¿Windows Defender te muestra una y otra vez PUA:Win32/Packunwan, PUA:Win32/HackTool o PUADlManager:Win32/Toptools? Tranquilo: casi siempre no es una infección activa, sino un historial “atascado”. Aquí tienes la guía definitiva para confirmar que el equipo está limpio y borrar esas alertas de raíz.
Resumen rápido
- Lo más probable es que no haya malware activo: son entradas persistentes del Protection history de Microsoft Defender.
- Primero confirma que el equipo está limpio con un escaneo sin conexión (Offline) de Defender.
- Si sale limpio, elimina la carpeta
DetectionHistoryen Modo seguro o con PowerShell como administrador, y reinicia. - Vuelve a escanear y verifica que no reaparezcan nuevas detecciones reales.
Qué significan estas detecciones PUA
PUA (Potentially Unwanted Application) no siempre equivale a “virus”. Son aplicaciones o componentes que, sin ser necesariamente maliciosos, suelen causar riesgo o molestias (publicidad agresiva, cambios no deseados en el navegador, instaladores reempacados). Ejemplos habituales:
- PUA:Win32/Packunwan: suele asociarse a packers o empaquetadores de software, a menudo presentes en instaladores “terceros”.
- PUA:Win32/HackTool: categoría genérica para herramientas de activación o modificación de software, y utilidades de intrusión.
- PUADlManager:Win32/Toptools: relacionado con download managers agresivos que añaden ofertas o barras.
Que veas repetidamente esas etiquetas no significa que sigan “vivas” en el sistema. Muy a menudo todo fue ya remediado y lo único que persiste es la entrada en el historial.
Cómo confirmar que no hay infección activa
Antes de limpiar el historial, asegúrate de que el equipo está realmente sano.
Desde la interfaz de Windows Security
- Abre Seguridad de Windows → Protección contra virus y amenazas.
- En Actualizaciones de protección, pulsa Buscar actualizaciones para actualizar las firmas.
- Elige Opciones de examen y selecciona Examen de Microsoft Defender sin conexión.
- Pulsa Examinar ahora. El equipo se reiniciará y realizará un análisis fuera de Windows (dura unos minutos). Al volver a iniciar, revisa el resultado.
Con PowerShell como alternativa
Abre PowerShell como administrador y ejecuta:
Update-MpSignature
Start-MpWDOScan
El segundo comando programará el examen sin conexión y forzará un reinicio. Si este examen sale limpio, considera las alertas repetidas como un issue del historial.
Por qué reaparecen las alertas
Microsoft Defender almacena registros detallados en Protection history. En determinadas condiciones (cortes de energía, cierres forzados, cierres anómalos del servicio de Defender, conflictos con otras herramientas), esas entradas no se purgan correctamente. Resultado: cada vez que abres Seguridad de Windows, se “relistan” como si fuesen nuevas, aunque ya no haya nada que desinfectar.
Las entradas persistentes suelen residir aquí:
C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory
Eliminar esa carpeta (o su contenido) no desprotege el equipo, solo vacía el historial para permitir que nuevas alertas reales se distingan claramente.
Cómo vaciar el historial de Microsoft Defender
Opción sencilla: Modo seguro + eliminación manual
- Reinicia Windows en Modo seguro:
- En Windows 11/10: Configuración → Recuperación → Inicio avanzado → Reiniciar ahora → Solucionar problemas → Opciones avanzadas → Configuración de inicio → Reiniciar → pulsa 4 o F4.
- En el Explorador de archivos, asegúrate de ver elementos ocultos:
- Explorador → Ver → Mostrar → marca Elementos ocultos.
- Navega a:
C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory - Elimina la carpeta DetectionHistory (o su contenido).
- Reinicia Windows en modo normal.
Importante: No borres la carpeta Quarantine ni otras ubicaciones de Defender. Solo limpia DetectionHistory.
Opción con PowerShell si la carpeta no se deja abrir o borrar
Abre PowerShell como administrador y ejecuta:
Remove-Item "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory" -Recurse -Force
Si el comando falla por archivos en uso, repítelo tras iniciar en Modo seguro.
Refrescar protecciones tras limpiar
- Abre Seguridad de Windows → Protección contra virus y amenazas → Administrar la configuración.
- Desactiva y vuelve a activar Protección en tiempo real y Protección proporcionada por la nube.
Verificación final
- Ejecuta un examen rápido con Defender:
Start-MpScan -ScanType QuickScan - Revisa Historial de protección. Si no aparecen nuevas detecciones recientes, el problema estaba en el registro y ya quedó resuelto.
Si no puedes abrir Scans/History
Es normal: ProgramData es una carpeta oculta y la subcarpeta de historial puede estar bloqueada por el servicio de Defender. Soluciones:
- Usa Modo seguro antes de intentar eliminar.
- Ejecuta el comando de PowerShell con
-Forcey privilegios de administrador. - Confirma que tu usuario pertenece al grupo de Administradores.
¿Puedo dejarlo así sin riesgo?
Sí, siempre que el escaneo sin conexión sea limpio y no vuelvan a aparecer detecciones nuevas. Esas entradas del historial no son amenazas activas. Aun así, lo recomendable es limpiar el historial para evitar confusiones y detectar más fácilmente alertas legítimas en el futuro.
Tabla de acciones rápidas
| Síntoma | Qué hacer |
|---|---|
| PUA:Win32/Packunwan, HackTool o Toptools aparecen a diario | Ejecuta examen sin conexión; si es limpio, borra DetectionHistory y reinicia. |
La carpeta DetectionHistory no se deja abrir/eliminar | Arranca en Modo seguro o usa Remove-Item ... -Recurse -Force en PowerShell como admin. |
| Defender notifica “Acción necesaria” pero sin archivo activo | Es indicio de historial “atascado”; limpia la carpeta y refresca protecciones. |
| Vuelven a detectarse al instalar apps | Revisa la procedencia del instalador, evita empaquetados de terceros y habilita bloqueo de PUA. |
Buenas prácticas y prevención
- Descarga software solo de sitios oficiales. Evita portales que “reempacan” instaladores con ofertas.
- Mantén SmartScreen y bloqueo de aplicaciones potencialmente no deseadas habilitados:
- Seguridad de Windows → Control de aplicaciones y navegador → Configuración de protección basada en reputación → activa Bloqueo de aplicaciones potencialmente no deseadas.
- Comprueba que la detección de PUA está activada en Defender (PowerShell):
# Ver estado
Get-MpPreference | Select-Object PUAProtection
0 = Deshabilitado, 1 = Bloquear, 2 = Auditar
Set-MpPreference -PUAProtection 1 - Programa escaneos periódicos y actualizaciones de firmas automáticas.
- Evita cracks, keygens y “optimizadores” milagro; son fuentes frecuentes de PUA.
Preguntas frecuentes
Malwarebytes y Microsoft Safety Scanner no encuentran nada, pero las alertas siguen. ¿Es normal?
Sí. Si otras herramientas salen limpias y Defender no logra “sacar” las entradas del historial, verás notificaciones repetidas. Limpiar DetectionHistory suele resolverlo.
¿Qué archivos no debo borrar?
No toques C:\ProgramData\Microsoft\Windows Defender\Quarantine ni otras carpetas de servicio. Solo elimina Scans\History\Service\DetectionHistory.
¿Esto afecta a la cuarentena de Defender?
No. Vaciar DetectionHistory no borra la cuarentena ni deshace remediaciones. Únicamente limpia el registro histórico.
Tras limpiar, vuelve a salir PUA:Win32/Packunwan/HackTool/Toptools cuando abro un instalador.
En ese caso ya no es historial: Defender está bloqueando contenido nuevo. Abandona ese instalador y descarga la versión oficial. Si es un falso positivo y confías plenamente en la fuente, analiza el archivo en otro equipo o con un servicio de reputación antes de permitirlo.
¿Cómo identificar qué app originó la alerta?
En Historial de protección suele figurar Ruta o Contenedor (por ejemplo, un ZIP en Descargas). Si ya limpiaste el historial, espera a una nueva detección para tomar nota, o ejecuta un escaneo personalizado sobre la carpeta que sospeches.
¿Necesito desactivar la Protección contra manipulaciones (Tamper Protection)?
No. Para borrar DetectionHistory no hace falta. Si un EDR corporativo impide cambios, usa Modo seguro o consulta con IT.
Guía paso a paso con PowerShell
Si prefieres una resolución “todo en uno” (excepto el escaneo sin conexión, que reinicia el equipo), puedes ejecutar lo siguiente como administrador:
# 1) Actualizar firmas
Update-MpSignature
2) Escaneo rápido para tranquilidad inmediata
Start-MpScan -ScanType QuickScan
3) Limpiar el historial (si ya confirmaste que no hay infección activa)
\$hist = "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory"
if (Test-Path \$hist) { Remove-Item \$hist -Recurse -Force }
4) Opcional: reactivar PUA en modo bloqueo (por si estuviera desactivado)
Set-MpPreference -PUAProtection 1
5) Programar examen sin conexión (requiere reinicio)
Start-MpWDOScan Consejo: si el borrado del historial devuelve error de acceso, repite los pasos 3–5 en Modo seguro.
Errores comunes y cómo evitarlos
- Borrar la carpeta equivocada: limita la limpieza a
DetectionHistory. No toquesQuarantineni otras rutas de Defender. - Suponer que hay infección solo por ver “acciones recomendadas” sin archivo activo: valida primero con el examen sin conexión.
- Desactivar protección en tiempo real indefinidamente: si la desactivas para refrescar, vuelve a activarla de inmediato.
- Instaladores reempacados: evita portales que añaden descargas “extra” (origen típico de Toptools y Packunwan).
Para entornos corporativos
- Habilita la detección de PUA vía Directiva de grupo:
- Configuración del equipo → Plantillas administrativas → Componentes de Microsoft Defender Antivirus → Configurar la detección de aplicaciones potencialmente no deseadas = Habilitada (Bloquear).
- Automatiza la limpieza en equipos afectados solo tras confirmar estado sanitario:
Invoke-Command -ComputerName PC001,PC002 -ScriptBlock { $p = "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory" if (Test-Path $p) { Remove-Item $p -Recurse -Force } Update-MpSignature Start-MpScan -ScanType QuickScan }
Checklist final
- Examen sin conexión de Microsoft Defender: OK
- Carpeta
DetectionHistoryeliminada y equipo reiniciado: OK - Protección en tiempo real y en la nube reactivadas: OK
- Bloqueo de PUA y SmartScreen habilitados: OK
- Sin nuevas detecciones reales tras varios días de uso: OK
Conclusión
Las detecciones persistentes de PUA:Win32/Packunwan, PUA:Win32/HackTool y PUADlManager:Win32/Toptools suelen deberse a un historial que no se purgó correctamente. Verifica la salud del sistema con un escaneo sin conexión, limpia DetectionHistory y reactiva las protecciones. Con ello recuperarás un estado claro del panel de Seguridad de Windows y evitarás falsos sustos en el futuro.