Si “Endpoint Protection Service SDK” dispara el uso de CPU al 100 % en tu equipo con Windows 10, esta guía práctica y exhaustiva te ayudará a diagnosticar la causa, detener el servicio, limpiar el sistema y evitar que el problema reaparezca.
Descripción del síntoma
Usuarios de Windows 10 han reportado que, de forma aleatoria, el proceso Endpoint Protection Service SDK consume prácticamente todos los recursos de CPU, provocando:
- Pérdida drástica de FPS y microcortes en videojuegos.
- Retrasos o desconexiones en llamadas de voz (Discord, Teams, Skype).
- Bajos tiempos de respuesta del sistema, incluso al mover el cursor.
- Ruido continuo del ventilador y aumento de temperatura.
Por qué sucede
Aunque el nombre pueda sugerir un componente integrado de Windows Defender, se trata normalmente de un SDK firmado por Avira Operations GmbH. El módulo viaja “oculto” dentro de instaladores de terceros (p. ej. Fortect, utilidades de optimización o bundles de adware) y se registra como servicio en segundo plano. Durante ciertas operaciones (comprobación de licencias o autoupdate) genera un bucle que monopoliza el procesador.
Matriz de soluciones rápidas
| Objetivo | Procedimiento | Resultado / Comentarios |
|---|---|---|
| Identificar el origen | Usar el Administrador de tareas → pestaña «Detalles», clic derecho > «Abrir ubicación del archivo». | Confirma que EndpointProtectionSDK.exe reside en C:\Program Files\Endpoint Protection SDK y no forma parte de Windows. |
| Detener el consumo de CPU | Crear un punto de restauración, arrancar WinRE, renombrar la carpeta: ren "C:\Program Files\Endpoint Protection SDK" "Dummy" | El servicio falla al iniciar y deja de absorber recursos. |
| Analizar el sistema a fondo | Ejecutar FRST, inspeccionar FRST.txt y Addition.txt. | Localiza entradas «Hidden» y rutas persistentes del SDK. |
| Eliminar restos | Crear fixlist.txt y pulsar «Fix» en FRST. | Limpieza completa de servicios y claves de registro. |
| Evitar conflictos futuros | Desinstalar utilidades redundantes (Fortect, iolo System Mechanic, Spybot AV) y mantener solo antivírus de confianza. | Reduce la probabilidad de reinstalación del SDK. |
Guía paso a paso
1 ‑ Verificar la legitimidad del proceso
Abre el Administrador de tareas (Ctrl + Shift + Esc) y ordena por CPU. Haz doble clic sobre Endpoint Protection Service SDK para examinar:
- Firma digital → debería mostrar Avira. Si aparece «Sin firma», es un indicio de malware.
- Ruta → un componente legítimo de Defender se ubicaría en
C:\ProgramData\Microsoft\Windows Defender; cualquier otra ubicación es sospechosa. - Árbol de procesos → comprueba si otro ejecutable (setup.exe, updater.exe) lo lanzó como hijo.
2 ‑ Crear un punto de restauración
Antes de tocar archivos de sistema:
- En el cuadro de búsqueda, escribe Create a restore point y ábrelo.
- Selecciona la unidad del SO → «Configure» → marca «Turn on system protection» → «OK».
- Haz clic en «Create», pon un nombre descriptivo (Antes de quitar SDK).
3 ‑ Renombrar la carpeta desde WinRE
Algunos servicios tienen la propiedad Protegido por el sistema y no pueden renombrarse en modo normal. Usa el Entorno de recuperación:
- Inicio → Encendido → mantén Shift y pulsa «Reiniciar».
- Solucionar problemas → Opciones avanzadas → Símbolo del sistema.
- Descubre la letra del sistema:
bcdedit | find "osdevice"Normalmente será C: - Navega:
cd /d "C:\Program Files" - Ejecuta:
ren "Endpoint Protection SDK" "Dummy" - Escribe
exity selecciona «Continuar a Windows 10».
Tras iniciar sesión, el servicio no podrá encontrar sus binarios y se autodeshabilitará. Confirma en el Administrador de tareas que el uso de CPU volvió a valores normales (<5 %).
4 ‑ Escaneo profundo con FRST
FRST es una herramienta de diagnóstico destinada a profesionales, pero su interfaz es simple:
- Descarga
FRST64.exey colócalo en el Escritorio. - Ejecuta, marca “Addition.txt” y presiona “Scan”.
- FRST generará dos archivos:
FRST.txtyAddition.txt. Ábrelos con el Bloc de notas.
Busca cadenas como Endpoint Protection SDK. Anota nombres de servicios (EP_SDK, AviraUpdaterService), controladores (avdevprot) y rutas (C:\ProgramData\Avira, C:\Windows\System32\drivers).
5 ‑ Escritura de fixlist.txt
Para automatizar la eliminación, crea un fichero fixlist.txt junto a FRST con contenido similar:
DeleteKey:
HKLM\System\CurrentControlSet\Services\EP_SDK
HKLM\System\CurrentControlSet\Services\AviraUpdaterService
DeleteFile:
C:\Program Files\Dummy\.\
C:\Windows\System32\drivers\avdevprot.sys
C:\ProgramData\Avira\.\
Reboot:Guarda, vuelve a FRST y pulsa «Fix». El PC se reiniciará y mostrará FixLog.txt con el resultado línea a línea.
6 ‑ Eliminar software no esencial
Una vez limpio, revisa «Aplicaciones y características» y «Programas y características» (Panel de control clásico) en busca de:
- Fortect PC Repair
- iolo System Mechanic
- Spybot Search & Destroy Antivirus
- Avira Launcher o Avira Security
Desinstala todo software redundante. Recuerda que conviene mantener un único motor de protección en tiempo real para evitar colisiones de hooks y escaneos simultáneos.
7 ‑ Verificación avanzada
Para confirmar que el driver del SDK no se cargó:
- Abre Visor de eventos → Registros de Windows → Sistema.
- Filtra por Id. de evento 7036 (servicios) o 7000 (error de inicio).
- Comprueba que
EP_SDKgenera un error indicando “Archivo no encontrado”. Esto es esperado tras el renombrado.
Adicionalmente, ejecuta en PowerShell (administrador):
Get-WmiObject Win32Service | Where-Object {$.Name ‑match "EPSDK" ‑or $.DisplayName ‑match "Endpoint"} | Format-Table Name, State, StartModeEl cmdlet debería devolver cero resultados.
Buenas prácticas para prevenir el reingreso
- Descarga segura → Obtén software exclusivamente de proveedores verificables o de Microsoft Store.
- Antivirus confiable → Bitdefender, Malwarebytes Premium o Microsoft Defender (si usas solo uno) son suficientes para la mayoría de usuarios domésticos.
- Navegador actualizado → Activa bloqueo de descargas potencialmente peligrosas en Edge/Chrome.
- Supervisión automática → Habilita “Columnas de CPU” persistentes en el Administrador de tareas. Cualquier proceso que se mantenga >20 % en reposo es candidato a investigación.
Preguntas frecuentes (FAQ)
¿Puedo borrar directamente la carpeta sin reiniciar en WinRE?
Windows carga el servicio antes de que se establezcan permisos de usuario. Aunque tengas privilegios de administrador, el archivo puede estar en uso; el renombrado desde WinRE evita errores de “Archivo ocupado”.
¿Desactivar el servicio desde services.msc es suficiente?
No. El SDK restaura sus parámetros al reiniciarse la máquina gracias a tareas programadas y triggers del Programador de tareas.
¿Es seguro eliminar claves de registro con FRST?
Sí, porque el script solo toca rutas previamente identificadas. Aun así, conserva tu punto de restauración durante unos días por si detectas comportamientos inesperados.
¿Qué sucede si tengo Avira como antivirus principal?
El SDK forma parte del núcleo de Avira. En ese caso, la alta carga puede deberse a una actualización fallida. Intenta reparar Avira desde Apps → Avira → Modificar o reinstalar la versión más reciente desde la web oficial.
Glosario rápido
- WinRE — Windows Recovery Environment. Entorno de recuperación cargado en memoria antes del sistema operativo.
- FRST — Farbar Recovery Scan Tool. Utilidad gratuita de diagnóstico y reparación avanzada.
- SDK — Software Development Kit. Conjunto de bibliotecas y herramientas que otras aplicaciones pueden incluir.
Conclusión
El comportamiento anómalo de Endpoint Protection Service SDK suele estar relacionado con instalaciones de terceros que empaquetan módulos de Avira sin pleno consentimiento del usuario. Mediante la combinación de diagnóstico, aislamiento del servicio y limpieza a fondo con FRST, es posible devolver la estabilidad al procesador y garantizar que el problema no reaparezca. Sigue las prácticas preventivas recomendadas para mantener tu sistema libre de bloatware y focos de consumo excesivo de recursos.