Supprimer les Pop-ups de Virus et Malware — Guide

Vérifiez les autorisations de notification de votre navigateur avant d’analyser quoi que ce soit. Environ 72 % de ce que les gens prennent pour un « virus » n’est en fait qu’un site web auquel ils ont accidentellement donné l’autorisation de notification — un clic sur une invite « ce site veut envoyer des notifications », et voilà de fausses alertes de Sécurité Windows qui surgissent toutes les trente secondes dans le coin de l’écran. Le bouton X en fait apparaître d’autres. Certaines jouent une voix robotique vous disant de ne pas éteindre. Aucun malware impliqué.

Une graphiste indépendante nous a appelés vers 23h en larmes à cause d’exactement ça. Des pop-ups disant « WINDOWS A DÉTECTÉ 47 MENACES » surgissaient plus vite qu’elle ne pouvait les fermer. Elle convertissait un PDF sur un site gratuit avec cinq boutons « Télécharger » différents et avait cliqué Autoriser sur une invite de notification sans la lire. On l’a guidée dans les paramètres de Chrome, Confidentialité et sécurité, Paramètres des sites, Notifications — révoqué les domaines inconnus de la liste « Autorisés », effacé les données de navigation, terminé en dix minutes. Aucune analyse nécessaire. Si vos pop-ups ressemblent à de fausses alertes virus précisément, ce cas couvre ce qui arrive si vous appelez accidentellement le numéro de téléphone affiché.

Nettoyage du Navigateur

Si vos symptômes sont des pop-ups de notification, une page d’accueil changée en un moteur de recherche dont vous n’avez jamais entendu parler, des onglets aléatoires qui ouvrent des pubs, ou une barre d’outils apparue la semaine dernière — c’est de la saleté au niveau navigateur, pas un malware système.

Les extensions d’abord. Tapez chrome://extensions dans la barre d’adresse. Tout ce que vous n’utilisez pas activement régulièrement, supprimez-le. Soyez impitoyable. Tout ce qui contient « search », « toolbar », « PDF Helper », « Download Assistant » ou « Smart Coupon » dans le nom est presque certainement de l’adware déguisé. J’ai eu un étudiant avec six extensions de coupons — chacune réécrivait silencieusement ses liens d’affiliation Amazon pour qu’un tiers gagne une commission sur chaque achat. En plus elles dévoraient plus de 3 Go de RAM. Consultez notre guide mémoire de Chrome si votre navigateur est aussi lent en plus des pop-ups.

Si Chrome dit « Géré par votre organisation » et que vous n’êtes pas sur un ordinateur professionnel, c’est un pirate de navigateur basé sur une stratégie et il faudra nettoyer des entrées de registre pour s’en débarrasser.

Après les extensions, tuez le spam de notifications (Paramètres, Confidentialité et sécurité, Paramètres des sites, Notifications — retirez tout ce qui n’est pas familier de la liste Autorisés), puis faites une réinitialisation complète du navigateur. Chrome : Paramètres, Réinitialiser les paramètres, « Restaurer les paramètres à leurs valeurs par défaut d’origine ». Firefox : tapez about:support, cliquez « Réparer Firefox ». La réinitialisation supprime les extensions — ce qui est bien puisque vous venez de les nettoyer. Favoris et mots de passe enregistrés survivent. Certaines de ces notifications ne sont même pas du malware — Windows 11 a des fonctions promotionnelles intégrées qui ressemblent à de l’adware mais se désactivent dans les Paramètres.

Le Vrai Malware

Si les symptômes sont différents — programmes inconnus dans votre menu Démarrer, le Gestionnaire des tâches montrant quelque chose qui dévore 80-100 % du CPU, Windows Defender désactivé et impossible de le réactiver, fichiers renommés avec des extensions bizarres, activité réseau au repos — c’est du vrai malware et vous devez analyser.

Déconnectez-vous d’internet d’abord. Je sais que les gens sautent cette étape. Un type en janvier a passé deux heures à analyser et nettoyer son portable, puis dix minutes plus tard le même cheval de Troie était de retour — parce que pendant tout ce temps, le cheval de Troie contactait un serveur distant et téléchargeait des copies de remplacement aussi vite qu’il les supprimait. Câble Ethernet débranché, WiFi coupé.

Démarrez en mode sans échec avec mise en réseau — maintenez Maj en cliquant Redémarrer depuis le bouton d’alimentation du menu Démarrer, puis Dépannage, Options avancées, Paramètres de démarrage, appuyez sur 5. Le mode sans échec ne charge que les pilotes Microsoft de base, donc les entrées de démarrage du malware existent dans le registre mais ne s’exécutent pas. Les fichiers malveillants sont sur le disque mais inertes.

Lancez d’abord une analyse Windows Defender hors ligne — Sécurité Windows, Protection contre les virus et menaces, Options d’analyse, Analyse Microsoft Defender hors ligne. Elle redémarre votre PC et analyse avant que Windows ne charge complètement, donc le malware n’a jamais l’occasion de se cacher. Prend 15-20 minutes. AV-TEST Institute note Defender à 99,7 % de détection, au niveau de Kaspersky et Bitdefender. Les gens adorent le dénigrer. Les chiffres disent le contraire.

Puis Malwarebytes gratuit. Analyse complète, pas rapide. Allez directement sur malwarebytes.com — ne le cherchez pas sur Google pour cliquer le premier résultat, car le résultat du haut a été plus d’une fois une pub sponsorisée pour une fausse version. Mettez en quarantaine tout ce qu’il trouve. Un compte de 150 ne signifie pas 150 virus — beaucoup sont des cookies de traçage et des clés de registre. Mais Malwarebytes attrape les adwares et PUP que Defender ignore délibérément parce que Microsoft adopte une position conservatrice sur ce qui compte comme « malware ».

Le Planificateur de Tâches, Voilà Pourquoi Ça Revient

C’est la partie qui me frustre parce que presque aucun guide de suppression ne la mentionne. Faites Win+R, tapez taskschd.msc. Parcourez la Bibliothèque du Planificateur de tâches. Cherchez des tâches aux noms de chaînes aléatoires, ou des tâches planifiées pour s’exécuter à l’ouverture de session, au démarrage, ou sur un minuteur répété que vous n’avez pas créé.

En avril j’ai nettoyé une machine où Malwarebytes a supprimé l’exécutable du malware trois fois. Trois passes propres. Il revenait dans l’heure. Une tâche planifiée s’exécutait toutes les 60 minutes, contactant un serveur et téléchargeant une copie neuve. Les analyseurs tuaient le symptôme mais pas le mécanisme.

Vérifiez aussi l’onglet Démarrage du Gestionnaire des tâches — clic droit sur tout ce qui n’est pas familier et choisissez « Ouvrir l’emplacement du fichier ». Si l’exécutable vit dans un dossier Temp ou un répertoire nommé j2k9df83, ce n’est pas légitime. Le vrai svchost.exe vit dans C:\Windows\System32. Un faux vit là où le malware l’a déposé.

Si tout ce qui précède échoue et que la machine agit toujours bizarrement, vous avez probablement affaire à un rootkit ou une infection sans fichier en dessous du niveau où opèrent les analyseurs grand public. À ce stade, une installation propre de Windows s’impose — mais utilisez l’Outil de création de média Microsoft pour créer une clé USB amorçable et formater le disque pendant l’installation, pas « Réinitialiser ce PC » depuis les Paramètres. La réinitialisation intégrée réutilise des portions de l’installation existante et les infections y survivent parfois. Notre guide de réinitialisation d’usine couvre quand l’option de réinitialisation est sûre versus quand seule l’installation propre par USB convient.

Les quatre habitudes qui empêchent la réinfection : cliquez Bloquer sur chaque invite de notification sauf si c’est un site dont les mises à jour vous manqueraient vraiment, tapez les URL des logiciels directement au lieu de cliquer le premier résultat Google (surtout les pubs sponsorisées), laissez Windows Defender activé, et installez uBlock Origin pour bloquer les scripts publicitaires malveillants. Si le malware a supprimé ou chiffré des fichiers avant que vous l’attrapiez, ils sont peut-être encore récupérables — et si quelque chose de plus profond se passe, nous pouvons lancer des analyseurs de niveau entreprise à distance qui attrapent ce que les outils gratuits manquent.