- Windows Defender : Planifier une analyse automatique de son PC
- Windows Defender : Comment faire une analyse complète, rapide
- Windows Defender Windows 10, 11 : le dossier COMPLET
- Windows Defender et le centre de sécurité de Windows 10
- SmartScreen : Protection des sites WEB et fichiers malveillants
- Supprimer les menaces (virus, trojan, PUA) détectées par Windows Defender
- Windows Defender est-il efficace?
- Comment gérer Windows Defender avec Powershell
- Comment activer la protection Anti-Ransomware de Windows 10
- Windows Defender : comment ajouter une exception
Sur votre PC en Windows 10 ou Windows 11, l’antivirus Windows Defender détecte une menace comme un Trojan, PUA, adwares ou tout autres type de malwares et logiciels malveillants.
Parfois ces alertes, détections et notifications reviennent à intervalles réguliers.
Vous ne savez alors pas quoi faire pour supprimer et désinfecter ces virus.
Voici un guide complet pour désinfecter totalement votre PC et supprimer les virus et PUA détectés par Windows Defender.
Je vous conseille de bien lire avant de paniquer et scanner votre PC dans tous les sens car souvent cela n’est pas nécessaire.
Table des matières
Analyser les détections trojan, PUA dans Windows Defender
Pour ceux qui souhaitent prendre de bonnes habitudes et comprendre un peu tout ce qui a attrait aux malwares, vous pouvez lire ce paragraphe.
Sinon, allez directement dans le paragraphe pour supprimer les virus.
Infection active VS fichier isolé
Avant de scanner votre PC dans tous les sens avec AdwCleaner, ZHPCleaner, RogueKiller et MBAM sous l’emprise de la panique.
Lisez cette phrase et répétez la 10 fois :
En effet, Windows Defender peut détecter un fichier isolé sans qu’aucune infection et menaces ne soit active sur votre PC.
Par infection active, j’entends par exemple un logiciel publicitaire (adware) qui ouvre des publicité ou un cheval de troie qui permet le contrôle à distance de votre PC.
Ainsi Windows Defender peut détecter un fichier isolé dans plusieurs cas différents.
Quelques exemples :
- Vous avez téléchargé un setup de PUA et Windows Defender se réveille de suite ou plusieurs jours, semaines plus tard. Il émet une alerte sur un fichier dans votre dossier de téléchargement.
- Windows Defender détecte une page malveillante dans le cache de votre navigateur internet
- Une sauvegarde sur un disque dur secondaire contient un fichier malveillant et Windows Defender se réveille un jour
- Un mail avec une pièce jointe dans Thunderbird ou courrier.
Donc ne paniquez pas.
Ainsi ce qui peut se passer c’est que vous tentez de supprimer un virus imaginaire, pour cela, vous scanner avec AdwCleaner, ZHPCLeaner, RogueKiller qui ne trouvent rien.
Outre le fait que scanner avec AdwCleaner par exemple pour une menace de type Trojan, ce n’est pas le bon outil… Si aucune infection n’est active, ils ne trouveront aucun malware à supprimer de votre PC.
Analyser l’emplacement de la menace
Il faut donc jeter un oeil à l’emplacement de la menace détectée par Windows Defender.
Selon son emplacement, on peut avoir une idée si un logiciel malveillant est actif sur le PC.
Donc première chose à faire est d’obtenir les détails sur la menace et le malware détecté par WD.
Cela se fait depuis l’historique des menaces, pour y accéder, suivre ce lien :
Il faut alors regarder :
- Le niveau d’alerte : faible, modéré, élevée
- Le type et catégories de menaces.
- Son emplacement sur le disque avec le chemin et nom de fichiers
Voici un tableau récapitulatif sur le type de menaces.
Type de menaces | Description | Niveau de menace |
PUA / SoftwareBundler:Win32 ou BundleInstaller | Logiciel potentiellement indésirable | Faible |
Outil, hacktools | outil de piratage et de hack | Faible à modéré |
Adwares | Logiciel publicitaire | Modéré |
Trojan | Cheval de troie | Elevée |
Backdoor | Porte dérobée | Elevée |
Spywares | Logiel espion pour voler des données et espionner | Elevée |
Rootkit | logiciel sophistiqué capable de se dissimuler pour une meilleure persistance dans le système | Elevée |
Pour une liste plus complète, suivre ce tutoriel :
Afin de couvrir quelques cas et comprendre la logique des détections de menaces, voici quelques exemples.
Cela vous permet ensuite de prendre les bonnes décisions selon le type de malwares.
Les menaces selon les emplacements
Voici un tableau qui récapitule l’emplacement où une menace un malware est potentiellement actif et ou plutôt d’un fichier isolé.
Emplacements | Descriptions |
C:\Windows C:\Windows\system32 | Menace active |
C:\Program Files C:\Program Data | Menace active mais il peut s’agir d’un faux positif |
Dossiers temporaires | Impossible de statuer sans analyse approfondie. Par exemple : faire une analyse Virustotal complémentaire |
Dossier de téléchargement C:\Users\XXX\Downloads | En général un setup vérolé : – soit un crack – soit un setup de PUP / PUA |
AppData et Roaming C:\Users\XXX\AppData C:\Users\XXX\AppData\Roaming | Menace active |
C:\Users\XXX\AppData\Mozilla\Firefox\Profiles\xxxxxxx.default\Cache C:\Users\XXX\AppData\Google\Chrome\User Data\Default\Cache | C’est le cache internet de Firefox et Google. Windows Defender peut détecte r une page WEB malveillante. Par exemple utiliser pour une attaque Drive-By-Download ou une arnaque de support téléphonique. Ce n’est pas une menace active. |
Pour plus de détails, reportez-vous à cet article :
En cas de doute, VirusTotal peut vous aider à statuer sur un fichier :
Exemple de menaces et alerte Windows Defender
Les détections PUA, SoftwareBundler:Win32 ou BundleInstaller
Les détections PUA (Logiciel potentiellement non désiré) sont des setup qui visent à proposer des logiciels additifs.
Souvent des programmes parasites types Adwares ou Browser Hijacker.
Rien à voir avec des chevaux de troie, backdoor, spywares et autres.
Ces détections peuvent aussi être du type SoftwareBundler:Win32 ou BundleInstaller.
Cela englobe au final le même type de malware.
En général, les détections sont du type :
Menace | Description |
PUA:Win32/FusionCore | Famille de PUP et PUA à éviter |
PUA:Win32/InstallCore | Famille de PUP et PUA à éviter |
PUA:Win32/OpenCandy | Plutôt un logiciel de statistiques d’installation |
PUA:Win32/Perion | Famille de programmes potentiellement indésirables |
PUA:Win32/iBryteInstaller | Autre plateforme de PUP. Peut proposer WebDiscover |
C’est une menace faible qui correspond très souvent à un fichier dans votre dossier de téléchargement.
En clair vous avez téléchargé un setup et Windows Defender émet une alerte dessus.
Par exemple, ci-dessous PUA:Win32/InstallCore.
On voit qu’il se trouve dans le dossier de téléchargement et on voit aussi le nom setup.
C’est un programme d’installation repacké par InstallCore pour proposer des logiciels additionnels type PUP / PUA.
Vous pouvez supprimer le fichier lié à cette menace PUA.
Hacktool:MSIL/AutoKMS
Ensuite il y a le cas des menaces et détections Hacktool:MSIL/AutoKMS.
Cette dernière est en niveau d’alerte Elevée et catégorie Outil.
On peut alors s’imaginer qu’il s’agit d’une menace dangeureses.
Pas du tout, il s’agit d’un outil pour cracker la licence de Windows donc de manière illégale.
Par exemple KMSPico.
Le niveau d’alerte est certainement pour forcer la suppression afin que l’utilisateur achète une licence Windows 10.
Ci-dessous c’est l’installeur de KMSPico dans le dossier de téléchargement (dossier Downloads) qui est détecté en Hacktool:MSIL/AutoKMS.
Mais on peut avoir des détections dans Program Files ou le dossier Windows.
A vous de voir ce que vous souhaitez faire, pour vous aider à retirer KMSpico de votre PC :
Plus globalement pour le type de menaces hacktool, suivre ce lien :
Trojan et cheval de troie
Les trojan pour cheval de troie son les pires menaces car ils peuvent voler des données, affaiblir les protections de l’appareil, télécharger et installer d’autres malwares.
Le statut de l’alerte sera donc toujours élevée.
Toutefois, il peut arriver qu’il s’agisse de crack et keygen téléchargé.
Dans ce cas là, l’emplacement est est vraiment important pour statuer d’une infection active ou non.
Se reporter au paragraphe suivant.
Voici quelques familles de Trojan courant détecté par Windows Defender :
Menaces | Description |
Trojan:Win32/Tiggre | Plutôt lié à un crack |
Trojan:Win32/Occamy | Plutôt lié à un crack |
Trojan:Win32/Vigorf | Malware |
Trojan:Win32/Woreflint | Malware |
Trojan:Win32/Emelent | Malware |
Trojan:Win32/SocStealer | Malware |
Trojan:Win32/Casdet | Malware |
Trojan:Win32/Wacatac | Malware |
Trojan:Win32/Starter | Trojan souvent dans des packs de PUP diffusés par des cracks |
Trojan:Win32/Bitrep | Lié à des PUP |
Par exemple ci-dessous une menace Trojan:Win32/Wacatac détectée dans le dossier Roaming.
C’est clairement un malware actif.
Alors qu’ici il s’agit d’un fichier .doc dans TEMP détecté en Trojan:Win32/Casdet.
Plutôt probablement un fichier Office vérolé provenant d’une pièce jointe piégée reçue par mail.
Enfin on termine avec un faux positif et une alerte de menace Trojan:Win32/Vigorf sur l’outil sain Rufus pour créer des clés USB bootable.
Supprimer les virus de son PC avec Windows Defender
Supprimer les virus ou les mettre en quarantaine
Si cela n’a pas été fait, faites une analyse complète de votre PC :
Lorsqu’une menace est détectée par Windows Defender, plusieurs actions sont possibles.
Il faut accéder à l’historique des menaces pour effectuer une action sur cette dernière.
- Double-cliquez sur l’icône bouclier en bas à droite de l’écran
- Ouvrez la protection contre les virus et menaces
- Depuis la liste des menaces, cliquez dessus pour ouvrir celle-ci :
Trois actions sont alors possibles :
- Supprimer : cela supprime le fichier de votre PC
- Quarantaine : place le fichier dans une zone hors du système pour le désactiver. Vous pouvez restaurer le fichier à tout moment, si cela pose des problèmes
- Autoriser sur l’appareil : le fichier est autorisé à s’exécuter. Il ne faut utiliser cette option que si vous êtes certains que le fichier est sain. Par exemple à la suite d’un faux positif.
- Enfin plus bas, on trouve l’option voir les détails pour obtenir les informations sur la menace et le malware.
La meilleur solution reste la mise en quarantaine.
En effet cela isole le fichier du système et vous pouvez le restaurer à tout moment si cela provoque des dysfonctionnements.
Ensuite il ne vous reste plus qu’à vider la quarantaine, suivez alors ce guide :
Faire une analyse complète avec Windows Defender
Vous avez réussi à supprimer le virus ou le mettre en quarantaine.
Éventuellement lancez une analyse complète avec Windows Defender.
Pour cela :
- Double-cliquez sur l’icône bouclier en bas à droite de l’écran.
- Ouvrez la protection contre les virus et menaces
- Puis sous l’historique des menaces, cliquez sur Options d’analyse
- Dans le type d’analyse Windows Defender, sélectionnez analyse complète
- Laissez l’analyse s’effectuer
Cela va supprimer tous les logiciels malveillants actifs de votre PC.
Supprimer les virus de son PC
Vous pouvez désinfecter votre PC en suivant cette procédure :
Si vous souhaitez une contre expertise de votre PC.
Mon PC est encore infecté ? y-a-t-il encore des virus ?
Alors, il faut venir sur le forum.
On peut analyser le PC gratuitement avec FRST et vous indiquer si toutes les menaces ont bien été éradiquées de votre PC.
Plus de détails : Comment demander de l’aide sur le forum.
Liens
Pour tout savoir de Windows Defender :
Et côté protection :