先分清:是「被删/隔离」,还是别的问题
很多用户一遇到 Clash 打不开了、图标没了、更新完目录空了一块,第一反应是「机场挂了」或「配置坏了」。在 Windows 上,若你能打开客户端界面、节点列表也正常,只是网页打不开,那更偏向规则、DNS 或 TUN/系统代理,而不是本文场景。相反,若出现:安装目录里 exe 不翼而飞、双击没反应或提示找不到文件、刚下载的安装包一解压就被清掉,就值得优先怀疑 Windows Defender 或你另行安装的杀软在后台做了自动隔离或删除。这类情况在 Clash 系客户端上并不少见:开源、带网络穿透与进程注入能力、且数字签名不统一,启发式与行为监控容易将「代理核心」和恶意工具类特征叠在一起,形成 Clash 误报。
因此,在讨论「Clash Windows Defender」时,我们关心的是:安全模块是否把可执行文件或安装包标成威胁、是否发生过 Clash 被隔离。确认这一点之后,再谈 Clash 恢复与为目录加白名单、排除项,才有针对性;也避免和本站其它 Windows 专篇(例如 7890 端口被占用与 mixed-port、订阅刷新后节点不变)混成一锅粥。
第一步:在「保护历史记录」里抓证据
以 Windows 10 / Windows 11 为例,打开 设置 → 隐私和安全性(或 更新和安全)→ Windows 安全中心,进入 病毒和威胁防护。页面上方或中部通常有 保护历史记录(有的版本在「管理设置」或「快速扫描」附近;若未显示,可尝试在「查看更新历史」或安全中心主界面搜索「历史」)。在记录里,你会看到被拦文件的名称、威胁类型、操作(已隔离/已删除/已允许)与时间。请对照:是否恰好是你刚装或刚更新的 Clash Verge Rev、mihomo 内核、或自定义路径下的 clash 相关可执行文件。若对得上,即可以较肯定当前现象属于 Clash 被 Windows Defender 处理,而不是云函数或订阅端的问题。
部分企业环境会启用 Defender 策略或第三方 EDR,界面可能更精简;但思路一致:找「被拦截/隔离」的审计记录。没有记录、但文件仍缺,还要考虑你手动从压缩包根目录拉 exe、被杀软在解压当下拦掉、或 OneDrive/同步盘与权限复制异常——本文聚焦 Defender 有明确条目的主路径。若你尚未完成客户端安装,可先走 Clash Verge Rev Windows 安装教程 核对标准目录与启动方式,再回到本文处理误杀。
第二步:从隔离区「允许」与恢复
在保护历史记录中,对目标条目选择 操作 → 允许在设备上 或 还原(措辞因版本略异)。允许表示信任该次检测结果并放行;还原则把被移入隔离区的文件放回原位置(若原路径已不存在,有时需先建回文件夹再恢复)。若文件已被彻底删除而非进隔离,界面里可能没有「还原」,只能 重新从可信来源获取安装包 再部署——但下一步加排除之前重复安装,往往会被再次扫掉,所以请先不要急着连续双击安装,而是接着做完排除或暂时关闭实时保护(见下文安全提示)。
需要强调:从隔离区恢复只解决「这一份」文件。内核或 GUI 一更新、文件名或哈希变了,新文件仍可能再报。长期稳定的做法仍是把 Clash 安装根目录和更新缓存目录纳入 排除列表,而不是对每一条警报逐次点「允许」。
第三步:为 Clash 加「排除项」——比单点「允许」更省心
仍在 病毒和威胁防护 中,进入 管理设置,在接近底部找到 排除项。选择 添加或删除排除项,按你的实际习惯添加:
1)按文件夹(推荐首选):将 Clash 的安装根目录整段加入。例如你默认装在 用户目录下 AppData\Local 或 Program Files\某发行版目录,以你真实路径为准。整目录排除后,子路径下的可执行、更新时落地的新 exe 或 dll 都更容易被放过,减少反复弹窗。若你习惯绿色解压(便携包),就排除你解压的那个顶层文件夹。
2)按文件类型/进程:部分版本支持按进程排除。若你清楚主程序与内核的实际文件名(不同发行版、版本号会变化),可追加。但只加进程、不加目录时,更新后路径或名称一变仍可能再拦,因此文件夹排除通常更稳。
这样配置后,常见表述里的 Clash 白名单 在系统层面就对应了 Defender 的「排除项」:即不对此路径执行某些实时扫描/自动处置。注意这降低的是误报对本地文件的误伤,并不能替代你对安装包来源的甄别——只从信任渠道获取客户端仍是前提;本站日常分发建议走 Clash 客户端下载页,与 GitHub 仓库说明分开理解(源码与 Release 可核对,安装包入口以站点为准)。
安装包与在线更新也报:顺序很重要
有用户反馈 下载的安装包一落地就被查杀、或 应用内检查更新时下载的临时文件被删。可以先把安装包单独放在一个已排除的临时目录下再执行(例如自建 D:\TrustedTools\Clash\ 并只排除该层),完成后把程序仍装到常规位置,再给最终安装目录加排除。若你使用 浏览器下载,在下载完成、尚未解压前,也可在保护历史里看是否对「.exe/.7z」已有威胁名;必要时先把压缩包移入已排除的文件夹再解压。
与 SmartScreen 未知应用 不同:Defender 标的是「恶意软件特征」,而 SmartScreen 常是「不常见、发行者未积累信誉」的提示。两者都可能在首次运行安装程序时出现,可分别处理。若只弹 SmartScreen 而安全中心无威胁名,多属于发布签章与下载量问题,不一定会删文件。本文的 Clash 恢复 主线仍以有明确威胁名、文件被移走为主。
第四步:多杀软/管家并存时
除 Microsoft Defender 外,若你装了火绒、360、某管家等,可能是谁先谁拦。同一文件在 Defender 里已允许,但第三方仍可能隔离——需在各自主界面的「信任区 / 白名单 / 已拦截」里各查一遍。企业策略下,甚至组策略会禁止用户自行加排除,需联系 IT。若你确认只有 Defender,仍反复删,可检查是否开启了受控文件夹访问(类似勒索防护,会拦陌生进程写特定目录),必要时对 Clash 的数据目录与配置目录在「允许通过的应用」中放行,但这已偏进阶,且不同客户端路径差异大,建议以所用 GUI 的「打开工作目录/配置目录」菜单为准做路径确认。
和「能开但连不上」类问题怎么区分
把边界写清楚,能少误修数小时。若 Clash 能启动、能测延迟,只是某些网站慢或超时,应看规则、TUN、DNS 或节点质量,可对照 连接日志与规则命中 与 使用文档。若 提示端口占用,请转 7890 与 mixed-port 专篇。若 订阅点更新后节点名不变,是缓存与拉取问题,看 订阅不更新与清缓存。而本文覆盖的是本地可执行体能否存活,属于 Clash 被隔离 / Clash 误报 这一条线,与上列选题不重复、可组合阅读:先让程序在磁盘上站得住,再谈网络与配置。
操作顺序小结
可照此 checklist 执行:① 安全中心 → 保护历史 → 是否 Clash 相关被隔离;② 有则先允许/还原,确认 exe 已回到预期路径;③ 在排除项中按「整目录」加入安装根,必要时补进程;④ 重装或更新时仍被拦,把下载与解压放在已信任排除路径内,再装到终态目录;⑤ 多杀软环境分别核对;⑥ 与端口、订阅、规则类问题用症状边界区分。做到这一步,大部分「Clash Windows Defender 误杀」能稳定收束;若你确认从未被报毒、文件却缺失,再考虑权限、盘符同步或从备份回滚,那就超出 Defender 主场景了。
相比在搜索引擎里只搜「Clash 被隔离」而得到碎片化截图,把历史记录、还原、排除项当作一条固定流水线,会省大量重装时间。完成本地安全白名单后,再按需优化节点与规则,整体验会顺很多。若你尚未从本站获取过 Windows 端安装包,可前往 Clash 客户端下载页 选对应系统版本;开源仓库仍适合查版本与参与讨论,日常安装与更新以本站页内指引为主路径。相比在论坛里试各种「关杀毒一句话」,有顺序地排除误报、保留系统其它防护,是更稳的做法。
如果你正打算重新部署一套干净工作目录,在做好排除后再下载安装,通常能一次过;相比东拼西凑的旧帖,把 Defender 的白名单/排除和从隔离区恢复一次做对,比反复追问「为什么又没了」更有效。→ 立即免费下载 Clash,开启流畅上网新体验