📌 Sécurité Windows

Détecter un malware sur Windows 11 — 5 méthodes fiables

7 min de lecture

Un malware bien conçu est discret. Il ne provoque pas nécessairement des pop-ups ou des ralentissements évidents — certains s'exécutent silencieusement pendant des semaines, envoyant des données ou attendant des instructions. Voici 5 méthodes que les techniciens utilisent pour détecter les infections sur Windows 11, sans logiciel payant requis.

Si vous suspectez un ransomware actif : Déconnectez le câble réseau et le Wi-Fi immédiatement. Ne redémarrez pas. Appelez le 418-255-8998 — chaque action mal planifiée peut aggraver le chiffrement des fichiers.

Méthode 1 — Gestionnaire des tâches : identifier les processus suspects

C'est le premier réflexe. Le Gestionnaire des tâches (Ctrl+Shift+Esc) vous montre tout ce qui s'exécute en ce moment sur votre PC.

Ce qu'il faut chercher :

  • Processus consommant plus de 20-30% de CPU en continu sans raison apparente
  • Processus avec des noms aléatoires (suite de lettres/chiffres) ou des noms qui imitent des processus Windows légitimes
  • Processus dont la description est vide ou générique
  • Plusieurs instances du même processus (svchost.exe légitime peut avoir plusieurs instances, mais un malware peut aussi se copier)

Vérifier l'emplacement d'un processus suspect :
Clic droit sur le processus → Ouvrir l'emplacement du fichier. Les processus légitimes Windows viennent de C:\Windows\System32\ ou C:\Windows\SysWOW64\. Un processus dans C:\Users\[nom]\AppData\Temp\ ou C:\Users\[nom]\AppData\Roaming\ avec un nom suspect mérite investigation.

Astuce technicien : Passez en onglet Détails (plus d'informations que l'onglet Processus) et ajoutez la colonne "Ligne de commande" (clic droit sur les en-têtes de colonnes). Elle révèle les arguments passés au processus — un malware qui se lance avec des paramètres chiffrés ou une longue chaîne aléatoire est suspect.

Méthode 2 — Connexions réseau actives avec netstat

Un malware qui envoie des données établit des connexions réseau. La commande netstat les révèle.

Ouvrez une invite de commandes en tant qu'administrateur (cherchez "cmd" → clic droit → Exécuter en tant qu'administrateur) et entrez :

netstat -b -n -o 5

Cette commande affiche toutes les connexions actives avec leur processus associé, toutes les 5 secondes.

Ce qu'il faut chercher :

  • Connexions en état ESTABLISHED vers des adresses IP inconnues sur des ports inhabituels
  • Connexions répétées vers la même adresse IP externe à intervalles réguliers (communication avec un serveur de commande et contrôle)
  • Processus que vous ne reconnaissez pas établissant des connexions sortantes

Pour identifier à qui appartient une adresse IP suspecte :

nslookup [adresse_IP]

Ou utilisez un service en ligne comme whois.domaintools.com. Une connexion vers un hébergeur obscur dans un pays inattendu est un signal fort.

Note : Windows lui-même établit des connexions légitimes vers Microsoft (mises à jour, télémétrie, OneDrive). Ne vous alarmez pas pour les connexions vers microsoft.com, windows.com, ou azure.com. Concentrez-vous sur les connexions vers des domaines/IP non Microsoft.

Méthode 3 — Autoruns Sysinternals : inventaire complet du démarrage

Autoruns, développé par Mark Russinovich et maintenant maintenu par Microsoft, est l'outil le plus complet pour voir tout ce qui se lance automatiquement sur Windows. Il va bien au-delà de l'onglet Démarrage du Gestionnaire des tâches.

Téléchargement : learn.microsoft.com/sysinternals/downloads/autoruns (outil officiel Microsoft, gratuit, sans installation).

Utilisation :

  1. Lancez Autoruns en tant qu'administrateur.
  2. Allez dans Options → Scan Options → cochez Check VirusTotal.com. Ça va automatiquement vérifier chaque entrée contre 70+ antivirus en ligne.
  3. Regardez les entrées surlignées en jaune (fichier introuvable — entrée orpheline) et en rouge (pas de signature numérique Microsoft ou d'éditeur reconnu).
  4. Les entrées avec un score VirusTotal non nul méritent une investigation immédiate.

Onglets critiques à vérifier :

  • Logon : tout ce qui se lance à la connexion de l'utilisateur
  • Services : services Windows, dont certains malwares se déguisent en service légitime
  • Scheduled Tasks : tâches planifiées — un vecteur courant de persistance des malwares
  • Browser Extensions : extensions de navigateur — identifie les hijackers
  • Drivers : drivers non signés ou suspects (rootkits au niveau driver)

Méthode 4 — Analyse hors ligne Windows Defender

Certains malwares actifs peuvent bloquer ou contourner les scans de Defender en mode normal — ils s'exécutent dès le démarrage de Windows et peuvent masquer leur présence. L'analyse hors ligne démarre le PC dans un environnement minimal avant Windows, où ces protections ne fonctionnent pas.

Procédure :

  1. Ouvrez Sécurité Windows (cherchez dans la barre de recherche).
  2. Allez dans Protection contre les virus et menaces.
  3. Cliquez sur Options d'analyse.
  4. Sélectionnez Analyse hors connexion Microsoft Defender.
  5. Cliquez Analyser maintenant → le PC va redémarrer pour effectuer le scan.
  6. Le scan prend environ 15-30 minutes. Les résultats sont disponibles dans l'historique de protection après le redémarrage.
C'est la méthode recommandée pour les infections persistantes que les scans normaux ne résolvent pas. Elle détecte les rootkits et les malwares qui se cachent dans le secteur de démarrage.

Méthode 5 — Scan MalwareBytes (deuxième opinion)

MalwareBytes Free est le standard de facto pour la "deuxième opinion" — détecter ce que Defender a raté. Son moteur de détection est différent, ce qui lui permet d'identifier des menaces que Defender ne connaît pas encore.

Procédure :

  1. Téléchargez depuis malwarebytes.com uniquement.
  2. Installez et mettez à jour la base de données (automatique au premier lancement).
  3. Lancez un Scan complet (pas le "Scan rapide" pour une détection thorough).
  4. Mettez en quarantaine tout ce qui est détecté.
  5. Redémarrez si demandé et relancez un second scan pour confirmer.

MalwareBytes est particulièrement efficace sur les adwares, les PUP (Potentially Unwanted Programs), et certains rootkits que Defender ignore. Sur les derniers tests AV-TEST, il détecte en moyenne 2-5% de menaces supplémentaires par rapport à Defender seul.

Que faire si vous trouvez un malware?

Si l'une de ces méthodes confirme une infection :

  1. Pour les adwares et malwares courants : suivez notre guide de suppression de virus Windows 11.
  2. Pour les rootkits ou ransomwares : ne touchez à rien, déconnectez le réseau, appelez le 418-255-8998.
  3. Après la suppression : changez tous vos mots de passe depuis un autre appareil, activez l'authentification à deux facteurs.

Questions fréquentes

Quels sont les signes que mon PC Windows 11 est infecté?

Ralentissement soudain, processus inconnus dans le Gestionnaire des tâches, activité réseau anormale, modifications de fichiers inexpliquées, navigateur qui redirige, et programmes au démarrage que vous n'avez pas installés.

Autoruns est-il sûr à utiliser?

Oui — c'est un outil officiel Microsoft de la suite Sysinternals, gratuit et sans installation. Téléchargez uniquement depuis learn.microsoft.com/sysinternals/downloads/autoruns.

Netstat peut-il identifier un malware?

Netstat montre les connexions réseau actives. Ce n'est pas un détecteur de malware en soi, mais une connexion persistante vers une IP inconnue à l'étranger est un signal d'alarme fort. Croisez avec le Gestionnaire des tâches pour identifier le processus responsable.

L'analyse hors ligne Defender est-elle vraiment plus efficace?

Oui, significativement pour les rootkits. Elle démarre avant Windows, ce qui empêche les malwares de se cacher ou de bloquer la détection. C'est la méthode recommandée pour les infections persistantes.

Puis-je supprimer le malware moi-même?

Pour les adwares courants : oui, avec Defender et MalwareBytes. Pour les rootkits et ransomwares actifs : faites appel à un professionnel. Notre équipe intervient à distance depuis Québec — appelez le 418-255-8998.

Lire aussi

Malware détecté mais vous n'arrivez pas à le supprimer?

Notre équipe de techniciens peut intervenir à distance sur votre PC Windows depuis tout le Québec. Diagnostic PC à partir de 60 $+tx (déduit si réparation acceptée). Résolution garantie ou on continue jusqu'à ce que ce soit réglé.

Intervention à distance — 418-255-8998
ISF
Informatique Ste-Foy
Blog informatique local — Québec

Conseils, guides et tutoriels en informatique pour particuliers et entreprises à Québec. Réparation Mac & PC, sécurité, vie privée numérique. 540+ avis Google (4.7/5). — Pour la cybersécurité : blog.sequr.ca

Articles similaires

📌 Sécurité Windows

Installer Windows 11 sans compte Microsoft — Guide 2026

Microsoft force la création d'un compte en ligne dans Windows 11. Comment contourner cette obligation sur Home et Pro, rester en compte local et protéger votre vie privée.

6 min de lecture 📌 Sécurité Windows

Réglages vie privée Windows 11 — Guide complet 2026

Windows 11 collecte énormément de données. Guide complet : désactiver la télémétrie, Copilot, publicités ciblées, diagnostic, OneDrive automatique. 30 min pour reprendre le contrôle.

8 min de lecture 📌 Sécurité Windows

Désactiver la télémétrie Windows 11 — Guide technique 2026

Windows 11 envoie en permanence des données à Microsoft. Comment désactiver la télémétrie via les Paramètres, regedit et services système. Guide technique complet.

7 min de lecture