Windows Defender a mis en quarantaine une menace détectée
RésoluSakura_01 Messages postés 118 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
Aujourd'hui l'antivirus a détecté une menace qu'il a bloqué et mis en quarantaine. En face ça indique Grave mais impossible de savoir de quelle menace il peut s'agir vu que si je clique dessus, ça me demande si je veux l'autoriser. J'ai cliqué non direct.
Y a-t-il un risque que cette menace ait eu le temps de faire quelque chose ? Faut-il vérifier autre chose ou la simple quarantaine suffit ? Je n'étais pas devant le pc quand l'antivirus a fait son analyse, comme chaque jour +/- à la même heure.
C'est le hasard que j'ai vérifié pour une fois.
Je suis sur pc fixe avec Windows 11. Je n'ai pas le souvenir d'avoir fait quoi que ce soit avant l'analyse.
Merci d'avance.
Windows / Firefox 150.0
- Windows Defender a mis en quarantaine une menace détectée
- Clé usb non détectée - Guide
- Clé windows 8 - Guide
- Montage video windows - Guide
- Windows defender windows 7 - Télécharger - Antivirus & Antimalwares
- Fin windows 10 - Guide
8 réponses
Bonjour
@Sakura_01
StatutMembre
Quand vous aurez plus d'infos, dans l'historique de protection peut être, qui seraient utiles, sans vouloir critiquer Defender qui est mieux que rien, il est parfois avare d'infos et ça c'est pas bon.
En attendant si vous voulez faire le ménage:
https://forums.commentcamarche.net/forum/affich-38206831-alors-vous-voulez-supprimer-les-virus-vous-meme-comment
Je suis la pour vous guider au cas ou.
@+
FRST je ne suis pas à l'ase avec, trop de lecture, Reanimator est graphique, et il sort moins de résultats anodins, plus ciblé pour moi
https://greatis.com/security/reanimator.html (Download Mirror 1)
Après l'installation cliquez sur:
> Fix Problems
> Fix Malware Issues
Après analyse primaire, cliquez en haut à gauche sur Filter Set, et choisissez "Display All but Exclude Signed by Microsoft/Google/Greatis"
Passez le programme en fenêtre agrandie pour voir plus de choses
Faites des captures avec Greenshot si besoin, des onglets ou il y a autre chose que des items en Vert (Probablement inoffensifs), si c'est Jaune orange ou Bleu, Rouge...
Surtout dans Startup Programs, Search Settings, Browser Plugins, et Services
https://getgreenshot.org/downloads/
Mais les User Shortcuts, dans Startup Programs, skippez les, marquez les tout de suite comme False Positive avec le bouton Vert, c'est juste vos raccourcis sur votre Bureau et dans votre Barre des tâches, si ils pointent à la bonne place, vers les bons fichiers, ils sont bons.
Ça serait des bugs du côté de Microsoft Defender par rapport à des certificats depuis quelques heures
En trouvant des réponses en cherchant sur Google
rootcert:_0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43;
rootcert:_DDFB16CD4931C973A2037D3FC83A4D7D775D05E4
Bonjour,
Si Windows Defender a mis un fichier en quarantaine et que tu penses qu'il s'agit d'un faux positif, tu peux essayer de le restaurer via l'historique des menaces dans les paramètres de sécurité de Windows.
Bonjour,
La question n'est pas de restaurer automatiquement un risque inconnu mais de savoir s'il existe.
Un fichier placé en quarantaine ne peut pas être malveillant.
Si c'est le motif et les nom/emplacement original du fichier qu'on n'a pas lus, ils seront fournis par l'historique mais le motif réel ou supposé est "codé" et c'est plus ou moins cryptique.
On peut avoir un doute raisonnable en cas de pièce jointe mail ou de téléchargement douteux, dans le dernier cas on s'en souvient.
Sinon on peut chercher en ligne s'il s'agit d'un faux positif ou soumettre le fichier en question par exemple à VirusTotal.
https://www.malekal.com/supprimer-restaurer-vider-quarantaine-de-windows-defender/
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre questionNon je ne vais pas risquer sans savoir de quoi il s'agit. Ce n'est pas trop le conseil à donner à l'aveugle quand on ne connait pas ... Dans le doute, quand on ne sait pas, on ne fait pas.
Dans l'historique, j'ai juste le blocage et la mise en quarantaine. Aucune info et je me souviens plus comment ouvrir pour voir ce que ça peut être sans l'activer.
Merci pour l'info, en cherchant j'ai trouvé le même lien du site malekal.
Mais dans mon cas je ne peux pas accéder à l'emplacement du fichier, si je clique j'ai une fenêtre qui s'ouvre pour me demander si je veux autoriser ou pas. Je préfère mettre non, parce que je ne sais pas du tout ce que je risque en autorisant un truc dont j'ignore si c'est vrai ou faux positif et je n'ai pas fait gaffe si un nom précis s'affichait.
Le même type de fenêtre que lorsqu'on veut installer un logiciel quoi.
J'ai ça :
Si je filtre les éléments en quarantaine, je n'ai pas plus d'infos.
Autrement j'ai toujours FRST sur le pc que je peux lancer si besoin. A moins que je lance une nouvelle analyse rapide de Defender pour voir s'il me met une fenêtre d'info ? C'est bizarre que je n'arrive pas à accéder à un quelconque nom.
Voir si on peut tromper l'ennemi pour afficher le détail des menaces en question.
Il est possible qu'il n'apparaisse pas si elles sont "On Line" (OneDrive).
https://www.malekal.com/afficher-historique-windows-defender-windows-10-11/
J'ai passé FRST finalement et avec le lien mis de @Brucine, je peux voir la menace détectée. Il s'agit ou s'agirait d'un Trojan.
Lien Addition : https://pjjoint.malekal.com/files.php?id=20260503_o15g11c12e9h8
Lien FRST : https://pjjoint.malekal.com/files.php?id=FRST_20260503_z914f14s1412
Ca donne ça pour le fichier Addition de FRST :
La mise en quarantaine me permet une certaine sécurité ? Je dois faire des manip pour par précaution ?
Cette conversation suggère qu'il s'agirait d'un faux positif dans les bases de définition Microsoft Security et qui disparaîtrait lors de la mise à jour de ces dernières.
https://learn.microsoft.com/en-us/answers/questions/5879116/trojan-win32-cerdigent-a-dha
Non sérieux, c'est abusé mais très rassurant de se dire qu'il s'agirait de bugs.
Merci pour les liens, espérons que Microsoft corrige rapidement. En attendant je laisse comme ça vu qu'a priori, d'autres ont tenté sans succès de le supprimer.
Ca devrait disparaitre tout seul à la prochaine MAJ ?
0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
correspond à
DDFB16CD4931C973A2037D3FC83A4D7D775D05E4 à
Les deux sont valides, on ne voit pas bien comment ils auraient été infectés par un Trojan.
Je n'ai pas lu toutes les contributions du lien que j'ai cité, un des auteurs prétend que le problème est résolu via KB2267602 ce qui semble absurde, c'est antique et n'est sans doute qu'un "manifeste" des mises à jour Windows Defender.
La situation est réputée être mise à jour par les dernières mises à jour Windows Defender (13 avril), certains certificats Secure Boot sont en cours de renouvellement, mais ce ne sont en principe pas ceux visés.
https://www.catalog.update.microsoft.com/Search.aspx?q=-KB2267602-defender%20antivirus
Une recherche sur (par exemple, une chance sur deux)
"windows certificat 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43"
ramène une avalanche de commentaires tendant tous à la même conclusion (faux positif) mais où certains disent, Microsoft ne peut pas l'ignorer dans ces conditions, qu'un correctif serait non pas effectué mais en cours d'élaboration.
Bref, à part se tenir à jour des mises à jour, il est urgent d'attendre.
Par contre, si ces deux certificats sont en quarantaine et qu'un site auquel on souhaite se connecter ou un logiciel passe par eux, on va se faire jeter.
Il n'y a alors de solution selon le cas que de dégrader en http, désactiver provisoirement Windows Defender au profit d'un autre logiciel de sécurité, ou bien se tenir pour certain un faux positif et mettre en exclusion.
