MENU
  1. Accueil
  2. Windows
  3. Windows Defender
  4. Windows Defender : mettre fin aux alertes répétées « Trojan Win32/Occamy.C » (Historique de protection) – guide complet et solution fiable

Windows Defender : mettre fin aux alertes répétées « Trojan Win32/Occamy.C » (Historique de protection) – guide complet et solution fiable

Windows Defender

Windows Defender signale sans cesse « Trojan Win32/Occamy.C » sans montrer de fichier précis ? Voici une méthode claire pour déterminer si votre PC est vraiment infecté, éliminer les alertes fantômes et restaurer un fonctionnement normal, étape par étape.

Sommaire

Détections répétées de Trojan Win32/Occamy.C dans l’Historique de protection Windows Defender

Vue d’ensemble de la situation

Depuis le 2 février, un utilisateur voit apparaître régulièrement des alertes Windows Defender indiquant la détection — et la supposée suppression — du cheval de Troie Win32/Occamy.C. Aucun chemin complet n’est fourni, hormis une mention générale d’une DLL à la racine du disque système. La question est double : la machine est‑elle réellement infectée ? Quelles actions mener pour cesser ces notifications récurrentes ?

Réponse et solution validée

  1. Redémarrer en mode sans échec pour empêcher tout code malveillant de se charger et pour libérer les fichiers verrouillés.
  2. Afficher les éléments cachés dans l’Explorateur, puis purger manuellement le contenu de :
    C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service
    C:\ProgramData\Microsoft\Windows Defender\Quarantine
  3. Redémarrer en mode normal.
  4. Lancer une analyse hors ligne Microsoft Defender (Offline) : l’ordinateur redémarre et effectue un scan approfondi avant le chargement de Windows.
  5. Vérifier le résultat : aucune menace détectée ⇒ le PC est considéré sain et aucune action supplémentaire n’est indispensable.

Pourquoi ces alertes revenaient‑elles ?

Dans de nombreux cas, les entrées résiduelles présentes dans les dossiers Service ou Quarantine de Microsoft Defender réactivent des détections à chaque rafraîchissement de l’Historique de protection. Ce ne sont pas des fichiers exécutables actifs, mais des traces (métadonnées, empreintes, fichiers neutralisés) conservées pour audit. La suppression manuelle de ces dossiers vide leur contenu et supprime ces « fantômes ».

Plan d’action détaillé

Redémarrage en mode sans échec

Objectif : empêcher tout composant malveillant, pilote ou service tiers de se lancer. Cela facilite la suppression des résidus et réduit le risque d’erreur « Accès refusé ».

Méthode rapide (Windows 10/11)

  1. Maintenez Shift enfoncé et cliquez sur Redémarrer (depuis le menu Démarrer > Alimentation).
  2. Dans l’environnement de récupération, ouvrez Dépannage > Options avancées > Paramètres > Redémarrer.
  3. À l’écran des options, appuyez sur 4 ou F4 (Activer le mode sans échec).

Alternative : msconfig > onglet Démarrer > Démarrage sécurisé (Minimal). Redémarrez, puis n’oubliez pas de décocher l’option après l’intervention.

Affichage des éléments cachés et purge sécurisée

Les dossiers à nettoyer résident sous C:\ProgramData, un répertoire caché par défaut.

  1. Ouvrez l’Explorateur de fichiers, onglet Affichage > cochez Éléments masqués. Dans Options > Affichage, cochez Afficher les fichiers, dossiers et lecteurs cachés.
  2. Accédez à :
    C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service
    C:\ProgramData\Microsoft\Windows Defender\Quarantine
  3. Supprimez le contenu de chacun de ces dossiers (ne supprimez pas la structure principale de Windows Defender).

Si vous préférez l’invite PowerShell (administrateur), utilisez :

# Exécuter sous PowerShell en tant qu'administrateur
Remove-Item "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\*" -Recurse -Force -ErrorAction SilentlyContinue
Remove-Item "C:\ProgramData\Microsoft\Windows Defender\Quarantine\*" -Recurse -Force -ErrorAction SilentlyContinue

Important : ne désactivez pas la Protection contre les altérations (Tamper Protection). L’opération ci‑dessus ne touche qu’aux données historiques et à la quarantaine, pas au moteur ni à ses paramètres.

Redémarrage en mode normal

Redémarrez Windows normalement pour revenir à votre session classique. Cette étape valide la purge et réactive les composants en temps réel dans leur configuration standard.

Analyse hors ligne Microsoft Defender

L’analyse hors ligne (Microsoft Defender Offline) lance un scan avant le démarrage de Windows, ce qui permet de détecter et neutraliser des malwares furtifs (rootkits, loaders, injecteurs) qui se cachent au démarrage.

  1. Ouvrez Sécurité Windows > Protection contre les virus et menaces.
  2. Cliquez sur Options d’analyse > sélectionnez Analyse Microsoft Defender hors ligne > Analyser maintenant.
  3. L’ordinateur redémarre, exécute l’analyse, puis revient sous Windows.

Commande PowerShell équivalente (administrateur) :

Start-MpWDOScan

Interpréter le résultat

  • 0 menace détectée : la machine est considérée saine. Les alertes répétées provenaient très probablement d’artefacts dans l’Historique/Quarantaine.
  • Menaces détectées : laissez l’outil nettoyer. Au besoin, refaites une analyse complète et vérifiez les éléments de démarrage (planificateur de tâches, services) listés plus bas.

Comprendre le rôle des dossiers Service et Quarantine

Microsoft Defender conserve des informations pour l’historique (événements, empreintes, chemins, remédiations) dans Scans\History\Service. Le dossier Quarantine contient les artefacts neutralisés (fichiers renommés et isolés, flux, métadonnées). Lorsqu’un re‑parcours de ces répertoires a lieu (par exemple, processus d’entretien, indexation ou routines internes du service), certaines signatures génériques peuvent ré‑associer ces traces au nom de menace Occamy.C, d’où les notifications récurrentes. Purger ces contenus supprime les déclencheurs.

À propos de Win32/Occamy.C

Occamy.C est classé comme un cheval de Troie (trojan) généralement utilisé en tant que loader : son objectif est de télécharger/installer d’autres composants malveillants (espionnage, voleur d’identifiants, publicités agressives, etc.). Les variantes récentes sont bien cartographiées par les principaux moteurs antivirus. En pratique :

  • La diffusion survient souvent via des installeurs non officiels, cracks, exécutables empaquetés, archives reçues par e‑mail/messagerie.
  • Leur persistance repose sur des tâches planifiées, clés de registre d’exécution automatique, services, voire DLL side‑loading si une application légitime charge une bibliothèque trojanisée.
  • Une analyse hors ligne et une purge de l’historique/quarantaine suffisent dans la vaste majorité des cas où seules des traces restent présentes.

Vérifier que le système est réellement sain

Au‑delà du résultat « 0 menace détectée », vous pouvez procéder à quelques contrôles complémentaires, utiles en contexte professionnel ou exigeant :

Contrôles rapides

  • Historique de protection : ouvrez Sécurité Windows > Protection contre les virus et menaces > Historique de protection ; confirmez l’absence de nouvelles détections après la purge.
  • Planificateur de tâches : lancez taskschd.msc et vérifiez Bibliothèque du Planificateur pour détecter des tâches inconnues (exécutions très fréquentes, noms aléatoires, chemins inhabituels).
  • Programmes au démarrage : Gestionnaire des tâches > onglet Démarrage ; désactivez tout élément non identifié.

Journalisation Defender (option avancée)

L’Observateur d’événements consigne les détections dans Journaux des applications et des services > Microsoft > Windows > Windows Defender > Operational. Les événements typiques incluent les ID de détection, remédiation et mises à jour de signatures. Filtrez les événements récents pour confirmer l’absence de nouvelles alertes après l’intervention.

PowerShell : consulter/réinitialiser les traces

# Lister les dernières détections (dont Occamy)
Get-MpThreatDetection | Sort-Object DetectionTime -Descending | Select-Object -First 20 Threat,Action,Severity,AMProductVersion,DetectionTime,Resources

# Lister les menaces connues par Defender (catalogue local)

Get-MpThreat | Select-Object ThreatID,ThreatName,SeverityID,ExecutionStatus,DetectedTime | Sort-Object DetectedTime -Descending

# Supprimer toutes les menaces encore marquées en quarantaine (si présent)

Remove-MpThreat -All

Remarque : certaines sorties peuvent être vides si aucune menace en quarantaine n’est active après la purge.

Cas particulier : mention d’une « DLL à la racine de C:\ »

Windows n’installe normalement pas de DLL à la racine de C:\. Une telle présence peut résulter d’un installeur ancien, d’un outil portable ou d’un résidu post‑remédiation. Si un fichier est visible au chemin C:\nom.dll :

  1. Assurez‑vous d’afficher les extensions de fichiers (Explorateur > Affichage > Extensions de noms de fichiers).
  2. Vérifiez la signature numérique (clic droit > Propriétés > Signatures numériques).
  3. Calculez son empreinte pour audit local :
    certutil -hashfile C:\nom.dll SHA256
  4. Si doute, renommez le fichier (par ex. nom.dll.bak) et observez si une application se plaint au lancement. Si rien ne casse, vous pouvez envisager la suppression.

Si l’analyse hors ligne retourne « aucune menace », il est probable que la DLL mentionnée ne soit qu’un indice historique et non un binaire actif.

Bonnes pratiques pour éviter les récidives

  1. Maintenir Windows et les signatures à jour (mises à jour de sécurité, micro‑mises à jour Defender).
  2. Programmer une analyse complète hebdomadaire en plus des analyses rapides quotidiennes.
  3. Activer l’Analyse périodique si vous utilisez un antivirus tiers, afin que Defender fournisse un second avis.
  4. Éviter les logiciels non signés ou téléchargés de sources douteuses (archives, cracks, générateurs de clés, installateurs piratés).
  5. Activer l’Accès contrôlé aux dossiers (protection anti‑ransomware) pour sécuriser les répertoires sensibles.
  6. Conserver des sauvegardes régulières et un point de restauration récent.

Paramètres Defender à privilégier

  • Protection en temps réel et protection basée sur le cloud activées.
  • Soumission automatique d’échantillons activée.
  • Protection contre les altérations (Tamper Protection) activée.
  • Blocage des applications potentiellement indésirables (PUA/PUA Protection) activé.
  • SmartScreen actif pour le navigateur et les applications.

Tableau récapitulatif : symptômes, causes, remèdes

SymptômeCause la plus probableAction recommandéeRésultat attendu
Alertes répétées « Occamy.C » sans chemin clairArtefacts dans Service ou QuarantinePurger les deux dossiers en mode sans échecFin des notifications fantômes
Fichier DLL mentionné à la racine de C:\Résidu d’installeur ou trace d’une remédiationVérification signature, empreinte SHA‑256, renommage puis suppression si inactifAbsence d’impact applicatif, système sain
Bloquage à la suppressionFichier en cours d’utilisationMode sans échec ou Start‑up Repair/WinRE puis suppressionNettoyage complet
Retour d’alertes après quelques joursNouveau téléchargement malveillant / exécution risquéeRenforcer SmartScreen, PUA, éviter sources tierces, analyses régulièresPas de récidives

Scénarios spéciaux et dépannage

Vous utilisez déjà un antivirus tiers

Évitez deux protections temps réel simultanées. Laissez l’antivirus tiers en temps réel et activez l’Analyse périodique de Defender (second avis). Les alertes fantômes peuvent venir de la cohabitation ; la purge reste valable.

Impossible de vider la Quarantaine

  • Essayez à nouveau en mode sans échec.
  • Redémarrez en WinRE (Options avancées > Invite de commandes) et supprimez les contenus via del/rmdir sur le volume système.

Réinitialisation des définitions (en dernier recours)

Si un profil de signatures corrompu entretient de fausses associations, vous pouvez réinitialiser puis mettre à jour :

"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -RemoveDefinitions -All
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -SignatureUpdate

Note : un nouveau SignatureUpdate est indispensable après la suppression.

Analyse complète à la demande

# Analyse rapide
Start-MpScan -ScanType QuickScan

# Analyse complète (durée plus longue)

Start-MpScan -ScanType FullScan

Foire aux questions

Dois‑je formater mon PC si l’analyse hors ligne ne trouve rien ?

Non. Si l’analyse hors ligne est négative et qu’aucune comportement anormal n’est observé (processus inconnus, tâches suspicieuses, redirections réseau), la purge des dossiers suffit. Conservez toutefois des sauvegardes régulières.

Les notifications peuvent‑elles venir d’une autre session utilisateur ?

Oui, mais l’Historique de protection affiche les événements système. Si plusieurs profils existent, assurez‑vous qu’aucune session n’exécute des fichiers d’origine douteuse (Téléchargements, Bureau public).

Peut‑on s’appuyer sur un second avis antivirus ?

Oui, ponctuellement. Évitez néanmoins les installations multiples en temps réel. Utilisez un scanner à la demande de confiance si vous suspectez un reste. Dans la majorité des cas de « Occamy.C » post‑remédiation, l’analyse hors ligne de Defender est suffisante.

Checklist finale

  • Mode sans échec exécuté.
  • Service et Quarantine vidés.
  • Redémarrage en mode normal.
  • Analyse hors ligne réalisée.
  • Historique de protection : aucune nouvelle détection.
  • Mises à jour Windows/Defender à jour.
  • Analyses régulières programmées et bonnes pratiques appliquées.

Conclusion

Les alertes récurrentes « Trojan Win32/Occamy.C » sont très souvent dues à des résidus conservés par Microsoft Defender. En procédant à une purge contrôlée de l’Historique/Quarantaine en mode sans échec puis en confirmant l’intégrité du système via une analyse hors ligne, vous éliminez ces notifications fantômes et restaurez un état fiable. Adoptez les réglages de sécurité recommandés et des habitudes de téléchargement prudentes : vous réduirez drastiquement le risque de récidive.

Annexe : commandes utiles (référence rapide)

# Purge historique/quarantaine (administrateur)
Remove-Item "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\*" -Recurse -Force -ErrorAction SilentlyContinue
Remove-Item "C:\ProgramData\Microsoft\Windows Defender\Quarantine\*" -Recurse -Force -ErrorAction SilentlyContinue

# Démarrer une analyse hors ligne

Start-MpWDOScan

# Analyses rapide/complète

Start-MpScan -ScanType QuickScan
Start-MpScan -ScanType FullScan

# Réinitialiser puis mettre à jour les signatures

"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -RemoveDefinitions -All
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -SignatureUpdate

# Consulter les détections récentes

Get-MpThreatDetection | Sort-Object DetectionTime -Desc | Select-Object -First 10 Threat,Action,Resources,DetectionTime

Résumé pratico‑pratique

Si vous ne devez retenir qu’une chose : passez en mode sans échec, videz Service/Quarantine, redémarrez puis lancez une analyse hors ligne. Si rien n’est détecté, vous êtes débarrassé des faux positifs. Ensuite, mettez à jour, planifiez vos scans, et restez vigilant sur l’origine des logiciels exécutés.

Windows Defender
Windows11 troubleshooting Windows Defender Windows10 malware
Sommaire