Vous voyez sans cesse « PUA:Win32/GameHack » dans Sécurité Windows alors que le fichier a disparu ? Suivez cette méthode fiable : nettoyage des caches de Defender en mode sans échec, puis analyse hors connexion, pour faire disparaître l’alerte et valider que le système est sain.
Problème
Microsoft Defender (Sécurité Windows) remonte de manière répétée la menace PUA:Win32/GameHack. L’élément signalé était situé dans un dossier Temp désormais vide, et les actions « Mettre en quarantaine » ou « Supprimer » ne changent rien : l’alerte revient, parfois après chaque démarrage.
Ce scénario est typique d’une détection fantôme : Defender conserve dans son historique des références vers un fichier supprimé depuis. Tant que ces traces persistent dans les dossiers d’historique et de quarantaine, l’interface peut continuer d’afficher une menace « présente ».
Cause la plus probable
- Artefacts d’historique dans
ProgramData\Microsoft\Windows Defender\Scans\History\Service: l’alerte est « mémorisée ». - Restes de quarantaine dans
ProgramData\Microsoft\Windows Defender\Quarantinequi entretiennent l’entrée dans l’Historique de protection. - Dans de rares cas, un programme indésirable encore présent déclenche réellement la détection à chaque scan.
Ce que signifie « PUA:Win32/GameHack »
PUA (Potentially Unwanted Application) désigne des logiciels qui ne sont pas nécessairement malveillants mais indésirables : adwares, injecteurs, cracktools, modificateurs de jeux, etc. Le label GameHack cible typiquement des utilitaires d’altération de mémoire/ressources liés à des jeux. Même si l’élément a été supprimé, Defender peut en conserver la trace.
Solution express (résumé utile)
- Démarrez en mode sans échec avec prise en charge réseau.
- Affichez les éléments masqués dans l’Explorateur.
- Videz le contenu de ces deux dossiers (ne supprimez pas les dossiers eux‑mêmes) :
C:\ProgramData\Microsoft\Windows Defender\Scans\History\ServiceC:\ProgramData\Microsoft\Windows Defender\Quarantine - Redémarrez en mode normal puis lancez une Analyse hors connexion de Microsoft Defender.
- Vérifiez qu’aucune alerte ne réapparaît dans Historique de protection.
Important : ne désactivez pas Defender de façon permanente. La procédure ci‑dessous supprime les artefacts et valide la santé du système sans réduire votre niveau de protection.
Procédure détaillée pas à pas
Démarrer en mode sans échec avec prise en charge réseau
Le mode sans échec charge le strict minimum de services ; il empêche les fichiers de Defender d’être verrouillés par des processus tiers et facilite le nettoyage.
- Windows 11 : Paramètres > Système > Récupération > Démarrage avancé > Redémarrer maintenant > Dépannage > Options avancées > Paramètres > Redémarrer > touche 5 (Mode sans échec avec prise en charge réseau).
- Windows 10 : Paramètres > Mise à jour et sécurité > Récupération > même chemin que ci‑dessus.
Alternative rapide : cliquez sur Redémarrer tout en maintenant Shift (Maj) enfoncée, puis suivez Dépannage > Options avancées > Paramètres > Redémarrer > 5.
Afficher les éléments masqués
Les dossiers à nettoyer se trouvent sous ProgramData, masqué par défaut.
- Ouvrez l’Explorateur > onglet Affichage > cochez Éléments masqués.
- Ne touchez pas aux fichiers système en dehors des chemins listés ci‑dessous.
Vider les caches de Defender en toute sécurité
Dans le mode sans échec :
- Naviguez jusqu’à
C:\ProgramData\Microsoft\Windows Defender\Scans\History\Serviceet supprimez tout le contenu (fichiers/dossiers internes). Ne supprimez pasServicelui‑même. - Naviguez jusqu’à
C:\ProgramData\Microsoft\Windows Defender\Quarantineet supprimez tout le contenu. Ne supprimez pasQuarantinelui‑même.
Pourquoi ? Ces emplacements stockent l’historique des détections et les artefacts de quarantaine. Leur nettoyage force l’interface à oublier les références à des objets inexistants et coupe court aux « fantômes ».
Si « Accès refusé » apparaît
- Vérifiez que vous êtes bien en mode sans échec avec un compte administrateur.
- Si un fichier résiste, redémarrez à nouveau en mode sans échec et réessayez.
- Évitez de modifier les autorisations NTFS des dossiers de Defender : cela peut dégrader la protection. Le mode sans échec suffit normalement.
Équivalent en PowerShell (facultatif, en mode sans échec)
# Exécuter PowerShell en tant qu’administrateur
Remove-Item "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\*" -Recurse -Force -ErrorAction SilentlyContinue
Remove-Item "C:\ProgramData\Microsoft\Windows Defender\Quarantine\*" -Recurse -Force -ErrorAction SilentlyContinue
Redémarrer en mode normal et lancer une analyse hors connexion
Revenez au démarrage normal, puis ouvrez Sécurité Windows > Protection contre les virus et menaces > Options d’analyse > Analyse hors connexion de Microsoft Defender > Analyser maintenant.
L’ordinateur redémarre, effectue un scan avant le chargement de Windows et supprime toute menace résiduelle.
Commandes utiles (optionnel, en mode normal)
# Mettre à jour les signatures
Update-MpSignature
# Lancer une analyse complète (si vous préférez en complément)
Start-MpScan -ScanType FullScan
# Déclencher l’analyse hors connexion
Start-MpWDOScan Vérifier l’absence d’alertes
- Retournez dans Protection contre les virus et menaces > Historique de protection.
- Confirmez qu’aucune entrée active « PUA:Win32/GameHack » n’est listée.
- Si une entrée réapparaît immédiatement, consultez la section En cas de récidive ci‑dessous.
Pourquoi cette méthode fonctionne
| Action | Effet | Résultat attendu |
|---|---|---|
| Mode sans échec | Réduit les verrous de fichiers et les services tiers | Suppression fiable des artefacts |
| Nettoyage History et Quarantine | Efface les références d’objets supprimés | Disparition de la détection « fantôme » |
| Analyse hors connexion | Scan avant Windows, neutralise les menaces persistantes | Certification de l’état sain |
Contrôles complémentaires (fortement conseillés)
- Mettre à jour Defender : Protection > Mises à jour de la protection > Rechercher des mises à jour.
- Activer Protection contre la falsification (Tamper Protection) : bloque les tentatives malicieuses de modification de Defender.
- Exécuter un second avis : par exemple Microsoft Safety Scanner ou un autre outil reconnu en version gratuite, afin de confirmer l’absence d’autres composants.
Bonnes pratiques pour éviter le retour de PUA
- Sources officielles uniquement pour vos logiciels. Évitez les installateurs tiers qui empaquettent des modules indésirables.
- Choisissez l’installation personnalisée et décochez les offres additionnelles.
- Activez le blocage des applications potentiellement indésirables dans Sécurité Windows > Contrôle des applications et du navigateur > Protection fondée sur la réputation.
- Nettoyez régulièrement Temp avec Assistant Stockage (Storage Sense) : Paramètres > Système > Stockage.
Tableau récapitulatif des chemins et commandes
| Élément | Chemin / Commande | Remarques |
|---|---|---|
| Historique Defender | C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service | Supprimer uniquement le contenu |
| Quarantaine Defender | C:\ProgramData\Microsoft\Windows Defender\Quarantine | Supprimer uniquement le contenu |
| MAJ signatures | Update-MpSignature | PowerShell en tant qu’admin |
| Analyse complète | Start-MpScan -ScanType FullScan | En complément de l’analyse hors connexion |
| Analyse hors connexion | Start-MpWDOScan | Redémarre et scanne avant Windows |
FAQ
PUA:Win32/GameHack est-il forcément malveillant ?
Pas toujours. C’est une catégorie « potentiellement indésirable », souvent attribuée à des outils de modification de jeux. Même si l’intention n’est pas malveillante, ces programmes altèrent la sécurité et peuvent être exploités. Par prudence, nettoyez et scannez hors connexion comme décrit.
Je ne trouve plus le fichier signalé, que faire ?
C’est précisément le symptôme d’une détection fantôme : l’objet n’existe plus, mais l’Historique et la Quarantaine conservent des entrées. Le nettoyage des deux emplacements, en mode sans échec, résout généralement le problème.
Les actions « Supprimer/Quarantaine » ne marchent pas
Lorsque l’élément a déjà disparu, ces actions ne peuvent pas opérer sur un fichier absent. Elles n’effacent pas l’historique. D’où l’intérêt de purger manuellement les dossiers d’historique et de quarantaine.
Dois‑je désactiver la Protection contre la falsification ?
Non. Démarrer en mode sans échec suffit pour supprimer les artefacts. Gardez la Protection contre la falsification activée en mode normal pour prévenir des modifications non autorisées.
En cas de récidive après la procédure
- Rejouez l’analyse hors connexion (une seconde passe élimine des restes intermittents).
- Vérifiez les tâches planifiées de Defender : Planificateur de tâches > Bibliothèque du Planificateur > Microsoft > Windows > Windows Defender. Assurez‑vous que les tâches s’exécutent sans erreurs.
- Exécutez un outil de second avis pour exclure un binaire réellement présent ailleurs (profil utilisateur, Downloads, archives compressées, etc.).
- Inspectez les applications installées récemment et désinstallez les utilitaires douteux (cheattools, « optimiseurs », installateurs sponsors).
Bonnes pratiques de diagnostic (niveau avancé)
- Journaux de Sécurité Windows : ouvrez Observateur d’événements > Journaux des applications et des services > Microsoft > Windows > Windows Defender > Operational pour confirmer la chronologie des détections et des nettoyages.
- Moniteur de fiabilité : recherchez des échecs ou installations corrélées au moment où l’alerte a commencé.
- Stockage : utilisez Assistant Stockage pour purger les fichiers temporaires système (sans supprimer des données personnelles).
Ce qu’il faut éviter
- Ne désactivez jamais Microsoft Defender de façon permanente.
- N’utilisez pas d’outils « registre nettoyeur » agressifs : ils n’effacent pas l’historique de Defender et peuvent abîmer le système.
- N’éditez pas manuellement les permissions NTFS des dossiers de Defender.
Checklist de fin
- Historique et Quarantaine vidés en mode sans échec.
- Analyse hors connexion effectuée.
- Signatures à jour.
- Protection contre la falsification activée.
- Historique de protection vierge d’alertes actives.
Annexe : scripts et commandes pratiques
Copiez/collez ces commandes dans PowerShell (administrateur). Elles ne désactivent pas Defender ; elles opèrent uniquement des mises à jour et des scans.
# 1) Mettre à jour Defender
Update-MpSignature
# 2) Analyse ciblée du dossier Temp de l’utilisateur (exemple)
$TempPath = "$env:TEMP"
Start-MpScan -ScanPath $TempPath
# 3) Analyse complète
Start-MpScan -ScanType FullScan
# 4) Déclencher l’analyse hors connexion (redémarrage immédiat)
Start-MpWDOScan Résumé
Pour éliminer l’alerte persistante PUA:Win32/GameHack, le plus efficace est de purger les artefacts de Defender (History + Quarantine) en mode sans échec, puis d’exécuter une analyse hors connexion. En complétant par la mise à jour des signatures, l’activation de la Protection contre la falsification et, si besoin, un second avis de sécurité, vous retrouvez un système propre sans désactiver votre protection.
Étapes détaillées (rappel rapide)
- Mode sans échec (réseau) : Paramètres > Récupération > Démarrage avancé > Dépannage > Options avancées > Paramètres > Redémarrer > touche 5.
- Affichage : cochez Éléments masqués dans l’Explorateur.
- Nettoyage : supprimez le contenu de
C:\ProgramData\Microsoft\Windows Defender\Scans\History\ServiceC:\ProgramData\Microsoft\Windows Defender\Quarantine - Redémarrage en mode normal, puis Analyse hors connexion.
- Contrôle final : Historique de protection, plus d’alertes actives.
En un coup d’œil
| Problème | Symptômes | Remède |
|---|---|---|
| Détection fantôme PUA | Alerte « GameHack » qui persiste, fichier introuvable | Vider History + Quarantine en mode sans échec, puis analyse hors connexion |
| Véritable PUA encore présent | Détections qui reviennent même après purge | Analyse hors connexion + second avis + désinstallation des utilitaires suspects |
Conseils SEO pratiques pour l’utilisateur averti
Si vous recherchez cette solution : tentez des requêtes contenant PUA:Win32/GameHack, Windows Defender alerte persistante, supprimer détection fantôme, analyse hors connexion Defender. La procédure de cet article couvre tous ces cas.
Enfin, gardez en tête : une alerte qui ne disparaît pas n’est pas synonyme de menace active. Souvent, c’est l’interface qui reflète un historique périmé. En appliquant méthodiquement la procédure ci‑dessus, vous remettez Defender à zéro et vous vérifiez, par un scan en amont du démarrage, que votre machine est propre.