Supprimer les menaces (virus, trojan, PUA) détectées par Windows Defender de Windows 10

Bloqueur de pub détectée - Vous bloquez l'affichage des publicités.
Pour soutenir le site, merci de bien vouloir laisser les publicités s'afficher
Plus d'informations : Comment désactiver les bloqueurs de publicité sur un site internet

Sur votre PC en Windows 10, l'antivirus Windows Defender détecte une menace comme un Trojan, PUA, adwares ou tout autres type de malwares et logiciels malveillants.
Parfois ces alertes, détections et notifications reviennent à intervalles réguliers.
Vous ne savez alors pas quoi faire pour supprimer et désinfecter ces virus.

Voici un guide complet pour désinfecter totalement votre PC et supprimer les virus et PUA détectés par Windows Defender.
Je vous conseille de bien lire avant de paniquer et scanner votre PC dans tous les sens car souvent cela n'est pas nécessaire.

Supprimer les menaces (virus, trojan, PUA) détectées par Windows Defender de Windows 10

Analyser les détections trojan, PUA dans Windows Defender

Pour ceux qui souhaitent prendre de bonnes habitudes et comprendre un peu tout ce qui a attrait aux malwares, vous pouvez lire ce paragraphe.
Sinon, allez directement dans le paragraphe pour supprimer les virus.

Infection active VS fichier isolé

Avant de scanner votre PC dans tous les sens avec AdwCleaner, ZHPCleaner, RogueKiller et MBAM sous l'emprise de la panique.
Lisez cette phrase et répétez la 10 fois :

Ce n'est pas parce que Windows Defender (ou autre logiciels antivirus et de sécurité) détecte un malware que votre PC est infecté.

En effet, Windows Defender peut détecter un fichier isolé sans qu'aucune infection et menaces ne soit active sur votre PC.
Par infection active, j'entends par exemple un logiciel publicitaire (adware) qui ouvre des publicité ou un cheval de troie qui permet le contrôle à distance de votre PC.

Ainsi Windows Defender peut détecter un fichier isolé dans plusieurs cas différents.
Quelques exemples :

  • Vous avez téléchargé un setup de PUA et Windows Defender se réveille de suite ou plusieurs jours, semaines plus tard. Il émet une alerte sur un fichier dans votre dossier de téléchargement.
  • Windows Defender détecte une page malveillante dans le cache de votre navigateur internet
  • Une sauvegarde sur un disque dur secondaire contient un fichier malveillant et Windows Defender se réveille un jour
  • Un mail avec une pièce jointe dans Thunderbird ou courrier.
C'est beaucoup plus compliqué que le Windows Defender émet une alerte > mon PC est infecté > Un pirate peut voler mes mots de passe, compte bancaire ou contrôler mon PC.
Donc ne paniquez pas.

Ainsi ce qui peut se passer c'est que vous tentez de supprimer un virus imaginaire, pour cela, vous scanner avec AdwCleaner, ZHPCLeaner, RogueKiller qui ne trouvent rien.
Outre le fait que scanner avec AdwCleaner par exemple pour une menace de type Trojan, ce n'est pas le bon outil... Si aucune infection n'est active, ils ne trouveront aucun malware à supprimer de votre PC.

Analyser l'emplacement de la menace

Il faut donc jeter un oeil à l'emplacement de la menace détectée par Windows Defender.
Selon son emplacement, on peut avoir une idée si un logiciel malveillant est actif sur le PC.

Donc première chose à faire est d'obtenir les détails sur la menace et le malware détecté par WD.
Cela se fait depuis l'historique des menaces, pour y accéder, suivre ce lien :

Il faut alors regarder :

  • Le niveau d'alerte : faible, modéré, élevée
  • Le type et catégories de menaces.
  • Son emplacement sur le disque avec le chemin et nom de fichiers

Voici un tableau récapitulatif sur le type de menaces.

Type de menacesDescriptionNiveau de menace
PUA / SoftwareBundler:Win32 ou BundleInstallerLogiciel potentiellement indésirableFaible
Outil, hacktoolsoutil de piratage et de hackFaible à modéré
AdwaresLogiciel publicitaireModéré
TrojanCheval de troieElevée
BackdoorPorte dérobéeElevée
SpywaresLogiel espion pour voler des données et espionnerElevée
Rootkitlogiciel sophistiqué capable de se dissimuler pour une meilleure persistance dans le systèmeElevée
Les types de menaces de Windows Defender

Pour une liste plus complète, suivre ce tutoriel :

Afin de couvrir quelques cas et comprendre la logique des détections de menaces, voici quelques exemples.
Cela vous permet ensuite de prendre les bonnes décisions selon le type de malwares.

Les menaces selon les emplacements

Voici un tableau qui récapitule l'emplacement où une menace un malware est potentiellement actif et ou plutôt d'un fichier isolé.

EmplacementsDescriptions
C:\Windows
C:\Windows\system32
Menace active
C:\Program Files
C:\Program Data
Menace active
mais il peut s'agir d'un faux positif
Dossiers temporairesImpossible de statuer sans analyse approfondie.
Par exemple : faire une analyse Virustotal complémentaire
Dossier de téléchargement
C:\Users\XXX\Downloads
En général un setup vérolé :
- soit un crack
- soit un setup de PUP / PUA
AppData et Roaming
C:\Users\XXX\AppData
C:\Users\XXX\AppData\Roaming
Menace active
C:\Users\XXX\AppData\Mozilla\Firefox\Profiles\xxxxxxx.default\Cache
C:\Users\XXX\AppData\Google\Chrome\User Data\Default\Cache
C'est le cache internet de Firefox et Google.
Windows Defender peut détecte r une page WEB malveillante.
Par exemple utiliser pour une attaque Drive-By-Download ou une arnaque de support téléphonique.
Ce n'est pas une menace active.
Les menaces selon les emplacements

Pour plus de détails, reportez-vous à cet article :

En cas de doute, VirusTotal peut vous aider à statuer sur un fichier :

Exemple de menaces et alerte Windows Defender

Les détections PUA, SoftwareBundler:Win32 ou BundleInstaller

Les détections PUA (Logiciel potentiellement non désiré) sont des setup qui visent à proposer des logiciels additifs.
Souvent des programmes parasites types Adwares ou Browser Hijacker.
Rien à voir avec des chevaux de troie, backdoor, spywares et autres.
Ces détections peuvent aussi être du type SoftwareBundler:Win32 ou BundleInstaller.
Cela englobe au final le même type de malware.

BundleInstaller détecté par Windows Defender

En général, les détections sont du type :

MenaceDescription
PUA:Win32/FusionCoreFamille de PUP et PUA à éviter
PUA:Win32/InstallCoreFamille de PUP et PUA à éviter
PUA:Win32/OpenCandyPlutôt un logiciel de statistiques d'installation
PUA:Win32/PerionFamille de programmes potentiellement indésirables
PUA:Win32/iBryteInstallerAutre plateforme de PUP. Peut proposer WebDiscover
Les familles de PUA de Windows Defender

C'est une menace faible qui correspond très souvent à un fichier dans votre dossier de téléchargement.
En clair vous avez téléchargé un setup et Windows Defender émet une alerte dessus.

Par exemple, ci-dessous PUA:Win32/InstallCore.
On voit qu'il se trouve dans le dossier de téléchargement et on voit aussi le nom setup.
C'est un programme d'installation repacké par InstallCore pour proposer des logiciels additionnels type PUP / PUA.

PUA:Win32/InstallCore détecté par Windows Defender

Vous pouvez supprimer le fichier lié à cette menace PUA.

Hacktool:MSIL/AutoKMS

Ensuite il y a le cas des menaces et détections Hacktool:MSIL/AutoKMS.
Cette dernière est en niveau d'alerte Elevée et catégorie Outil.
On peut alors s'imaginer qu'il s'agit d'une menace dangeureses.

Pas du tout, il s'agit d'un outil pour cracker la licence de Windows donc de manière illégale.
Par exemple KMSPico.
Le niveau d'alerte est certainement pour forcer la suppression afin que l'utilisateur achète une licence Windows 10.

Ci-dessous c'est l'installeur de KMSPico dans le dossier de téléchargement (dossier Downloads) qui est détecté en Hacktool:MSIL/AutoKMS.
Mais on peut avoir des détections dans Program Files ou le dossier Windows.

Hacktool:MSIL/AutoKMS détecté par Windows Defender

A vous de voir ce que vous souhaitez faire, pour vous aider à retirer KMSpico de votre PC :

Plus globalement pour le type de menaces hacktool, suivre ce lien :

Trojan et cheval de troie

Les trojan pour cheval de troie son les pires menaces car ils peuvent voler des données, affaiblir les protections de l'appareil, télécharger et installer d'autres malwares.
Le statut de l'alerte sera donc toujours élevée.

Toutefois, il peut arriver qu'il s'agisse de crack et keygen téléchargé.
Dans ce cas là, l'emplacement est est vraiment important pour statuer d'une infection active ou non.

Je vous conseille pour supprimer le trojan:Win32, de placer ce dernier en quarantaine.
Se reporter au paragraphe suivant.

Voici quelques familles de Trojan courant détecté par Windows Defender :

MenacesDescription
Trojan:Win32/TiggrePlutôt lié à un crack
Trojan:Win32/OccamyPlutôt lié à un crack
Trojan:Win32/VigorfMalware
Trojan:Win32/WoreflintMalware
Trojan:Win32/EmelentMalware
Trojan:Win32/SocStealerMalware
Trojan:Win32/CasdetMalware
Trojan:Win32/WacatacMalware
Trojan:Win32/StarterTrojan souvent dans des packs de PUP diffusés par des cracks
Trojan:Win32/BitrepLié à des PUP
Les détections de Trojan par Windows Defender

Par exemple ci-dessous une menace Trojan:Win32/Wacatac détectée dans le dossier Roaming.
C'est clairement un malware actif.

Menace Trojan:Win32/Wacatac détectée par Windows Defender

Alors qu'ici il s'agit d'un fichier .doc dans TEMP détecté en Trojan:Win32/Casdet.
Plutôt probablement un fichier Office vérolé provenant d'une pièce jointe piégée reçue par mail.

Menace Trojan:Win32/Casdet détectée par Windows Defender

Enfin on termine avec un faux positif et une alerte de menace Trojan:Win32/Vigorf sur l'outil sain Rufus pour créer des clés USB bootable.

Alerte Trojan:Win32/Vigorf par Windows Defender

Supprimer les virus de son PC avec Windows Defender

Supprimer les virus ou les mettre en quarantaine

Lorsqu'une menace est détectée par Windows Defender, plusieurs actions sont possibles.
Il faut accéder à l'historique des menaces pour effectuer une action sur cette dernière.

  • Double-cliquez sur l'icône bouclier en bas à droite de l'écran.
  • Ouvrez la protection contre les virus et menaces
Ouvrir la protection contre les virus et menaces
  • Depuis la liste des menaces, cliquez dessus pour ouvrir celle-ci :
Les actions sur les menaces et détections de virus et malwares de Windows Defender

Trois actions sont alors possibles :

  • Supprimer : cela supprime le fichier de votre PC
  • Quarantaine : place le fichier dans une zone hors du système pour le désactiver. Vous pouvez restaurer le fichier à tout moment, si cela pose des problèmes
  • Autoriser sur l'appareil : le fichier est autorisé à s'exécuter. Il ne faut utiliser cette option que si vous êtes certains que le fichier est sain. Par exemple à la suite d'un faux positif.
  • Enfin plus bas, on trouve l'option voir les détails pour obtenir les informations sur la menace et le malware.

La meilleur solution reste la mise en quarantaine.
En effet cela isole le fichier du système et vous pouvez le restaurer à tout moment si cela provoque des dysfonctionnements.
Ensuite il ne vous reste plus qu'à vider la quarantaine, suivez alors ce guide :

Bravo ! vous avez réussi à supprimer le virus et la menace détectée par Windows Defender.

Faire une analyse complète avec Windows Defender

Vous avez réussi à supprimer le virus ou le mettre en quarantaine.
Éventuellement lancez une analyse complète avec Windows Defender.

Pour cela :

  • Double-cliquez sur l'icône bouclier en bas à droite de l'écran.
  • Ouvrez la protection contre les virus et menaces
  • Puis sous l'historique des menaces, cliquez sur Options d'analyse
Faire une analyse complète avec Windows Defender
  • Dans le type d'analyse Windows Defender, sélectionnez analyse complète
Faire une analyse complète avec Windows Defender
  • Laissez l'analyse s'effectuer
Faire une analyse complète avec Windows Defender
Une fois l'analyse Windows Defender terminée, placez tous les éléments en quarantaine.
Cela va supprimer tous les logiciels malveillants actifs de votre PC.

Supprimer les virus de son PC

Vous pouvez désinfecter votre PC en suivant cette procédure :

Si vous souhaitez une contre expertise de votre PC.
Mon PC est encore infecté ? y-a-t-il encore des virus ?
Alors, il faut venir sur le forum.

On peut analyser le PC gratuitement avec FRST et vous indiquer si toutes les menaces ont bien été éradiquées de votre PC.
Plus de détails : Comment demander de l'aide sur le forum.

Liens

Pour tout savoir de Windows Defender :

Et côté protection :

Accédez aux autres articles de ce dossier :
Désactiver la protection en temps réel de Windows DefenderComment afficher l’historique des menaces et protection de Windows Defender de Windows 10
Vous avez trouvé cet article utile et interressant, n'hésitez pas à le partager...

Trouver la solution sur le forum d'aide

Vous êtes arrivé au terme de l'article Supprimer les menaces (virus, trojan, PUA) détectées par Windows Defender de Windows 10 mais vous n'avez pas trouvé la solution à votre problème...
Suivez ces articles du forum pour trouver une réponse ou demandez à votre tour de l'aide sur le forum