Si en cada arranque Windows Defender te alerta sobre run.vbs en %AppData%\Update, lo más probable es que sea un script de persistencia de malware. Aquí tienes una guía práctica y segura para eliminarlo, limpiar el sistema y evitar que vuelva a aparecer.
Qué es run.vbs y por qué aparece al iniciar Windows
run.vbs no forma parte de Windows. Cuando aparece en rutas genéricas como %AppData%\Update o %LocalAppData%\Update, suele tratarse de un script de Visual Basic (VBScript) usado por amenazas para relanzarse en cada inicio, descargar componentes, alterar defensas o abrir puertas a otros procesos. Su función típica es:
- Ejecutar silenciosamente
wscript.exeocscript.exepara iniciar binarios maliciosos. - Recrear ficheros si los borras y mantener persistencia mediante tareas programadas, claves de ejecución automática del Registro o la carpeta de Inicio.
- En variantes conocidas, intentar desactivar protecciones o excluir rutas en el antivirus.
Por eso Windows Defender lo detecta sistemáticamente en el arranque: el mecanismo de persistencia intenta ejecutarlo cada vez que inicias sesión.
Resumen rápido de la solución
- Deja que Windows Defender lo ponga en cuarentena o lo elimine.
- Ejecuta un Análisis sin conexión de Microsoft Defender.
- Con el sistema limpio, borra la carpeta
Updatecompleta en%AppData%y/o%LocalAppData%. - Revisa tareas programadas, carpeta de Inicio y claves Run/RunOnce para cortar la persistencia.
- Pasa una segunda opinión con un antimalware reputado.
- Comprueba que Defender está íntegro (Protección en tiempo real y contra alteraciones) y repara con
SFC/DISMsi hace falta. - Actualiza Windows y las definiciones de Defender y reinicia para confirmar que cesa la detección.
Pasos detallados para eliminar run.vbs y su persistencia
Deja que Microsoft Defender actúe
Abre Seguridad de Windows → Protección contra virus y amenazas → Historial de protección. Si ves eventos relacionados con run.vbs o la carpeta Update:
- Aplica Quitar o Poner en cuarentena a todos los elementos detectados.
- Reinicia si lo solicita para completar la limpieza.
Consejo: No ignores la alerta ni selecciones “Permitir en el dispositivo” salvo que tengas certeza absoluta de que se trata de un falso positivo (raro con run.vbs en esa ruta).
Ejecuta un Análisis sin conexión de Microsoft Defender
El examen sin conexión reinicia el equipo y analiza antes de que se cargue Windows, útil contra amenazas que se ocultan en memoria:
- Ve a Seguridad de Windows → Protección contra virus y amenazas → Opciones de examen.
- Elige Examen sin conexión de Microsoft Defender y pulsa Examinar ahora.
- Deja que finalice al 100%. El equipo se reiniciará solo.
Borra la carpeta de persistencia en AppData
Con el sistema limpio, elimina por completo la carpeta Update en estas ubicaciones (según exista):
%AppData%\Update(perfil Roaming)%LocalAppData%\Update(perfil Local)
Si Windows dice que el archivo o carpeta está en uso:
- Repite el Análisis sin conexión.
- O arranca en Modo seguro y vuelve a borrar.
Revisa y limpia los mecanismos de inicio automático
Las amenazas suelen recrear run.vbs en cada arranque. Revisa estos puntos:
| Mecanismo | Dónde mirar | Qué eliminar |
|---|---|---|
| Tareas programadas | Programador de tareas → Biblioteca del Programador | Entradas que llamen a wscript.exe, cscript.exe o rutas a run.vbs |
| Carpeta de Inicio | Explorador → barra de direcciones → shell:startup | Accesos directos sospechosos a scripts o ejecutables fuera de Archivos de programa |
| Registro de Windows | HKCU\Software\Microsoft\Windows\CurrentVersion\Run y RunOnceHKLM\Software\Microsoft\Windows\CurrentVersion\Run y RunOnce | Valores que lancen wscript/cscript o apunten a AppData\Update |
Comandos útiles para localizar persistencia
Símbolo del sistema (Admin):
schtasks /query /fo LIST /v | findstr /i "run.vbs wscript cscript"reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Run"reg query "HKLM\Software\Microsoft\Windows\CurrentVersion\Run"PowerShell (Admin):
Get-ScheduledTask | Where-Object { $_.Actions -match 'run.vbs|wscript|cscript' } | Format-List *Get-ItemProperty 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Run','HKLM:\Software\Microsoft\Windows\CurrentVersion\Run' | Format-ListObtén una segunda opinión antimalware
Instala y ejecuta un escaneo con una herramienta de reputación contrastada (por ejemplo, Malwarebytes, ESET Online Scanner o similares), siempre descargada desde su sitio oficial. No instales supuestas “limpiadoras milagro”.
Verifica que Defender está íntegro y activo
- Abre Seguridad de Windows → Protección contra virus y amenazas y comprueba:
- Protección en tiempo real: Activada.
- Protección contra alteraciones (Tamper Protection): Activada.
- Si notas comportamientos extraños (servicio detenido, opciones atenuadas), repara archivos del sistema:
sfc /scannow
DISM /Online /Cleanup-Image /RestoreHealthActualiza Windows y las definiciones
Ve a Configuración → Windows Update y aplica todas las actualizaciones pendientes. En Defender, usa Buscar actualizaciones de protección. Reinicia y confirma que no reaparece la alerta en el siguiente arranque.
¿Borrar solo el archivo o toda la carpeta?
Después de la cuarentena/eliminación por Defender, lo recomendable es borrar la carpeta Update completa en AppData para impedir restos de persistencia (accesos directos, archivos señuelo, DLLs auxiliares).
Importante: No confundas AppData\Update “suelta” con carpetas de actualización propias de aplicaciones (por ejemplo, %LocalAppData%\Slack\Update, %LocalAppData%\Discord\Update, etc.). Estas últimas sí son normales al estar bajo la ruta de la app.
| Ruta típica | Estado probable | Acción recomendada |
|---|---|---|
%AppData%\Update | Sospechosa | Eliminar carpeta completa |
%LocalAppData%\Update | Sospechosa | Eliminar carpeta completa |
%LocalAppData%<App>\Update | Habitual (propia de la app) | No eliminar salvo evidencia clara |
Cómo distinguir un falso positivo de una infección real
- Nombre + ubicación:
run.vbsenAppData\Updatees altamente sospechoso. - Persistencia: reaparece en cada inicio o se recrea tras borrarlo.
- Llamadas a wscript/cscript: tareas o claves Run que lo invoquen son una señal clara.
- Comportamiento del sistema: redirecciones, ventanas emergentes, alto uso de CPU en procesos desconocidos.
- Defender reacciona: el motor lo detecta reiteradamente (no suele ser falso positivo en este patrón).
Qué hacer si vuelve a aparecer después de limpiarlo
- Modo seguro con funciones de red: limpia la carpeta y revisa persistencia nuevamente.
- Revisa proxy y archivo hosts por manipulaciones:
netsh winhttp show proxy type %SystemRoot%\System32\drivers\etc\hosts - Comprueba servicios sospechosos:
sc query type= service state= all | findstr /i "unknown disabled stopped" - Perfila inicios con el Visor de eventos (Registro de Windows → Aplicación y Sistema) y el Monitor de recursos.
- Restauración del sistema (si hay punto previo a la infección) como medida de contención, seguida de un examen completo.
- Soporte profesional si es un equipo de trabajo o hay datos críticos.
Verificaciones adicionales recomendadas
- Lista de programas: desinstala toolbars o software desconocido instalado recientemente.
- Navegadores: restablece ajustes, elimina extensiones sospechosas y borra cachés.
- Control de cuentas de usuario (UAC): mantenlo activado.
- Cuentas locales: revisa cuentas nuevas no autorizadas.
Buenas prácticas para prevenir reinfecciones
- Mantén Windows y Defender actualizados.
- Descarga software solo de fuentes oficiales.
- No ejecutes adjuntos ni scripts de origen desconocido; desconfía de archivos
.vbs,.js,.cmdy.bat. - Usa un navegador actualizado con bloqueo de phishing y plugins al día.
- Haz copias de seguridad periódicas (imagen del sistema + archivos).
Opción avanzada: desactivar temporalmente Windows Script Host
Para impedir la ejecución de VBScript en todo el sistema (puede romper scripts legítimos):
reg add "HKLM\Software\Microsoft\Windows Script Host\Settings" /v Enabled /t REG_DWORD /d 0 /fRestaura el valor cuando termines (1 o elimina la clave). Úsalo solo si comprendes el impacto.
Preguntas frecuentes
¿Es run.vbs un archivo del sistema?
No. Windows no necesita run.vbs en AppData para funcionar. En esa ubicación, es casi siempre malicioso.
¿Puedo eliminar directamente la carpeta Update?
Sí, pero hazlo después de que Defender haya neutralizado los componentes, y revisa persistencia para que no se regenere.
¿Necesito formatear el PC?
En la mayoría de los casos, no. Seguir los pasos de este artículo suele resolverlo. El formateo es el último recurso.
¿Afecta a Windows 10 y 11?
Sí, puede aparecer en ambas versiones.
¿Qué pasa con archivos similares como run.js o run.bat?
El patrón es comparable: si están en AppData\Update y se lanzan con cada inicio, trátalos como sospechosos.
Listas de comprobación rápidas
Checklist de limpieza segura
- Defender: amenazas eliminadas/cuarentenadas en Historial de protección.
- Examen sin conexión completado sin nuevas detecciones.
%AppData%\Updatey%LocalAppData%\Updateeliminadas.- Tareas programadas y claves Run/RunOnce revisadas y limpiadas.
- Segundo escaneo antimalware sin hallazgos.
- Protección en tiempo real y contra alteraciones activas.
- Windows y definiciones de Defender actualizadas.
Tabla de síntomas y acciones
| Síntoma | Qué significa | Acción |
|---|---|---|
Alerta de run.vbs en cada arranque | Persistencia activa | Eliminar carpeta, limpiar tareas y Run/RunOnce |
| No puedes borrar la carpeta | Archivo en uso o protección maliciosa | Modo seguro y/o Análisis sin conexión |
| Defender desactivado o dañadas opciones | Intento de alteración | SFC/DISM, comprobar Tamper Protection |
| El script se recrea tras borrarlo | Tarea o clave residual | Auditar Programador, shell:startup, Registro |
Comandos y rutas útiles
%AppData%\Update
%LocalAppData%\Update
shell:startup
sfc /scannow
DISM /Online /Cleanup-Image /RestoreHealth
schtasks /query /fo LIST /v | findstr /i "run.vbs wscript cscript"
reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Run"
reg query "HKLM\Software\Microsoft\Windows\CurrentVersion\Run"
netsh winhttp show proxy
type %SystemRoot%\System32\drivers\etc\hostsContexto para entornos corporativos
Si el equipo pertenece a una organización:
- Escala al equipo de TI antes de borrar evidencias. Necesitan conservar artefactos para análisis forense.
- Comprueba políticas de Microsoft Defender for Endpoint, exclusiones y alertas correlacionadas.
- Aísla el equipo si detectas actividad de command & control o credenciales comprometidas.
Resultado esperado
Al completar estos pasos, la detección repetida de run.vbs al iniciar Windows debe cesar y el sistema quedará limpio. En casos reportados con este patrón, el problema se resolvió eliminando/quarentenando con Defender, borrando la carpeta Update y neutralizando los mecanismos de persistencia asociados.
Nota final: Aunque esta guía prioriza herramientas integradas de Windows (Microsoft Defender, SFC/DISM), mantener buenas prácticas —actualizaciones al día, copias de seguridad y prudencia al instalar software— es la mejor vacuna contra amenazas que reutilizan scripts como run.vbs para permanecer en el sistema.