Vous voyez sans cesse « Trojan:Script/Wacatac.B!ml » dans Sécurité Windows, les suppressions échouent et les fichiers incriminés (PDF temporaires, .exe) sont introuvables ? Suivez cette méthode éprouvée pour éliminer ces alertes fantômes et assainir complètement Windows Defender.
Vue d’ensemble du problème : comprendre l’alerte persistante « Trojan:Script/Wacatac.B!ml »
De nombreux utilisateurs rapportent une alerte récurrente dans Windows Defender (Sécurité Windows) signalant Trojan:Script/Wacatac.B!ml sur des éléments éphémères tels que :
- des fichiers de temp au nom changeant (
C:\Windows\Temp\PFFC44.pdf,C:\Users\<vous>\AppData\Local\Temp\*.tmp) ; - des exécutables isolés téléchargés ou compilés récemment (
Starlight.exe, mods de jeux, utilitaires portables) ; - des archives extraites puis supprimées automatiquement par un installateur.
Les actions Supprimer ou Mettre en quarantaine échouent souvent avec un message « introuvable », puis l’alerte réapparaît plus tard, semant le doute : faux positif, détection résiduelle, ou malware actif ?
Pourquoi l’alerte revient-elle ? (et pourquoi ce n’est pas toujours une infection active)
Dans la majorité des cas, ces notifications persistantes sont dues à des entrées d’historique corrompues ou à des métadonnées de quarantaine conservées par Defender. Le moteur antimalware peut « ré-énumérer » ces traces à chaque nouvelle inspection de l’historique ou lors d’un changement de signatures, ce qui relance l’alerte sans qu’aucun fichier malveillant ne soit présent.
Autre facteur fréquent : la détection heuristique Wacatac (suffixe !ml) est agressive et peut déclencher sur du code compressé/obfusqué, des installeurs auto-extractibles, des documents PDF inhabituels ou des binaires compilés localement. Lorsque le fichier a été déjà supprimé par l’application d’origine, Defender ne trouve plus la source et continue néanmoins d’afficher la trace.
Reconnaître un faux positif vs une infection active
| Symptôme | Interprétation la plus probable | Action recommandée |
|---|---|---|
Fichier signalé dans C:\Windows\Temp ou %TEMP%, introuvable 10 s après | Trace résiduelle/historique corrompu, élément temporaire déjà effacé | Procédure de nettoyage des dossiers History/Quarantine ci‑dessous |
| Détections ponctuelles sur PDF, mods, exécutables « fait maison » sans autre symptôme | Heuristique stricte (faux positif possible) | Mettre à jour les signatures, confirmer via un scanner tiers |
| Ralentissements extrêmes, proxies suspectes, navigateur redirigé, processus inconnus persistants | Infection possible | Analyse hors ligne Defender, isolement réseau, sauvegarde, voire réinstallation propre |
| Alertes à heures fixes (ex. à chaque démarrage) | Tâche planifiée ou service qui rejoue la même trace | Vérifier Planificateur de tâches, démarrage, services |
Solution pas‑à‑pas recommandée (méthode la plus efficace)
Redémarrer Windows en mode sans échec
Deux chemins fiables :
- Paramètres > Système > Récupération > Démarrage avancé → Redémarrer maintenant, puis Dépannage > Options avancées > Paramètres > Redémarrer > touche 4 (ou F4) pour Mode sans échec.
- msconfig → onglet Amorçage → cocher Démarrage sécurisé > Minimal → OK puis redémarrer. (Pensez à décocher après l’opération.)
Afficher les fichiers et dossiers cachés
- Ouvrez l’Explorateur → Affichage → Afficher → cochez Éléments masqués (Windows 11) ou Éléments masqués directement (Windows 10).
Vider l’historique de protection et la quarantaine de Defender
Supprimez tout le contenu de ces deux emplacements (pas les dossiers eux‑mêmes) :
C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service
C:\ProgramData\Microsoft\Windows Defender\Quarantine
Si l’accès est refusé :
- Confirmez que vous êtes bien en mode sans échec.
- Relancez l’Explorateur « Exécuter en tant qu’administrateur ».
- Dans l’onglet Sécurité du dossier, donnez temporairement le contrôle complet à Administrateurs.
Alternative en ligne de commande (administrateur)
CMD :
takeown /f "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service" /r /d y
icacls "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service" /grant Administrateurs:F /t
del /f /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\*"
takeown /f "C:\ProgramData\Microsoft\Windows Defender\Quarantine" /r /d y
icacls "C:\ProgramData\Microsoft\Windows Defender\Quarantine" /grant Administrateurs:F /t
del /f /s /q "C:\ProgramData\Microsoft\Windows Defender\Quarantine*" PowerShell :
$paths = @(
"C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service",
"C:\ProgramData\Microsoft\Windows Defender\Quarantine"
)
foreach ($p in $paths) {
takeown /f $p /r /d y | Out-Null
icacls $p /grant "Administrateurs:F" /t | Out-Null
Get-ChildItem -Path $p -Recurse -Force -ErrorAction SilentlyContinue | Remove-Item -Force -Recurse -ErrorAction SilentlyContinue
} Important : n’effacez rien dans d’autres répertoires de ProgramData\Microsoft\Windows Defender.
Redémarrer Windows en mode normal
Si vous avez utilisé msconfig, retournez décocher Démarrage sécurisé avant de redémarrer.
Effectuer une analyse hors ligne (Windows Defender Offline)
- Ouvrez Sécurité Windows → Protection contre les virus et menaces.
- Cliquez sur Options d’analyse → sélectionnez Analyse hors connexion Microsoft Defender.
- Validez : l’ordinateur redémarre et procède à un scan avant le chargement de Windows.
Vérifier que la liste des menaces est vide
Retournez dans Historique de protection. En l’absence de nouveau fichier réel, l’alerte « Wacatac.B!ml » ne doit plus réapparaître.
Résultats observés après cette procédure
- La disparition définitive des notifications récurrentes sans retour après plusieurs redémarrages.
- Aucun fichier incriminé présent sur disque : il s’agissait d’entrées persistantes (signatures résiduelles) dans l’historique ou la quarantaine.
- Un environnement Defender « réinitialisé » sur sa partie historique, sans affecter vos paramètres de protection.
Bonnes pratiques avant et après nettoyage
Mettre à jour les signatures de Defender
- Via Windows Update : Paramètres > Windows Update > Rechercher des mises à jour.
- Via la ligne de commande Defender :
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -SignatureUpdate
Ou en PowerShell :
Update-MpSignature
Confirmer avec un second avis (optionnel mais recommandé)
Un passage avec un outil spécialisé reconnu (scanner à la demande) permet de lever tout doute. Exécutez-le après la mise à jour des signatures.
Garder un compte administrateur distinct
Utilisez un compte standard au quotidien. Désactivez l’exécution automatique de fichiers téléchargés depuis le navigateur et vérifiez systématiquement les téléchargements avant de les ouvrir.
Comprendre Wacatac : ce que signifie « Script/Wacatac.B!ml »
Wacatac est une famille de détections génériques. Le suffixe !ml indique une décision machine learning/heuristique, et les préfixes (Trojan, Script, etc.) reflètent le type de vecteur observé (script, binaire, document). Cela permet de bloquer des menaces variantes, mais génère parfois des faux positifs sur des exécutables compressés, des mods de jeux, des PDF non standards, ou des outils administratifs.
À retenir : si seule Defender signale un fichier temporaire introuvable et qu’aucun symptôme système n’est présent, l’hypothèse « signature résiduelle » est la plus plausible.
Check‑list express (référence rapide)
- Déconnecter le poste d’Internet si vous suspectez une infection active.
- Mode sans échec → afficher les éléments masqués.
- Vider
...\Scans\History\Serviceet...\Quarantine. - Redémarrer en mode normal.
- Analyse hors ligne Defender.
- Mettre à jour les signatures (Update-MpSignature / MpCmdRun -SignatureUpdate).
- Contrôle final dans Historique de protection.
Dépannage avancé si l’alerte persiste malgré tout
Vérifier les tâches planifiées, démarrage et services
- Ouvrez Planificateur de tâches et inspectez les tâches Utilisateur et Système récemment modifiées.
- Dans Gestionnaire des tâches > Démarrage, désactivez les exécutables inconnus, puis redémarrez.
- Dans Services, recherchez des services tiers nouvellement installés sans éditeur fiable.
Nettoyer les emplacements temporaires utilisateur
del /f /s /q "%TEMP%\*"
rd /s /q "%TEMP%\Temp1" 2>NUL
rd /s /q "%TEMP%\Temp2" 2>NUL
Parcourir les journaux Defender (Observateur d’événements)
Ouvrez Observateur d’événements → Journaux des applications et des services → Microsoft → Windows → Windows Defender → Operational. Recherchez des événements de détection (ex. 1116) et la chaîne Path pour identifier l’origine précise.
Réinitialiser les composants Defender (préférence)
PowerShell administrateur :
Set-MpPreference -DisableRealtimeMonitoring $false
Update-MpSignature
Start-MpWDOScan
Note : Start-MpWDOScan programme une analyse hors ligne au prochain redémarrage.
Signes d’une compromission sérieuse
- Blocage total, profils Windows multiples inconnus, politiques locales modifiées, services systèmes altérés.
- Dans ce cas, sauvegardez vos données sur un support externe, déconnectez le réseau et envisagez une réinstallation propre de Windows.
Étude de cas : « PFFC44.pdf », « Starlight.exe » et autres fichiers introuvables
Vous voyez défiler des noms aléatoires comme PFFC44.pdf dans C:\Windows\Temp\ ou un utilitaire isolé (Starlight.exe) qui disparaît après un redémarrage ? Deux scénarios sont probables :
- Le fichier a existé quelques secondes (extraction temporaire par un installeur), a été supprimé, mais l’entrée est restée en historique/quarantaine — d’où l’alerte qui se rejoue.
- Faux positif sur un exécutable packé ou un PDF contenant du JavaScript légitime (formulaire, action d’impression), que Defender classe en Wacatac par prudence.
Dans les deux cas, le vide de l’historique/quarantaine en mode sans échec suivi d’une analyse hors ligne suffit généralement à arrêter définitivement l’alerte.
FAQ
Est‑ce dangereux d’effacer le contenu des dossiers History et Quarantine ?
Non, ces dossiers stockent des traces et des copies isolées. Leur suppression contrôlée en mode sans échec ne désactive pas Defender et n’affecte pas son moteur. Elle résout des incohérences d’état.
Dois‑je considérer « Wacatac.B!ml » comme un faux positif par défaut ?
Pas forcément. Traitez chaque alerte sérieusement : mettez à jour, scannez hors ligne, et confirmez avec un second avis si nécessaire. Mais si le fichier n’existe plus et qu’aucun symptôme n’apparaît, le faux positif/trace résiduelle est plus probable.
Pourquoi l’option « Supprimer » échoue‑t‑elle parfois dans Sécurité Windows ?
Parce que Defender tente d’agir sur un chemin qui n’existe plus. La suppression de l’historique/quarantaine réinitialise l’état interne et évite ces erreurs.
Qu’est‑ce qu’une « analyse hors ligne » et en ai‑je vraiment besoin ?
Elle redémarre le PC sur un environnement minimal où le malware potentiel ne peut pas s’exécuter. C’est la méthode recommandée après nettoyage de l’historique pour garantir qu’aucune menace active n’est présente.
Tableau récapitulatif : actions et commandes utiles
| Objectif | Interface graphique | Commande |
|---|---|---|
| Mettre à jour les signatures | Windows Update → Rechercher des mises à jour | "%ProgramFiles%\Windows Defender\MpCmdRun.exe" -SignatureUpdate ou Update-MpSignature |
| Analyse hors ligne | Sécurité Windows → Options d’analyse → Analyse hors connexion | Start-MpWDOScan (PowerShell, administrateur) |
| Supprimer une menace listée | Historique de protection → Actions | Remove-MpThreat (si applicable) |
| Vider l’historique/quarantaine | Mode sans échec → suppression manuelle | takeown, icacls, del (voir script) |
Précautions et erreurs à éviter
- Ne désactivez pas la protection en temps réel pour « faire taire » l’alerte : vous masqueriez un éventuel vrai problème.
- Ne téléchargez pas d’outils « miracle » non officiels qui promettent de « supprimer Wacatac » : risque d’rogueware.
- N’exécutez pas de commandes
takeown/icaclshors des dossiers mentionnés. - Si vous utilisez msconfig pour le mode sans échec, pensez à revenir au démarrage normal ensuite.
En résumé
Les alertes persistantes « Trojan:Script/Wacatac.B!ml » proviennent très souvent d’entrées d’historique ou de quarantaine corrompues dans Windows Defender. La séquence mode sans échec → purge des dossiers History/Quarantine → redémarrage → analyse hors ligne est la méthode la plus fiable pour les éliminer. Mettez à jour les signatures et, en cas de doute, confirmez avec un scanner spécialisé. Si des symptômes sérieux subsistent (prise de contrôle, blocages, profils inconnus), isolez la machine et envisagez une réinstallation propre.
Procédure détaillée (pas‑à‑pas consolidé)
- Redémarrez en mode sans échec via Démarrage avancé ou
msconfig. - Affichez les fichiers cachés dans l’Explorateur.
- Supprimez le contenu des dossiers :
C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service C:\ProgramData\Microsoft\Windows Defender\QuarantineSi besoin, utilisez les commandestakeown/icacls. - Redémarrez en mode normal.
- Analyse hors connexion (Windows Defender Offline).
- Vérifiez que l’Historique de protection est désormais vide et que l’alerte ne revient plus.