Vous voyez sans cesse PUA:Win32/Packunwan, PUA:Win32/HackTool ou PUADlManager:Win32/Toptools dans Windows Defender ? Voici la méthode pas à pas pour supprimer ces alertes récurrentes, confirmer l’absence d’infection et durcir votre protection.
Vue d’ensemble de la situation
Des alertes PUA (Potentially Unwanted Application) reviennent à chaque analyse, bien que vous ayez déjà utilisé Microsoft Safety Scanner et Malwarebytes. Dans la majorité des cas, il ne s’agit pas d’une ré‑infection, mais d’entrées résiduelles conservées par Windows Defender dans son dossier DetectionHistory. Ce guide explique pourquoi cela arrive et comment le corriger durablement.
Résumé express
- Redémarrer en mode sans échec pour éviter que des processus verrouillent des fichiers.
- Purger le dossier
DetectionHistoryde Defender. - Réactiver proprement la protection en temps réel et dans le cloud.
- Lancer une analyse hors ligne Windows Defender (avant le démarrage de Windows).
- Mettre à jour les signatures et contrôler avec un deuxième outil (Malwarebytes / Safety Scanner).
Pourquoi ces alertes reviennent
Windows Defender conserve des traces des détections passées pour la télémétrie et les historiques. Si des restes d’entrées (fichiers de métadonnées, empreintes, snapshots) persistent dans DetectionHistory, une analyse ultérieure ré‑interprète ces traces comme s’il s’agissait de menaces encore présentes. Vous obtenez alors des notifications pour des éléments déjà mis en quarantaine ou supprimés.
Bon à savoir : les PUA ne sont pas des virus au sens classique. Elles regroupent adwares, téléchargeurs, installateurs agressifs, barres d’outils et outils de piratage. Elles ne prennent pas toujours le contrôle du système, mais dégradent l’expérience (publicités, collecte de données, moteurs de recherche imposés, etc.).
Étapes détaillées
Redémarrer en mode sans échec
Le mode sans échec limite les services au strict nécessaire ; Defender et l’Explorateur auront plus de chances d’accéder aux répertoires verrouillés.
- Paramètres → Récupération → Démarrage avancé → Redémarrer maintenant.
- Dépannage → Options avancées → Paramètres de démarrage → Redémarrer → appuyez sur 4 (Mode sans échec).
- Alternative : à l’écran de connexion, maintenez ⇧ Maj + cliquez Redémarrer.
Purger l’historique de détection de Windows Defender
Objectif : supprimer les résidus qui déclenchent de fausses réapparitions.
- Ouvrez Explorateur de fichiers, puis copiez-collez dans la barre d’adresse :
C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service
- Dans le dossier Service, ouvrez DetectionHistory et supprimez tout son contenu (droits administrateur requis).
- Videz la Corbeille.
Si un message de refus apparaît :
- Désactivez temporairement la Protection contre les falsifications : Sécurité Windows → Virus et menaces → Gérer les paramètres → basculez Protection contre les falsifications sur Désactivé. Réactivez‑la après la suppression.
- Assurez-vous d’être en mode sans échec et d’utiliser une session administrateur.
Alternative en PowerShell (administrateur) :
Remove-Item "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*" `
-Recurse -Force -ErrorAction SilentlyContinue
Réinitialiser brièvement les protections en temps réel
Cette bascule rafraîchit les moteurs de protection et revalide les caches.
- Sécurité Windows → Virus et menaces → Gérer les paramètres.
- Coupez Protection en temps réel et Protection dans le cloud, attendez 5 secondes, puis réactivez-les.
Alternative PowerShell (administrateur) :
Set-MpPreference -DisableRealtimeMonitoring $true
Start-Sleep -Seconds 5
Set-MpPreference -DisableRealtimeMonitoring $false
Effectuer une analyse hors ligne Windows Defender
L’analyse hors ligne se lance avant Windows et traque les éléments furtifs.
- Sécurité Windows → Virus et menaces → Options d’analyse → sélectionnez Analyse hors ligne Microsoft Defender, puis Analyser maintenant.
- Le PC redémarre et exécute une analyse complète.
Alternative PowerShell (administrateur) :
Start-MpWDOScan
Mettre à jour et contrôler
- Vérifiez Windows Update et les définitions de Defender.
- Optionnel : relancez Microsoft Safety Scanner (MSERT) et/ou Malwarebytes pour une seconde opinion.
PowerShell utile :
Update-MpSignature # Met à jour les signatures
Start-MpScan -ScanType FullScan # Analyse complète à la demande
Quand peut‑on laisser l’alerte sans risque ?
Vous pouvez raisonnablement considérer l’alerte comme historique et non active si :
- Une analyse hors ligne Defender ne trouve rien.
- Un second antivirus on‑demand (MSERT/Malwarebytes) ne détecte aucune menace active.
- Vous avez purgé
DetectionHistoryet les notifications cessent ou se contentent de rappeler une ancienne détection sans fichier associé.
Si l’alerte réapparaît mais que les analyses restent vierges, il s’agit quasi systématiquement d’un résidu d’historique ; la machine n’est pas infectée.
Comprendre les PUA et régler la protection
Les PUA sont parfois installées en même temps qu’un logiciel gratuit (bundle), un gestionnaire de téléchargements ou un « optimiseur » système. Windows Defender peut les bloquer de façon proactive.
Activer la protection PUA (recommandé)
PowerShell (administrateur) :
# 0 = Désactivé | 1 = Activé (recommandé) | 2 = Audit
Set-MpPreference -PUAProtection Enabled
Exemples et risques typiques
| Nom de détection | Type | Origine fréquente | Risque principal |
|---|---|---|---|
PUA:Win32/Packunwan | Emballage/obfuscateur | Installateurs modifiés, téléchargements non officiels | Installation silencieuse d’adwares, téléchargeurs |
PUA:Win32/HackTool | Outil de contournement/clé/patch | « Cracks », keygens, scripts d’activation | Comportements à risque, portes d’entrée |
PUADlManager:Win32/Toptools | Téléchargeur/aggrégateur | Gestionnaires de téléchargements tiers | Bundling agressif, adwares et barres d’outils |
Vérifier qu’il ne reste rien
Depuis Windows Defender
- Sécurité Windows → Historique de protection : vérifiez que les derniers événements indiquent bien « Action effectuée » (Supprimé/Quarantaine).
PowerShell (journal des détections)
# Liste les détections enregistrées (utile pour confirmer le statut)
Get-MpThreatDetection | Select-Object DetectionID, ThreatName, ActionSuccess, Resources, InitialDetectionTime |
Sort-Object InitialDetectionTime -Descending
Journal des événements
Option avancée pour les curieux : Observateur d’événements → Journaux des applications et services → Microsoft → Windows → Windows Defender → Operational. Les événements de détection récents ne devraient plus référencer des chemins actifs.
Scénarios spéciaux et solutions adaptées
Le dossier DetectionHistory ne se supprime pas
- Vérifiez la Protection contre les falsifications (temporairement désactivée).
- Assurez-vous d’être en mode sans échec.
- Utilisez la commande
Remove-Item … -Recurse -Forceen PowerShell (administrateur).
Les alertes pointent vers la Quarantaine
C’est attendu si un élément a été neutralisé. Laissez Defender gérer la quarantaine ; n’essayez pas de restaurer ou d’ouvrir ces fichiers.
Vous utilisez un autre antivirus résident
Si un antivirus tiers est installé, Defender passe souvent en mode passif. Les résidus d’historique peuvent quand même rester listés. La purge décrite plus haut s’applique de la même manière.
Environnement entreprise (GPO/MDM)
Les paramètres PUA, la protection contre les falsifications et l’historique peuvent être gérés par stratégie. Demandez au support IT de :
- vérifier la stratégie Activer la protection contre les applications potentiellement indésirables ;
- autoriser la purge du dossier
DetectionHistory; - déclencher une analyse hors ligne à distance si nécessaire.
Les alertes reviennent après un téléchargement récurrent
Analysez vos habitudes : un gestionnaire de téléchargements, un « optimiseur » ou une extension de navigateur peut réintroduire des PUA. Supprimez ces logiciels et passez un coup de balai dans Downloads et %TEMP%.
Prévenir les récidives
- Gardez Windows à jour (moteurs et signatures Defender).
- Évitez les installateurs tiers et les sites non officiels.
- Désinstallez les « optimiseurs », barres d’outils, gestionnaires de téléchargements.
- Activez la protection PUA :
Set-MpPreference -PUAProtection Enabled. - Nettoyage système périodique :
- Invite admin :
sfc /scannow - Invite admin :
DISM /Online /Cleanup-Image /RestoreHealth
- Invite admin :
- Points de restauration : créez un point « propre » après assainissement, puis supprimez les anciens points pour éliminer d’éventuelles copies de fichiers indésirables.
Procédure détaillée pas à pas (avec variantes)
Chemin principal (recommandé)
- Mode sans échec : redémarrez comme décrit plus haut.
- Désactivez temporairement la Protection contre les falsifications et la Protection en temps réel.
- Supprimez le contenu de :
C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory - Réactivez immédiatement les protections (temps réel, cloud, falsifications).
- Analyse hors ligne Defender.
- Windows Update puis contrôle avec un second scanner.
Chemin PowerShell (administrateurs à l’aise en ligne de commande)
# 1) Activer la protection PUA (préventif)
Set-MpPreference -PUAProtection Enabled
# 2) Purger l'historique de détection
Remove-Item "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory*" -Recurse -Force
# 3) Recharger signatures et moteurs
Update-MpSignature
# 4) Bascule rapide de la protection en temps réel (rafraîchit les caches)
Set-MpPreference -DisableRealtimeMonitoring $true
Start-Sleep -Seconds 5
Set-MpPreference -DisableRealtimeMonitoring $false
# 5) Analyse hors ligne
Start-MpWDOScan Tableau d’aide au diagnostic
| Symptôme | Cause la plus probable | Action recommandée |
|---|---|---|
| Mêmes PUA signalées, aucun fichier visible | Entrées résiduelles dans DetectionHistory | Purger DetectionHistory, bascule protections, analyse hors ligne |
| PUA sur un exécutable téléchargé | Installateur bundle/téléchargeur | Supprimer le fichier, désinstaller le programme lié, contrôler avec un deuxième scanner |
| Détections « HackTool » | Outil de contournement/clé présent | Supprimer ces outils, lancer une analyse complète, éviter les « cracks » |
| Impossible de supprimer l’historique | Protection contre les falsifications active, fichiers verrouillés | Désactiver temporairement la protection, passer en mode sans échec, supprimer |
| Détections récurrentes dans la Quarantaine | Rappels d’éléments neutralisés | Laisser en quarantaine, ne pas restaurer, purger l’historique |
FAQ
Est‑ce une véritable infection ?
Pas forcément. Une PUA peut se limiter à des comportements indésirables (publicités, collectes, modifications de navigateur). Si l’analyse hors ligne et un second scanner ne trouvent rien, il s’agit probablement d’un historique persistant, pas d’une menace active.
Pourquoi Malwarebytes ou MSERT ne trouvent rien alors que Defender alerte ?
Parce qu’ils relisent les fichiers réels, alors que Defender peut aussi interpréter ses propres traces de détections passées. La purge du dossier DetectionHistory règle cette divergence.
Supprimer DetectionHistory est‑ce risqué ?
Non. Il s’agit d’un journal de détection, pas d’un composant du moteur. Vous ne supprimez ni signatures ni paramètres de sécurité. Vous effacez seulement des entrées périmées.
Dois‑je désactiver la protection PUA ?
Non, sauf cas de test en mode Audit. La protection PUA bloque des programmes indésirables avant qu’ils ne perturbent le système. Commande utile :
Set-MpPreference -PUAProtection AuditMode
Comment m’assurer que le système est sain ?
- Analyse hors ligne Defender réussie.
- Second avis (MSERT/Malwarebytes) sans détection.
- Historique purgé, plus de notifications associées à des chemins actifs.
sfcetDISMterminent sans erreurs.
Checklist finale
- Mode sans échec : OK
- Purge
DetectionHistory: OK - Bascule des protections temps réel/cloud : OK
- Analyse hors ligne Defender : OK
- Mises à jour Windows/Signatures : OK
- Second scanner (MSERT/Malwarebytes) : OK
- Protection PUA activée : OK
- Nettoyage des téléchargements/logiciels douteux : OK
Conclusion
Les alertes récurrentes PUA:Win32/Packunwan, PUA:Win32/HackTool ou PUADlManager:Win32/Toptools proviennent dans l’immense majorité des cas d’entrées résiduelles — pas d’une infection persistante. La combinaison purge de l’historique + bascule des protections + analyse hors ligne élimine le bruit, vous redonne un tableau de bord sain et renforce votre sécurité au quotidien.