MENU
  1. Accueil
  2. Windows
  3. Windows Defender
  4. Windows Script Host & Defender cassé sous Windows 11 : nettoyer un .vbs malveillant et restaurer Microsoft Defender (guide complet)

Windows Script Host & Defender cassé sous Windows 11 : nettoyer un .vbs malveillant et restaurer Microsoft Defender (guide complet)

Windows Defender

Votre PC Windows 11 affiche « Windows Script Host » au démarrage, Defender détecte sans cesse un fichier .vbs suspect et Windows Security refuse de se réactiver ? Voici une procédure claire pour éradiquer le script malveillant et restaurer Microsoft Defender, pas à pas.

Sommaire

Problème principal

  • Alerte Windows Script Host déclenchée par un fichier .vbs malveillant lancé au démarrage.
  • Détections répétées de virus ou logiciel potentiellement indésirable par Microsoft Defender — parfois classées comme ransomware.
  • Après désactivation temporaire de Defender (pour installer un jeu ou un crack) : services/bibliothèques de Defender supprimés ou corrompus (erreur Code 2 dans services.msc), Windows Security inactif et, parfois, boucle de démarrage (BSOD) nécessitant une réinitialisation partielle de Windows 11.

Avant de commencer : sécurité et prérequis

  • Déconnectez-vous d’Internet (désactivez Wi‑Fi/ethernet) le temps du nettoyage, pour empêcher toute réinstallation du malware.
  • Sauvegardez vos données essentielles sur un support hors ligne (clé USB, disque externe). Ne copiez pas d’exécutables douteux.
  • Ouvrez une session Administrateur (ou élevez en Administrateur quand c’est demandé).
  • Si le PC est instable, redémarrez en Mode sans échec avec prise en charge réseau (pratique pour télécharger les outils de nettoyage). Attention : n’installez aucun crack ou logiciel douteux.

Diagnostic et nettoyage manuel

ÉtapeAction essentielleObjectif
Autoruns (Sysinternals)Exécuter Autoruns64.exe en Administrateur, filtrer sur vbs, supprimer l’entrée rouge correspondant au script malveillant.Éliminer le déclencheur au démarrage.
Explorateur de fichiersAfficher les éléments cachés puis :
C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service
C:\ProgramData\Microsoft\Windows Defender\Quarantine
supprimer le contenu de ces dossiers.		Purger l’historique et la quarantaine pour repartir d’un état sain.
Scan hors‑ligne DefenderLancer l’analyse hors connexion après redémarrage.Détecter et neutraliser les menaces qui se chargent avant Windows.
Malwarebytes (ou équivalent)Analyse complète dès que Defender ne fonctionne plus.Compléter la détection, surtout si Defender est cassé.
Invite AdminSupprimer le script et les tâches planifiées :
del "%localappdata%\Updates\Run.vbs"
schtasks /delete /tn "Window Update" /f
schtasks /delete /tn "Windows Service Task" /f
rd /s /q "%localappdata%\Updates"		Éradiquer les résidus du malware qui se réinstalle.

Pourquoi ces symptômes apparaissent‑ils ?

SymptômeCause probableConséquence
Alerte Windows Script HostEntrée de démarrage (Run, RunOnce, Tâche planifiée) vers un .vbs persistantExécution du script à chaque démarrage, réinfection possible
Détections Defender récurrentesRésidu en quarantaine/historique, ou chargeur qui se régénèreNotifications incessantes, neutralisation incomplète
Erreur Code 2 DefenderFichiers/services Defender endommagés après désactivation ou suppressionWindows Security inopérant, surfaces d’attaque non protégées
BSOD en boucleComposants système corrompusNécessité d’une réinitialisation ou d’une réparation sur place

Étapes détaillées et bonnes pratiques

1) Localiser et retirer la persistance avec Autoruns

  1. Démarrez Autoruns64.exe en Exécuter en tant qu’administrateur.
  2. Allez dans Options et cochez : Hide Microsoft Entries (pour réduire le bruit) puis Scan Options… > Verify code signatures (facultatif).
  3. Dans la barre Filter, tapez vbs ou Script.
  4. Inspectez les onglets Logon, Scheduled Tasks, Services. Les lignes en jaune/rouge indiquent souvent des chemins manquants ou non signés.
  5. Supprimez toute entrée pointant vers un fichier suspect du type :
    %LOCALAPPDATA%\Updates\Run.vbs ou un .vbs dans %APPDATA%/%TEMP%/Public.
    Clic droit > Delete. Confirmez.
  6. Notez la localisation du script pour suppression manuelle dans l’étape « Invite Admin ».

Astuce : Si vous hésitez sur une entrée, décochez‑la d’abord pour tester, redémarrez, puis supprimez si aucune régression n’apparaît.

2) Purger l’historique et la quarantaine de Defender

  1. Ouvrez l’Explorateur, onglet Affichage > Éléments cachés.
  2. Supprimez le contenu (pas les dossiers eux‑mêmes) de :
    C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service
    C:\ProgramData\Microsoft\Windows Defender\Quarantine
  3. Videz la Corbeille.

Cette purge évite que d’anciens éléments quarantinés déclenchent des fausses résurgences ou que le malware s’y « cache ».

3) Lancer une analyse Microsoft Defender hors ligne

  1. Rouvrez la session réseau si nécessaire, mettez à jour Windows, puis déconnectez‑vous à nouveau d’Internet juste avant le scan.
  2. Allez dans Paramètres > Confidentialité et sécurité > Sécurité Windows > Protection contre les virus et menaces > Options d’analyse.
  3. Sélectionnez Analyse Microsoft Defender hors ligne > Analyser maintenant. Le PC redémarre et scanne en dehors de Windows.
  4. Laissez l’analyse se terminer (10–20 min en général). Le PC redémarre automatiquement.

Pourquoi hors ligne ? Les menaces qui s’injectent très tôt au démarrage échappent parfois aux protections en mode connecté. Hors ligne, elles sont désarmées et supprimées sans se réinstaller.

4) Scanner avec Malwarebytes (ou équivalent)

  • Installez la version gratuite d’un antimalware réputé si Defender est cassé. Lancer une analyse complète.
  • Quarantaine tout ce qui est détecté. Ne restaurez rien liée au crack/jeu à l’origine de l’incident.

5) Supprimer les fichiers et tâches rémanents en Invite de commandes (Admin)

Ouvrez Invite de commandes en Administrateur et exécutez :

del "%localappdata%\Updates\Run.vbs"
schtasks /delete /tn "Window Update" /f
schtasks /delete /tn "Windows Service Task" /f
rd /s /q "%localappdata%\Updates"

Remarques :

  • Si un message « Le fichier introuvable » apparaît, c’est OK : cela signifie que l’élément n’existe plus.
  • Vous pouvez vérifier les tâches restantes :
    schtasks /query /fo LIST /v | findstr /i "Update Service vbs"

6) Réparer les fichiers système (optionnel mais recommandé)

Avant de réinstaller Defender, tentez la réparation des composants Windows :

sfc /scannow
DISM /Online /Cleanup-Image /RestoreHealth

Redémarrez à la fin. Si l’erreur Code 2 persiste sur le service WinDefend, passez à la section « Restauration de Defender ».

Restauration de Defender

Réparation sur place (In‑place upgrade) de Windows 11

But : restaurer les binaires et services Microsoft Defender (WinDefend, SecurityHealthService, etc.) sans toucher à vos données ni à vos applications.

  1. Téléchargez l’ISO correspondant exactement à votre édition/version de Windows 11.
  2. Faites un clic droit > Monter, puis lancez setup.exe.
  3. Lorsque l’assistant le propose, choisissez Conserver les applications et les fichiers personnels.
  4. Laissez la réparation s’effectuer. Le PC redémarre plusieurs fois.

Résultat : les services Defender sont recréés, les bibliothèques réparées, Windows Security se réactive normalement. Vous évitez ainsi une réinstallation complète.

Réinitialisation locale en conservant les fichiers

Si le système boucle en BSOD ou que Windows Security reste inerte :

  1. Paramètres > Système > Récupération > Réinitialiser ce PC.
  2. Choisissez Conserver mes fichiers (les applications seront réinstallées).

Cette méthode corrige en profondeur mais recrée un dossier Windows.old et exige la réinstallation des logiciels.

Suppression de Windows.old

Après vérifications (système OK, données présentes) :

  1. Ouvrez Nettoyage de disque > Nettoyer les fichiers système.
  2. Cochez Installations précédentes de Windows puis validez.

Prévention : bonnes pratiques complémentaires

  • Ne désactivez jamais Defender (ou tout antivirus) pour installer des cracks/activateurs. Ces outils sont un vecteur majeur de trojans et ransomwares.
  • Sauvegardes hors ligne régulières : au moins une image système mensuelle et une sauvegarde des documents hebdomadaire sur disque externe déconnecté.
  • Téléchargements sûrs : privilégiez les sites éditeurs. Les installeurs « repacks », IDM non officiel et jeux piratés contiennent fréquemment du code indésirable.
  • Activer la Protection contre les modifications non autorisées (Tamper Protection) dans Windows Security.
  • Activer la protection anti‑ransomware (Accès contrôlé aux dossiers) et ajoutez vos dossiers de travail essentiels.
  • Créer un point de restauration avant toute manipulation système risquée.

Que faire si Defender reste inactif ?

  • Vérifier la présence d’un antivirus tiers (McAfee, Avast, etc.). S’il est actif, WinDefend se désactive automatiquement. Désinstallez‑le proprement si vous préférez Defender.
  • Ré‑enregistrer l’application Windows Security (PowerShell Admin) :
Get-AppxPackage Microsoft.SecHealthUI -AllUsers | Reset-AppxPackage
  • Contrôler l’état de Defender (PowerShell Admin) :
Get-MpComputerStatus | Select AMServiceEnabled,AntivirusEnabled,RealTimeProtectionEnabled
  • Dernier recours : relancer une réparation sur place. C’est la méthode la plus sûre pour restaurer complètement les services Defender sans perte de données.

Check‑list de validation après nettoyage

  • Plus d’alerte Windows Script Host au démarrage.
  • Historique/Quarantaine de Defender vides, puis analyse hors‑ligne sans détection résiduelle.
  • Windows Security fonctionne : panneau ouvrable, temps réel activé, mises à jour de définitions OK.
  • Les tâches planifiées suspectes ont disparu.
  • Le dossier %LOCALAPPDATA%\Updates n’existe plus.

FAQ rapide

Comment savoir si l’alerte Windows Script Host est légitime ?

Un script légitime est signé, se trouve dans des emplacements système connus et n’apparaît pas subitement après l’installation d’un crack/outil douteux. Avec Autoruns, tout .vbs dans %APPDATA%/%LOCALAPPDATA% déclenché au logon est suspect.

Puis‑je simplement supprimer le fichier .vbs ?

Non, pas uniquement. Sans supprimer la persistance (clé Run, tâche planifiée), un autre exécutable peut recréer le script au prochain démarrage.

Pourquoi mon service Defender affiche « Code 2 » ?

Le code indique généralement des fichiers manquants ou une configuration de service invalide (souvent après désactivation forcée de l’antivirus). La réparation sur place remplace proprement les composants.

Dois‑je payer une suite de sécurité ?

Pas nécessairement. Pour beaucoup d’utilisateurs, Microsoft Defender + pratiques prudentes + sauvegardes hors ligne offrent une protection solide. L’essentiel est d’éviter les sources non fiables.

Pas à pas condensé (mémo opérationnel)

  1. Isoler le PC d’Internet et ouvrir une session Admin.
  2. Autoruns : filtrer vbs > supprimer l’entrée malveillante.
  3. Purger Defender : vider History\Service et Quarantine.
  4. Scan hors‑ligne Defender.
  5. Malwarebytes (si Defender cassé), quarantaine tout.
  6. Invite Admin : supprimer Run.vbs, les tâches et le répertoire Updates.
  7. SFC/DISM puis réparation sur place si le service Defender reste KO.
  8. Nettoyage : supprimer Windows.old une fois tout validé.

Annexes : commandes utiles

Auditer la persistance

reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run
schtasks /query /fo LIST /v | more
wmic startup get Caption,Command,Location

Vérifier les services liés à Windows Security

sc query WinDefend
sc query SecurityHealthService
sc query Sense

Réinitialiser certains paramètres Defender (sans affaiblir la sécurité)

PowerShell -ExecutionPolicy Bypass -Command "Get-MpPreference | Format-List *"

Note : ne désactivez pas la Protection en temps réel ni Tamper Protection. Le but est de vérifier la configuration, pas de l’amoindrir.

Résultat attendu

  • Plus d’alerte Windows Script Host.
  • Historique Defender propre et analyse hors‑ligne sans détection résiduelle.
  • Windows Security de nouveau opérationnel (temps réel actif, mises à jour OK). Un antivirus tiers demeure optionnel selon vos préférences.

Erreurs courantes à éviter

  • Relancer un crack « pour tester » après nettoyage : vous recréez exactement le problème.
  • Supprimer uniquement le fichier .vbs sans traiter la tâche planifiée : la persistance réinstalle le fichier.
  • Laisser la quarantaine/historique saturés : cela entretient des faux positifs et complique le diagnostic.
  • Rester connecté à Internet pendant l’éradication : certains chargeurs re‑téléchargent silencieusement les composants.

Bonnes pratiques post‑incident

  • Changez les mots de passe sensibles (compte Microsoft, messageries, services bancaires) à partir d’un appareil de confiance.
  • Activez l’authentification multifacteur (MFA) partout où c’est possible.
  • Mettez en place une politique de sauvegarde 3‑2‑1 : 3 copies, 2 supports, 1 hors site.
  • Planifiez un scan hors‑ligne mensuel et vérifiez régulièrement que Tamper Protection reste actif.

En résumé

Ce scénario combine un script .vbs persistant (Windows Script Host) et un Microsoft Defender endommagé. La solution efficace tient en trois axes : supprimer la persistance (Autoruns + tâches + fichiers), assainir (purge/quarantaine + scan hors‑ligne + antimalware), et réparer (réparation sur place, puis réinitialisation si nécessaire). Appliquez la check‑list, puis verrouillez vos habitudes de sécurité : plus jamais de désactivation de Defender pour des logiciels non fiables.

Windows Defender
PowerShell Windows 11 troubleshooting Windows Defender malware Autoruns Ransomware
Sommaire