Defender Comment effacer les fichiers Quarantaine ?

bigbernie Messages postés 419 Date d'inscription   Statut Membre Dernière intervention   -  
fabul Messages postés 42164 Date d'inscription   Statut Modérateur Dernière intervention   -

Bonjour

Ca ne fonctionne plus du tout  comme avant. Par exemple une video recente explique qu'il faut aller dans Securite, Protection, Historique puis FILTRER  en gardant les Quarantaine. Puis ensuite  et ca ne peut se faire que ligne par ligne, en cliquant a droite en haut doivent s'afficher   2 options: Effacer et Restaurer.

Eh bien non. Ca affiche 9 options mais pas celles la.

Ou ca se trouvait avant :

c programdata  microsoft windows defender quarantaine .

Pour acceder a la suite comme c'est protege il faut utiliser Powershell.

On aboutit au contenu de Quarantine et il y a 3 fichiers  proteges a ouvrir en lignes de commande sinon c'est bloqué.

On dirait que Defender protege ses fichiers quarantaine comme Fort Knox.

entries resourcesdata et resources

Mais mes dossiers contiennent des fichiers quarantaine dont les plus recents ont 1 an

Ne pas confondre la liste des fichiers quarantaine dans Defender ( j'en ai une bonne centaine totalement ineffacables)  et l'emplacement des vrais fichiers dans C qui ne correspond plus a rien depuis 1 ans donc.

Une idée ? Euh  Pas la peine de consulter Internet.  TOUT ce qui concerne l'emplacement des fichiers  est devenu faux.

Autre chose; Je compte acheter un anti virus payant.  Avant w 10 jadis j'avais kaspersky mais maintenant c'est BitDefender qui arrive premier partout.

Ce qui ne va pas avec Defender :  Par exemple il supprime tout un cas d'attaques avant leur execution. Oui mais les trojans de type HTA se servant du fichier systeme mshta ne sont pas bloques a l’arrivée. Defender les laisse s'executer puis ensuite les mets en quarantaine. Ca arrive qu'ils repartent. Pour solutionner il FAUT  se servir de  FRST64.

Voila. JE NE VEUX JAMAIS DE QUARANTAINE.MAIS TOUJOURS EFFACER.

Etc ce que les antivirus modernes type BitDefender peuvent etre configures pour ne JAMAIS rien mettre en quarantaine ?  J'ai oublie le fonctionnement de Kaspersky comme j'ai oublie le fonctionnement de Symantec il y a 30 ans sur disquettes .

Pas facile de repondre avec certitude sauf pour les utilisateurs expérimentes.  Si ça se trouvait facile sur le web j'aurais résolu.

Donc expert en Defender et expert en antivirus payants ???? 

Je veux eviter d'y passer des heures.  

Merci.

11 réponses

  1. Kori-Kori Messages postés 2404 Date d'inscription   Statut Membre Dernière intervention   413
     

    Bonjour,

    Je ne suis pas du tout expert. Si j'ai bien compris la question...

    Avant :

    Démarrage en mode sans échec,

    comme vous dites : c   programdata    microsoft   windows defender   quarantaine (quarantine) et Scans deviennent accessibles.

    Après effaçage et démarrage normal :

    1
  2. fabul Messages postés 42164 Date d'inscription   Statut Modérateur Dernière intervention   6 066
     

    Bonjour,

    Perso je n'utilise pas Defender (Totalement Désactivé), mais quand je l'utilise sur des PC autres que mes PC personnels, je suis bien content de pouvoir restaurer les "Menaces" qui en fait n'en sont pas toujours.

    Il serait bien imprudent ou mal vu un antivirus qui supprime vos fichiers perso (Si vous êtes développeur surtout)

    Pour ce qui est de mshta A1RunGuard Ultimate surveille l'exécution du fichier mshta.exe et bien d'autres, comme PowerShell, etc et bloque certains malwares par défaut.

    En plus de RegRun Security Suite Platinum en licence à vie depuis longtemps, Comodo Firewall, NoScript (Pour Firefox), A1RunGuard était ce qu'il fallait pour renforcer la sécurité de mon PC.

    J'ai commencé par le tester en Giveaway, puis j'ai fini par acheter la version Ultimate.

    https://forums.commentcamarche.net/forum/affich-38178898-proposition-antivirus#p38292748

    1
    1. Kori-Kori Messages postés 2404 Date d'inscription   Statut Membre Dernière intervention   413
       

      Bonjour fabul,

      Pour info, menaces créées moi même pour essais.

      Merci pour les bons tuyaux.

      Bon après midi.

      0
      1. brucine Messages postés 24901 Date d'inscription   Statut Membre Dernière intervention   4 177 > Kori-Kori Messages postés 2404 Date d'inscription   Statut Membre Dernière intervention  
         

        Bonjour,

        Un antivirus, ce n'est pas forcément logique ni indispensable mais un antivirus sans quarantaine ce ne l'est pas du tout puisque cela signifie que les fichiers suspects pourraient alors être exécutés sauf si cet antivirus les a empêchés d'être téléchargés, ils ne sont alors ni en quarantaine ni ailleurs.

        Ce n'est pas le rôle de l'antivirus mais celui d'une composante de défense que d'empêcher un programme sur le disque qui ne serait pas signé ou bien qui demanderait des appels anormaux à d'autres programmes de s'exécuter et celui du pare-feu de l'empêcher de communiquer, bien entendu si l'exécutable malveillant ne commence pas par désactiver ces défenses.

        0
  3. bigbernie Messages postés 419 Date d'inscription   Statut Membre Dernière intervention   18
     

    Avec un peu de retard

    Il existe  des topics complets a propos de ces nouveaux virus de type Powershell. Tres complets et hyper bien expliques.

    J'ai compris pourquoi Defender les laisse passer puis les mets en Quarantaine.

    Les experts disent que meme les meilleurs antivirus peuvent caler et ils expliquent comment ils fonctionnent.

    J'aime bien savoir. Il est dit en permanence sur les comparatifs que BitDefender est le meilleur AV existant. 

    Je me suis inscrit sur le forum BF bien que je ne sois pas client (encore ?). Aucune assurance que BF puisse bloquer les trojans Powershell passant aussi par mshta.

    Ils sont gênés sur le sujet. 

    Ils passent par des composants systeme connus qu'ils ne modifient pas et les AV sont incapables de faire toujours la difference  entre les vais virus et nos propres utilisations de Powershell

    En tout cas Defender est incapable de les arreter.

    En outre le dernier trojan  nommé malefic que j'ai eu se cache sous les  nom de GoogleChrome dans les planifications. Et donc dans ce cas pas dans nos  planifications rajoutees mais dans celle systeme.

    Et par exemple PROCMON qui trace la totalite de TOUT ce qui se fait sur le PC ( en une minute il peut y en avoir 10.000 mais dans mon cas seulement 500 et en voyant passer GoogleChrome  comment savoir que c'est ça.

    FRST64 obligatoire pour generer le fix. 

    Bon. Pour en finir avec l'effacement des notification de Defender, devoir passer W en sans echec.  Microsoft  est  parfois  cingle pour certaines choses.  Il ne s'agit pas d'effacer les fichiers eux memes mais les notifications. J'ai ai 300. Ils sont complètement ravages. Devoir faire sans en sans echec. 

    Avec Kaspersky que j'avais il y a 5 ans l'historique s'effacait en 1 clic. 

    Attention donc avec les trojans powershell. Pas du tout certain de pouvoir etre detectes par les AV et ils sont connus et repertories depuis  longtemps

    Merci de vos ,attentions et au plaisir

    0
    1. brucine Messages postés 24901 Date d'inscription   Statut Membre Dernière intervention   4 177
       

      Bonjour,

      Je ne sais pas concernant BitDefender, mais n'importe quel logiciel de sécurité digne de ce nom est capable soit d'interdire totalement PowerShell (ce qui n'est pas forcément une bonne idée) soit d'en intercepter l'utilisation et de ne l'autoriser manuellement ou automatiquement sous l'angle du pare-feu (avec quoi il communique et dans quel sens) ou celui de la défense (autorisation donnée ou pas de son appel à tel exécutable, par exemple mshta.exe).

      Le rôle de l'antivirus à proprement parler se limite à interdire avant l'intervention éventuelle des autres composantes l'exécution à distance d'un script PowerShell ou d'un exécutable l'appelant ou bien de son téléchargement sur le disque.

      On peut tout à fait désactiver localement MSHTA, par des biais qui pour certains désactivent aussi PowerShell, ce qui n'est pas d'une logique folle, ou tout bêtement en le condamnant dans le pare-feu et la composante de défense, sans non plus focaliser dessus et imaginer qu'il serait une menace unique ou systématique.

      https://www.malekal.com/mshta-exe-fichier-hta-malwares/

      Il n'y a de "meilleur" antivirus que ses laudateurs, au moins une bonne demi-douzaine se valent en termes d'efficacité, qui n'est jamais à 100%, et dont les tests passent par une note d’ergonomie et de consommation de ressources subjectives et aussi non pas par un antivirus pris séparément mais par la synergie des différents composants des suites de sécurité rendant les tests d'autant plus difficiles qu'ils sont différents selon la suite et que de toute façon les tests sont menés in vitro sur un nombre limité d'échantillons connus. 

      0
  4. fabul Messages postés 42164 Date d'inscription   Statut Modérateur Dernière intervention   6 066
     

    Re Bonjour,

    Avez vous vu ce tuto

    https://forums.commentcamarche.net/forum/affich-38206831-alors-vous-voulez-supprimer-les-virus-vous-meme-comment

    Si vous voulez une version plus avancée, vous povez essayer UnHackMe) qui est en Giveaway pour la version 18.40 (Gratuit mais sans mises à jour)*

    Giveaway https://softopaz.com/giveaway/greatis/unhackme/

    Page WEB https://greatis.com/unhackme/index.html

    * Attention, la période gratuite (Giveaway) ne dure pas longtemps, l'installer rapidement sinon il ne voudra plus s'installer)

    Ou encore mieux, vous sembler un peu geek de la sécurité comme moi, il n'y a que RegRun Security Suite Platinum (Qui inclus UnHackMe) qui me serve bien depuis plus de 15 ans.

    https://greatis.com/security/download.htm

    Puis Autoruns, qui ne voit pas tout, mais qui aide à gérer rapidment les démarrages.

    https://learn.microsoft.com/en-us/sysinternals/downloads/autoruns
    https://learn.microsoft.com/fr-fr/sysinternals/downloads/autoruns

    FRST je connais depuis longtemps, avant c'était un autre qui s'appelait RSIT (Random System Information Tool), et HiJackThis (Des ancêtres dépassés aujourd'hui de FRST), FRST est mis à jour et à peu près aussi bon ou meilleur que RegRun Mais ça dépend pourquoi, (Pour les listings matériel sur la machine et les rapports d'erreur, Defender etc. FRST fait le tour de d'autres éléments)) Pour les virus et autres formes de malwares, RegRun et UnHackMe savent bien gérer, FRST, ça fatigue les yeux la lecture de longs rapports, surtout quand on n'est pas expert avec, qu'on cherche de midi à quatorze heures à la moindre suspicion de malware...

    RegRun Security Suite Platinum et UnHackMe font une vérification au démarrage de Windows et surveillent toutes les 10 minutes (Par défaut, modifiable) (pour certaines politiques pour détecter les Rootlits), et par défaut (Modifiable aussi) une analyse plus étendue mais rapide en arrière plan toutes les 4 heures de fonctionnement du PC, donc c'est bien savoir comment ils fonctionnent, un peu comme RegRun Reanimator, mais en temps semi-réel, et surveille les mêmes points d'entrées pour les virus que n'importe quel logiciel qui crée des rapports détaillés, il peuvent aussi, créer des rapports "Regrunlog.txt" et être utilisé à distance en envoyant un fichier de traitement *.RNR

    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. bigbernie Messages postés 419 Date d'inscription   Statut Membre Dernière intervention   18
     

    Bonjour

    Malekal est très informe sur le sujet. Mais neutraliser des composants systeme n'est jamais recommandé.  Powershell est indispensable car il est utilise de plus en plus par des programmes d'installation.

    Desactiver Powershell pour contrer exclusivement les virus Powershell puis ensuite le remettre si l'on doit installer un programme puis le rebloquer ensuite c'est pas du boulot  propre. 

    On peut le faire avec l’éditeur de groupe GPEdit. Mais je ne vous pas les milliards de personnes concernées faire ça.  

    On peut aussi créer un bac a sable virtuel.  L'infection disparaitra avec la fermeture.

    Mais les milliards d'utilisateurs basique ne vont pas pouvoir faire ça non plus. 

    Perso ayant pu naviguer presque 20 ans avec zero attaques reussies  et  deux qui sont passees il y a une semaine,  jamais eu besoin de ça. C'est vrai que ca n'existe que depuis w 10.  S'il faut que je y mette pourquoi pas.No problemo comme dirait Schwarzie. 

    Les statistiques disent que 40 % des  francais ( je ne sais pas ailleurs ) ne sont pas a l'aise avec l'informatique et que 15  %  sont totalement allergiques.

    Et l'intelligence na rien a voir avec ça.

    Ma propre épouse est Normalienne. Professeur de français et d'anglais et même ce qui n'a rie a voir avec le problème la distinction de chevalier.

    Elle est incapable de faire un virement  bancaire PayWebCard ou de rajouter  un beneficiaire et même de répondre a une double authentification. 

    Littéraire a 150  % ! Mais je suis encore la. A 88 balais ça craint et elle va bien devoir un jour s'y mettre. 

    Alors l'utilisation de Gpedit  ou du Sandbox  c'est pas envisageable  pour  40 %   de l'humanité.

    Merci de vos attention et c'est toujours un plaisir ce forum agreable et competent. 

    0
    1. brucine Messages postés 24901 Date d'inscription   Statut Membre Dernière intervention   4 177
       

      informe ou informé?

      Comme je l'ai dit et à moins que son logiciel de sécurité ne le permette pas auquel cas il faut en changer, rien n'interdit sans blocage global de bloquer globalement MSHTA (qui ne sert à rien au commun des mortels) et PowerShell sélectivement en paramétrant la composante défense pour qu'au moins elle demande lors de son ouverture pour quel site ou exécutable on doit l'autoriser ou pas, ce sera le comportement par défaut non seulement pour PowerShell mais pour tout ce qui est inconnu ou inhabituel.

      Il y avait par le passé même certains pare-feu qui permettaient d'autoriser la connexion de tel exécutable à tel port et pas à tel autre.

      C'est quand même pas tous les jours qu'un script PowerShell doit gérer une installation (chez moi si, les mises à jour de mon logiciel de sécurité passent par un script PowerShell, j'ai eu la flemme de faire ce que je préconise mais si j'avais un virus, je le saurais).

      Sinon et là aussi allant dans ton sens, si je sais que tel logiciel que je veux installer et en lequel j'ai confiance va me pourrir la vie avec des tonnes d'autorisations d'accès à des exécutables, pas forcément que PowerShell, je désactive la composante défense avant et je la remets après: peut-être pas propre, mais expéditif en 2 clics.

      0
  7. bigbernie Messages postés 419 Date d'inscription   Statut Membre Dernière intervention   18
     

    Tu as raison

    Je vais desactiver Powershell avec l'editeur de groupe

    Au plaisir

    0
    1. fabul Messages postés 42164 Date d'inscription   Statut Modérateur Dernière intervention   6 066
       

      C'est un peu "Overkill" je crois.

      Risque de causer plus de soucis qu'en régler.

      @+

      0
  8. bigbernie Messages postés 419 Date d'inscription   Statut Membre Dernière intervention   18
     

    Bonsoir 

    Oui mais avec GPEdit c'est hyper facile de reactiver

    J'ai bien sur verifié  dans System32  dossier WindowsPowershell V1 que powershell ne se lance pas et j'obtiens bien un message que le lancement est interdit.

    J'ai crée donc dans un dossier "Ne Pas Executer" 2 lignes de commande interdisant powershell et mshta et j'ai cliqué sur Activer

    En relancant GPedit je mets 10 secondes pour retrouver le fichier  d’exclusion et au dessus il y a Desactiver.   Euh ..   desactiver c'est annuler  les scripts d'interdiction et donc re permettre a ces fichiers de s"executer. Attention. 

    Ce qui est bien c'est que ca garde les lignes de commande et ca n'efface rien. 

    On clique seulement sur activer ou desactiver. Si on se sert du registre alors la c'est bien plus long a faire. 

    Ces virus sont redoutables par leur difficulté d'etre reconnus. Mais ce ne sont pas tous des stealers ou des  pilleurs de comptes bancaires. 

    Ca mange pas de pain de le faire.

    Et pour la plupart des commandes courantes on peut toujours se servir de cmd.exe  toujours present depuis 1995.

    A +

    0
  9. fabul Messages postés 42164 Date d'inscription   Statut Modérateur Dernière intervention   6 066
     

    C'est comme toujours, gratuit, pas de solutions simples, et même en payant...

    A1RunGuard toujours actif, il y a juste le programme EaseUS Partition Master Pro qui chaque utilisation, ou mise à jour, lance une dizaine de demandes, (Pas PowerShell en particulier, mais Bcdedit.exe et/ou autres trucs du genre), mais sinon ça va.

    0
    1. brucine Messages postés 24901 Date d'inscription   Statut Membre Dernière intervention   4 177
       

      Cela dit, et sous réserve qu'on les télécharge soi-même par tromperie (l'exécution à distance paraît tout de même peu probable en cas de comportement sain), 2 portes pourtant ouvertes simples (en dehors bien sûr d'exiger de son ordinateur qu'il affiche les extensions de fichiers):

      -dans les associations de fichiers, ouvrir l'extension hta par le Bloc Notes: dans le pire des cas, un fichier texte s'ouvrira mais qui par définition ne peut contenir aucun code actif.

      -renommer mshta.exe ce qu'on veut, par exemple Old_mshta.exe qui ne pourra alors pas être lancé.

      Si vraiment on veut faire des bidouilles ailleurs que dans le logiciel de sécurité (je n'en suis pas partisan), plutôt que de s'enquiquiner avec l'éditeur de stratégie locale Malekal nous sert les 2 fichiers reg (activation et désactivation) sur un plateau et bien sûr si c'est encore trop on peut les incorporer tous les deux à un même fichier Batch qui soit demande par un menu ce qu'on veut faire, soit encore mieux lire une des clés registre, si elle correspond à la valeur activée désactiver l'ensemble et vice-versa.

      Mais notons que Malekal bloque MSHTA ET PowerShell, il me paraît plus sain d'en supprimer PowerShell ou de s'attaquer seulement à hta/mshta.exe comme précédemment.

      https://telecharger.malekal.com/download/desactiver-powershell-mshta/

      0
  10. bigbernie Messages postés 419 Date d'inscription   Statut Membre Dernière intervention   18
     

    L'important c'est que ça se fasse.

    Telecharger les scripts pour modifier le registre ( et bien sur les autres scripts pour remettre  en place)  est utile pour ceux qui n'ont pas l’expérience du registre.

    C'est comme les adeptes de boites automatiques ou manuelles.

    Perso entre ces possibilités j'ai choisi GPEdit car c'est  beaucoup plus simple ensuite pour désactiver réactiver.

    En lisant notre cher modo j'ai verifie ce qu'est A1runguard.  C'est un antivirus. Normal que ca soit payant mais est il plus efficace que BitDefender ou Kaspersky etc etc je n'en sais rien.  

    Par exemple Malwarebytes je l’utilise 2 fois par an pour les adwares. Il ne trouve jamais  rien. Mais c'est également un antivirus payant.  Le meme prix que par exemple BitDefender. 

    Il existe une quarantaine d'anti trucs machins.  Mais certains sont plus spécialises.

    Les antirootkits, les antiadwares, les suites de securite, les antiransomwares etc

    Pour un particulier  c'est beaucoup trop. Pour une entreprise les ingénieurs informaticien ou  expert savent ...devraient......mais pas toujours

    Comment se protéger  contre un mec qui colle son mot de passe sur son écran ? Si si ça existe.

    Et l’immensité des gens qui utilisent 12345678 et j'en passe et même comme password le mot password.  La liste des mots de passe a la con est bien fournie. 

    Le  Musee du Louvre utilisait le password Louvre. Je ne raconte pas de blague.

    Et le comptable d'une grosse entreprise qui vire 1 million d'€ sur un compte  parce que son patron en video lui avait  demandé . Les IA sont de formidables acteurs.

    Le danger maximum des entreprises grosses et petites ce sont leurs employés.

    Pour un particulier ou un artisan ou tout petit  la meilleurs solution c'est GPEDIT. Ce logiciel permet d'autoriser uniquement ce que chaque poste de travail a NECESSITE ABSOLUE pour travailler. Il peut interdire Google et le visionnage des videos.et meme d'interdire les recherches et d'utiliser la commande Executer.  

    Pour les ados il n'existe pas helas de logiciels Android hyper bien caches interdisant aux enfants d'aller sur les reseaux sociaux et de visionner  des videos mais . uniquement de communiquer avec  le tel de papa.  

    J'ai beaucoup d'amis artisans qui ne savent rien la dessus.  

    En tant que particulier tout seul pour ne pas trop me casser le tronc j'interdis tout ce que je peux d'inutile. Comme je désinstalle la quasi des logiciels pre installes par Windows. Y compris avec des softs spécialises. Pareil pour Android. 

    B de M .... 20 ans avec zero ennuis et paf en 8 jours 2 Trojans HTA ça  m'a foutu les boules.   

    Bonne continuation. 

    0
  11. fabul Messages postés 42164 Date d'inscription   Statut Modérateur Dernière intervention   6 066
     

    Comment se protéger  contre un mec qui colle son mot de passe sur son écran ? Si si ça existe.

    Alors là on passe par le Pare Feu (Comodo firewall en Mode : Personnalisé que je l'utilise) avec Niveau de fréquence d'alertes : Très Haut

    De par le MD5 du fichier dans mes archives sauvegardées:

    1EAA9D2233908E517D4F51D94292ACB9

    https://cdn.download.comodo.com/cis/download/installs/1000/standalone/cispremium_only_installer.exe

    /!\ Attention à l'installation de décocher les éléments autres que le Firewall dans Options /!\

    Décocher tout ce qui est proposé, par rapport au encryptions DNS etc.

    Sauf qu'il ne faut pas désactiver la reconnaissance réseau WiFi, (Des fois il bug sur notre réseau WiFi depuis une mise à jour Windows, il faut cliquer Rester non protégé).

    Tout le reste de la suite de Comodo est désactivé, HIPS etc, pour alléger le fonctionnement du PC, et être moins dérangé.

    Puis pour compléter la suite de sécurité, bien sur le module NoScript sur votre Navigateur, que ce soit Chrome, Edge, on Firefox.

    Vous laissez juste passer les scripts fiables :)
    Vous laissez bloqués (Par défaut) les scripts inutiles :(

    Il faut autoriser (Marquer comme Fiable) Google , CCM etc, mais une fois que c'est fait plus besoin de le refaire.

    C'est une excellente solution de navigation sécuritaire depuis à peu près 20 ans.

    0
  12. bigbernie Messages postés 419 Date d'inscription   Statut Membre Dernière intervention   18
     

    On en apprend tous les jours.

    Il est vrai qu'en tant que helper pro ( même si tu n'es pas payé )  tu dois te tenir a jour de maniere bien plus importante qu'un utilisateur lambda. Je suis presque certain que tu utilises W Insider. Pour etre en avance sur ce qui va sortir.

    Perso dans mes experiences de Windows j'attendais toujours un an avant d'installer la version suivante. Apres formatage bien sur

    Je n'ai jamais eu d'ennuis avec les rejets de periphs car je n'ai jamais achete le moindre  matos dont une version  n'etait pas deja sur le marche depuis au moins 5 ans. 

    Le mot novateur n'existe pas chez moi. J'ai horreur des pannes et des ennuis

    En tat que helper tu dois etre novateur of course. .

    Bonne nuit.

    0
    1. fabul Messages postés 42164 Date d'inscription   Statut Modérateur Dernière intervention   6 066
       

      Non, présentement, je bloque les mises à jour depuis quelque temps avec StopUpdates10, parce que Explorer Patcher qui simplifie mon interface Windows cause problème en mettant Windows à jour, j’attends des mises à jour de Explorer Patcher, à moins de le désinstaller pour le nouveau look (Ou options) de Windows 11 des dernières mises à jour.

      Bonne nuit.

      @+

      0