Vous avez lancé un exécutable Roblox douteux (« Delta Exploit ») et Windows Defender le détecte sans parvenir à l’éliminer ? Suivez ce guide éprouvé pour assainir votre PC, pas à pas, et éviter toute ré‑infection à l’avenir.
Vue d’ensemble de la situation
Les faux « exploits » pour Roblox circulent sous forme d’installateurs et de chargeurs (« loaders ») qui se présentent comme des outils d’injection de scripts. Beaucoup dissimulent un trojan ou un voleur d’informations (stealer) capable de persister au redémarrage, d’installer des tâches planifiées, de modifier le proxy système, d’ajouter une entrée dans le fichier hosts ou encore de déposer des binaires supplémentaires dans %AppData% et %ProgramData%. Il n’est pas rare que Windows Defender signale la menace, mais échoue à l’effacer si le processus malveillant est actif, verrouille ses fichiers, ou si la suppression est empêchée par un mécanisme de persistance.
L’objectif de ce tutoriel est de purger proprement le malware connu sous le nom de « Delta Exploit » (ou ses variantes), de valider l’intégrité du système et de réduire le risque résiduel au minimum.
Plan d’action rapide
- Redémarrer en mode sans échec pour empêcher le lancement du malware.
- Afficher les fichiers cachés, vider l’historique et la quarantaine de Defender puis redémarrer en mode normal.
- Lancer l’analyse hors ligne de Windows Defender (Offline Scan), suivie d’une analyse complète.
- Mettre à jour les signatures, obtenir un second avis (outil réputé), réinitialiser vos mots de passe et activer la 2FA.
- Effectuer des vérifications de persistance (tâches planifiées, démarrage, proxy,
hosts), puis créer un point de restauration.
Solution pas‑à‑pas
Démarrer Windows en mode sans échec
- Ouvrez Paramètres > Mise à jour et sécurité > Récupération > Démarrage avancé > Redémarrer maintenant.
- Dans l’environnement de récupération, choisissez Dépannage > Options avancées > Paramètres > Redémarrer, puis sélectionnez 4 ou F4 (Activer le mode sans échec).
Pourquoi ? En mode sans échec, seuls les services et pilotes essentiels démarrent. Les programmes malveillants ont beaucoup plus de mal à s’exécuter et à s’auto‑protéger.
Afficher les fichiers cachés
- Ouvrez l’Explorateur > Affichage > cochez Éléments masqués.
Vous aurez besoin de voir %ProgramData% pour les étapes suivantes.
Vider manuellement l’historique et la quarantaine de Defender
Ouvrez l’Explorateur (ou PowerShell en tant qu’administrateur) et supprimez le contenu des dossiers suivants :
C:\ProgramData\Microsoft\Windows Defender\Scans\History\ServiceC:\ProgramData\Microsoft\Windows Defender\Quarantine
Conseils :
- Supprimez le contenu seulement, pas les dossiers eux‑mêmes.
- Si un fichier est verrouillé, redémarrez à nouveau en mode sans échec et réessayez.
Redémarrer Windows en mode normal
Redémarrez l’ordinateur de façon classique. L’objectif est de repartir proprement, sans traces de quarantaine susceptibles de bloquer une ré‑analyse ou d’induire un faux état.
Exécuter l’analyse hors ligne de Windows Defender
- Ouvrez Sécurité Windows > Protection contre les virus et menaces > Options d’analyse.
- Choisissez Analyse Windows Defender hors ligne puis cliquez sur Analyser maintenant.
Le PC redémarre et un moteur dédié scanne le système avant le chargement de Windows, ce qui déloge efficacement les menaces persistantes.
Lancer une analyse complète standard
- Après le retour sur le Bureau, dans Sécurité Windows > Options d’analyse, lancez une analyse complète.
- Laissez l’analyse se terminer (cela peut prendre du temps selon la taille du disque et le nombre de fichiers).
Informations complémentaires utiles
- Mettre à jour les signatures avant chaque analyse pour maximiser la détection. Dans Sécurité Windows > Protection contre les virus et menaces > Mises à jour de la protection, recherchez une mise à jour.
- Obtenir un second avis avec un outil réputé (par ex. Microsoft Safety Scanner, Malwarebytes) pour détecter de possibles résidus laissés par « Delta Exploit ».
- Changer tous les mots de passe sensibles (messagerie, banques, jeux, Windows, etc.) et activer la 2FA. Un trojan peut avoir dérobé des identifiants stockés.
- Sauvegarder régulièrement vos données et, une fois le système propre, créer un point de restauration (Panneau de configuration > Système > Protection du système).
- Adopter des pratiques de sécurité : ne jamais exécuter d’exécutables d’origine incertaine, même s’ils sont populaires dans des communautés de jeu, et maintenir Windows/logiciels à jour.
Vérifications approfondies recommandées
Ces contrôles complètent les analyses et visent à supprimer toute persistance résiduelle souvent employée par des « loaders » de type Delta Exploit.
Tâches planifiées et démarrage
Ouvrez PowerShell en tant qu’administrateur et exécutez :
# Lister les tâches planifiées suspectes
Get-ScheduledTask | Where-Object {$_.TaskName -match 'Delta|Exploit|Roblox|Update|Service'} |
Select TaskName,State,TaskPath
# Lister les éléments de démarrage
Get-CimInstance Win32_StartupCommand |
Select-Object Name, Command, Location |
Sort-Object Name Que faire si vous trouvez une tâche/entrée suspecte ? Notez son nom, désactivez-la, puis supprimez-la (Planificateur de tâches > clic droit > Supprimer). Vérifiez que le fichier ciblé n’existe plus (sinon, supprimez‑le puis videz la Corbeille).
Proxy système, DNS et paramètres réseau
Certains voleurs d’informations imposent un proxy malveillant pour intercepter le trafic. Réinitialisez :
netsh winhttp reset proxy
netsh winsock reset
ipconfig /flushdns
Fichier hosts et règles du pare-feu
Vérifiez C:\Windows\System32\drivers\etc\hosts. Il doit contenir uniquement des entrées légitimes. Supprimez toute redirection douteuse (par ex. détournant des domaines Roblox, Microsoft, Google, etc.).
Ouvrez Pare-feu Windows > Paramètres avancés. Recherchez des règles entrantes/sortantes récemment créées pointant vers un exécutable inconnu dans %AppData% ou %ProgramData%. Supprimez‑les si nécessaire.
Emplacements typiques à inspecter
| Composant | Chemin / Clé | À vérifier |
|---|---|---|
| AppData local/roaming | %AppData%, %LocalAppData% | Dossiers récemment créés, exécutables inconnus, fichiers « updater/loader ». |
| Données globales | %ProgramData% | Chargeurs persistants, scripts de démarrage. |
| Démarrage utilisateur | shell:startup | Raccourcis pointant vers un binaire suspect. |
| Run/RunOnce | HKCU/HKLM\Software\Microsoft\Windows\CurrentVersion\Run* | Entrées vers .exe inconnus, chemins dans AppData. |
| Tâches planifiées | Planificateur & %SystemRoot%\System32\Tasks | Tâches « Update/Service/Helper » inhabituelles. |
| Navigateur | Extensions récentes | Extensions non installées volontairement. |
Commandes Defender utiles (PowerShell)
# Lancer une analyse complète
Start-MpScan -ScanType FullScan
# Déclencher un scan hors ligne (impose un redémarrage)
Start-MpWDOScan
# Mettre à jour les signatures
Update-MpSignature
# Lister les menaces récemment détectées
Get-MpThreatDetection | Select-Object DetectionID, Resources, InitialDetectionTime, ActionSuccess Pourquoi Defender détecte mais n’efface pas toujours ?
- Auto‑protection : le processus malveillant reste en mémoire et ré‑apparaît, récréant les fichiers supprimés.
- Verrouillage de fichiers : le binaire est utilisé par un service/tâche, empêchant sa suppression en ligne.
- Persistance multi‑couches : plusieurs points d’ancrage (tâche, registre, service) se réactivent mutuellement.
- Faux positifs de « clean » : la quarantaine est remplie mais le fichier source demeure ailleurs.
L’analyse hors ligne résout la majorité de ces cas car elle agit avant tout démarrage d’outil ou de service tiers.
Signes d’infection à surveiller
- Fenêtres de console éphémères au démarrage, messages « Error loading DLL », ralentissements soudains.
- Trafic réseau inhabituel, proxy activé sans action de votre part.
- Nouveaux processus inconnus démarrant avec Windows, notifications Defender répétitives.
- Navigateurs déconnectés, sessions Roblox/Microsoft révoquées sans explication.
Exemples d’artefacts fréquemment rencontrés
Exemples illustratifs (ils varient selon les variantes) :
- Noms d’installateurs :
Delta_Exploit_Setup.exe,Roblox_Exploit_Installer.exe,loader.exe,bootstrapper.exe,KeySystem.exe. - Sous‑dossiers récents dans
%AppData%ou%ProgramData%portant des noms génériques (Updater, Service, Helper). - Tâches planifiées intitulées Update, Maintenance, Delta, Roblox Helper lancées à l’ouverture de session.
Traitez toute correspondance comme suspecte et appliquez les étapes de suppression listées plus haut.
Tableau de référence rapide
| Action | But | Où/Comment |
|---|---|---|
| Mode sans échec | Empêche l’exécution du malware | Paramètres > Récupération > Démarrage avancé |
| Afficher fichiers cachés | Voir ProgramData & artefacts | Explorateur > Affichage > Éléments masqués |
| Vider Historique & Quarantaine | Éviter les conflits et clarifier l’état | Supprimer contenu des dossiers Defender dédiés |
| Offline Scan | Nettoyage avant le boot de Windows | Sécurité Windows > Options d’analyse |
| Analyse complète | Validation finale de l’intégrité | Sécurité Windows > Options d’analyse |
| Second avis | Détecter d’éventuels résidus | Outils réputés (scan à la demande) |
Questions fréquentes
Faut‑il réinstaller Roblox ?
Si des fichiers liés à Roblox ont été modifiés par l’exécutable douteux, une réinstallation propre peut éviter toute anomalie. Désinstallez, supprimez les dossiers résiduels dans %LocalAppData% et réinstallez depuis la source officielle.
Dois‑je formater ?
Dans la plupart des cas, les étapes ci‑dessus suffisent. En cas de symptômes persistants malgré l’Offline Scan et une seconde opinion, une réinitialisation de Windows en conservant les fichiers ou une réinstallation peut être envisagée.
Je ne peux pas vider la Quarantaine Defender
Vérifiez que vous êtes en mode sans échec et que vous supprimez le contenu des dossiers, pas les dossiers eux‑mêmes. Si un fichier est verrouillé, effectuez un redémarrage sans échec supplémentaire, puis réessayez.
Comment être certain que tout est propre ?
Combinez : Offline Scan réussi, analyse complète sans détection, second avis neutre, absence de tâches/entrées de démarrage suspectes, paramètres proxy réinitialisés et fichier hosts sain.
Après le nettoyage : durcir votre poste
- Activez la protection contre les ransomwares et contrôlez l’accès aux dossiers importants dans Sécurité Windows.
- Activez la vérification des applications potentiellement indésirables (PUA/PUP).
- Maintenez Windows et vos logiciels à jour via Windows Update.
- Privilégiez un compte Windows standard au quotidien et utilisez l’administrateur uniquement pour l’installation.
- Sauvegardes régulières (au moins une copie hors‑ligne) et point de restauration après assainissement.
Annexe : check‑list imprimable
- Mode sans échec démarré.
- Fichiers cachés affichés.
- Historique & Quarantaine Defender vidés.
- Redémarrage en mode normal effectué.
- Analyse hors ligne lancée et terminée.
- Analyse complète terminée, 0 menace restante.
- Signatures Defender à jour.
- Second avis exécuté (aucune menace).
- Tâches planifiées et démarrage vérifiés/sains.
- Proxy/DNS réinitialisés, fichier
hostssain. - Mots de passe changés, 2FA activée.
- Point de restauration créé.
Conclusion
« Delta Exploit » et consorts s’appuient sur des techniques classiques des chargeurs malveillants. La combinaison mode sans échec → purge Defender → Offline Scan → analyse complète, suivie d’un contrôle de persistance et d’un second avis, permet dans la grande majorité des cas un retour à un état sain. En appliquant ensuite les bonnes pratiques listées, vous réduisez significativement la probabilité d’une ré‑infection et protégez vos comptes de jeu et vos données personnelles.
Rappel des étapes essentielles (pas‑à‑pas)
- Démarrer Windows en mode sans échec afin que le programme malveillant ne puisse pas se lancer.
- Afficher les fichiers cachés (Explorateur ➜ Affichage ➜ « Éléments masqués »).
- Vider manuellement l’historique et la quarantaine de Defender :
- Supprimer le contenu de
C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service. - Supprimer le contenu de
C:\ProgramData\Microsoft\Windows Defender\Quarantine.
- Supprimer le contenu de
- Redémarrer Windows en mode normal.
- Exécuter l’analyse hors ligne de Windows Defender (Offline Scan) ; l’ordinateur redémarre et procède à un scan approfondi avant le chargement de Windows.
- Lancer ensuite une analyse complète standard pour confirmer que le système est parfaitement sain.
Bonnes pratiques de sécurité (récapitulatif)
- Mettre à jour les signatures de Windows Defender avant chaque analyse.
- Obtenir un second avis avec un outil gratuit réputé (Microsoft Safety Scanner, Malwarebytes, etc.).
- Modifier tous les mots de passe sensibles et activer la double authentification.
- Sauvegarder régulièrement vos données et créer un point de restauration après nettoyage.
- Ne pas exécuter de programmes inconnus, même issus de communautés de jeu, et maintenir Windows/logiciels à jour.