов.

Меры смягчения: создать резервные копии, выполнить полное сканирование, при необходимости восстановить систему из проверенной копии.

Критерии приёмки

• Сканер успешно запускается и завершает Quick/Full Scan без критических ошибок.
• Логи доступны по пути C:\Windows\debug\msert.log и читаемы в текстовом редакторе.
• Все найденные подозрительные файлы либо подтверждены сторонним анализом, либо безопасно удалены/изолированы.
• При повторном сканировании следов обнаруженной угрозы нет.

Глоссарий (1‑строчные определения)

• Microsoft Safety Scanner — переносной антивирусный сканер от Microsoft для разовых проверок.
• MSERT — исполняемый файл Microsoft Safety Scanner.
• Quick Scan — быстрое сканирование наиболее уязвимых мест системы.
• Full Scan — полное сканирование всех файлов и областей диска.
• msert.log — файл журнала с результатами сканирования.

Диаграмма принятия решения

flowchart TD
  A[Подозрение на заражение] --> B{Система загружается?}
  B -- Да --> C[Запустить MSERT]
  B -- Нет --> D[Использовать загрузочный антивирусный диск]
  C --> E{Quick Scan выявил угрозы?}
  E -- Да --> F[Открыть msert.log и проверить файлы]
  E -- Нет --> G[При необходимости выполнить Full Scan]
  F --> H{Файлы подтверждены как вредоносные?}
  H -- Да --> I[Удалить/изолировать и перезагрузить]
  H -- Нет --> J[Мониторинг и повторная проверка]

Тест‑кейсы и критерии приёмки

• TC1: Запуск MSERT на 64‑битной системе — приложение запускается и завершает Quick Scan.
• TC2: Выполнение Full Scan на компьютере с большим объёмом данных — сканер завершает работу, создаёт msert.log.
• TC3: Обнаружение подозрительного файла — путь и имя файла присутствуют в логе; после удаления повторный скан не показывает угрозу.

Резюме

Microsoft Safety Scanner — удобный аварийный инструмент для обнаружения вредоносного ПО, когда стандартный антивирус недоступен. Он полезен для быстрой диагностики и локализации проблем, но не заменяет постоянные решения по защите: используйте его как вспомогательное средство и всегда проверяйте найденные файлы дополнительными инструментами.

Важно: регулярно обновляйте и используйте постоянное антивирусное решение, а Safety Scanner держите как вариант для экстренных случаев.