¿Windows Defender repite la detección PUA:Win32/GameHack aunque ya vaciaste %TEMP% y las acciones de “Eliminar” o “Cuarentena” no funcionan? Esta guía te muestra cómo limpiar el historial que genera la alerta fantasma, ejecutar un examen sin conexión y dejar el sistema en orden.

Resumen del problema

En algunos equipos, Microsoft Defender (Windows Defender) mantiene una alerta recurrente para la amenaza PUA:Win32/GameHack. Suele ocurrir cuando el archivo original ya no existe o se eliminó, pero el motor conserva metadatos en su historial o en la carpeta de cuarentena. Resultado: el usuario recibe notificaciones constantes y, al abrir el Historial de protección, aparecen entradas que no se logran “borrar” con las acciones estándar.

La solución pasa por tres ideas clave:

• Impedir interferencias arrancando en Modo seguro con funciones de red.
• Hacer visibles las rutas ocultas donde Defender guarda registros y elementos en cuarentena.
• Vaciar el historial y la cuarentena para eliminar los metadatos que provocan la detección persistente, y rematar con un examen sin conexión.

Solución paso a paso

1. Arranque en modo seguro con funciones de red El Modo seguro desactiva controladores y procesos no esenciales, lo que evita bloqueos al limpiar carpetas de Defender. Dos caminos prácticos:
   • Desde Configuración: abre Configuración → Sistema → Recuperación → Inicio avanzado → Reiniciar ahora. Luego elige Solucionar problemas → Opciones avanzadas → Configuración de inicio → Reiniciar y selecciona Habilitar modo seguro con funciones de red.
   • Atajo: mantén Shift y pulsa Reiniciar desde el menú de energía; sigue el mismo itinerario de menús.
   Consejo: si usas contraseña, tenla a mano; algunos dispositivos con PIN pueden solicitarla tras el reinicio.
2. Mostrar elementos ocultos en el Explorador Defender guarda parte de su información en C:\ProgramData, una carpeta oculta.
   • Abre el Explorador de archivos.
   • En Windows recientes: Ver → Mostrar → marca Elementos ocultos.
   • En versiones anteriores: pestaña Vista → marca Elementos ocultos.
   No es necesario habilitar la opción de “archivos protegidos del sistema”. Con mostrar ocultos basta para ver ProgramData.
3. Borrar historial de análisis y cuarentena de Defender Con Modo seguro activo, navega hasta las siguientes rutas y elimina su contenido. Esto borra las referencias que alimentan la alerta repetitiva. Carpeta de historialC:\ProgramData\Microsoft\Windows Defender\Scans\History\ServiceSelecciona todo dentro de Service y elimínalo. Carpeta de cuarentenaC:\ProgramData\Microsoft\Windows Defender\QuarantineElimina todos los archivos y subcarpetas de Quarantine. Si aparece un mensaje de acceso denegado, confirma que sigues en Modo seguro. En caso de duda, usa una consola elevada: PowerShell (administrador) Remove-Item "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\*" -Recurse -Force -ErrorAction SilentlyContinue Remove-Item "C:\ProgramData\Microsoft\Windows Defender\Quarantine\*" -Recurse -Force -ErrorAction SilentlyContinue Estas órdenes eliminan solo el contenido y no la carpeta base. Evita borrar otras rutas de Defender.
4. Reinicio en modo normal Cierra todo y reinicia el equipo de forma normal. Defender reconstituirá sus carpetas vacías cuando sea necesario.
5. Ejecutar un examen sin conexión El examen sin conexión analiza el sistema antes de que Windows cargue completamente, perfecto para eliminar restos que viven en memoria o se reaparecen en el arranque.
   • Abre Seguridad de Windows → Protección antivirus y contra amenazas → Opciones de examen.
   • Elige Examen sin conexión de Microsoft Defender y confirma. El equipo se reiniciará y realizará un análisis profundo.
   Este paso es clave para que la limpieza sea “a prueba de reinicios”.
6. Verificación final
   • Abre Seguridad de Windows → Historial de protección y comprueba que ya no aparece la alerta.
   • Opcional: vuelve al Explorador y desmarca Elementos ocultos si prefieres la vista por defecto.
   • Repite un examen rápido para confirmar que todo siga limpio.

Motivos de la alerta persistente

La etiqueta PUA significa “aplicación potencialmente no deseada”. A diferencia del malware tradicional, una PUA puede no ser maliciosa por diseño: se asocia con utilidades que alteran juegos (trainers, cracks y similares), instaladores agresivos, barras de herramientas o software que vulnera políticas de plataformas. Cuando Defender detecta una PUA y no puede aislarla por completo —por ejemplo, el archivo ya no está o se limpió fuera del flujo normal— suele quedar un registro huérfano en History\Service o un resto en Quarantine. Ese registro alimenta el panel de seguridad y provoca la sensación de “detección atascada”.

En resumen: limpiar el historial y la cuarentena elimina los metadatos que reactivan la notificación, y el examen sin conexión asegura que no haya componentes cargándose antes del antivirus.

Qué es la detección PUA GameHack

La detección PUA:Win32/GameHack apunta a herramientas creadas para modificar el comportamiento de juegos: alteración de memoria en tiempo real, desbloqueo de funciones, modificación de archivos de juego o bypass de integridad. Estas utilidades conllevan riesgos obvios:

• Seguridad: muchos paquetes se distribuyen con instaladores que incluyen adware u otros componentes no deseados.
• Privacidad: algunos “launchers” y cracks abren la puerta a recopilar datos del usuario o insertar publicidad.
• Legal y términos de servicio: pueden violar acuerdos de usuario y conllevar bloqueos de cuenta en plataformas.

Incluso cuando el archivo en sí no es malicioso, su familia o comportamiento suele clasificarlo como PUA. Por eso Defender es insistente.

Buenas prácticas preventivas

• Mantén Defender actualizado (definiciones y plataforma). Busca actualizaciones desde Protección antivirus y contra amenazas → Actualizaciones de protección.
• Evita descargas de procedencia desconocida. Prioriza instaladores directos del fabricante y rechaza paquetes “todo en uno”.
• Activa la protección contra aplicaciones potencialmente no deseadas en Seguridad de Windows → Control de aplicaciones y navegador.
• Crea un punto de restauración antes de instalar software nuevo. Facilita la vuelta atrás si algo sale mal.
• No agregues exclusiones amplias en Defender (p. ej., excluir todo un disco o C:\). Si necesitas una exclusión temporal, limita la ruta exacta y bórrala tras el uso.

Solución con PowerShell opcional

Para quienes prefieren automatizar la limpieza (siempre con una consola de PowerShell como administrador):

# Vaciar historial y cuarentena
Remove-Item "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\*" -Recurse -Force -ErrorAction SilentlyContinue
Remove-Item "C:\ProgramData\Microsoft\Windows Defender\Quarantine\*" -Recurse -Force -ErrorAction SilentlyContinue

Actualizar firmas de Defender

Update-MpSignature

Programar examen sin conexión (reinicia y analiza antes de cargar Windows)

Start-MpWDOScan 

Si Start-MpWDOScan no está disponible en tu edición, ejecuta un Examen completo como alternativa:

Start-MpScan -ScanType FullScan

Comprobaciones adicionales

• Visor de eventos: mira Microsoft → Windows → Windows Defender → Operational para confirmar detecciones y acciones aplicadas.
• Tareas programadas: verifica que no haya tareas que reactiven instaladores sospechosos al iniciar. Abre “Programador de tareas” y revisa la biblioteca de tareas del usuario.
• Carpetas temporales: limpia %TEMP% y Temp de cada perfil con Win+R → escribe %TEMP% → Eliminar.
• Programas de inicio: en Administrador de tareas → pestaña Inicio, deshabilita elementos no reconocidos.

Errores frecuentes y cómo evitarlos

• Intentar borrar en modo normal: algunos archivos quedan en uso. Usa Modo seguro para evitar bloqueos.
• Eliminar la carpeta equivocada: asegúrate de operar solo en Scans\History\Service y Quarantine.
• Dejar exclusiones permanentes: una exclusión demasiado amplia puede ocultar amenazas reales. Retírala al terminar.
• Omitir el examen sin conexión: es el paso que remata la limpieza contra restos que se inyectan antes del arranque.

Tabla de referencia rápida

Acción	Ruta o menú	Objetivo
Mostrar ocultos	Explorador → Ver → Mostrar → Elementos ocultos	Acceder a C:\ProgramData
Vaciar historial	C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service	Eliminar metadatos de detecciones
Vaciar cuarentena	C:\ProgramData\Microsoft\Windows Defender\Quarantine	Eliminar restos aislados
Examen sin conexión	Seguridad de Windows → Protección antivirus y contra amenazas → Opciones de examen	Analizar antes de que Windows cargue por completo
Actualizar firmas	Seguridad de Windows → Actualizaciones de protección	Mejorar la detección y la limpieza

Preguntas frecuentes

¿Es siempre malicioso lo que señala esta detección? No necesariamente. PUA significa que el software puede ser no deseado o de riesgo. Aun así, si no lo reconoces, trátalo como potencialmente peligroso y elimínalo. ¿Por qué sigue apareciendo aunque borré el archivo original? Porque Defender conserva la referencia en el historial o en cuarentena. Al limpiar esas carpetas y ejecutar el examen sin conexión, la alerta desaparece. ¿Puedo simplemente “permitir” la PUA? No es recomendable. Permitirla puede ocultar actividad no deseada y viola políticas de algunos juegos y plataformas. Mejor elimina y busca fuentes confiables. ¿Qué hago si no tengo permisos para borrar las carpetas? Comprueba que estás en Modo seguro y que abriste el Explorador o PowerShell como administrador. Si persiste, reinicia y repite. ¿Sirve el análisis completo en lugar del sin conexión? El análisis completo ayuda, pero el sin conexión detecta y elimina elementos que se cargan antes que el antivirus. Es preferible para cerrar el caso.

Lista de comprobación final

• Arranque en Modo seguro con funciones de red.
• Activación de “Elementos ocultos” en el Explorador.
• Limpieza de Scans\History\Service y Quarantine en ProgramData.
• Reinicio en modo normal.
• Ejecución de Examen sin conexión de Microsoft Defender.
• Revisión en Historial de protección y examen rápido de confirmación.
• Aplicación de medidas preventivas (actualizaciones, evitar fuentes dudosas, protección PUA activada, punto de restauración).

Resumen ejecutivo

La detección PUA:Win32/GameHack que no desaparece suele deberse a registros residuales. Limpia el historial y la cuarentena de Defender en Modo seguro, reinicia y ejecuta un examen sin conexión. Con estos pasos, la alerta fantasma deja de mostrarse y el equipo queda protegido sin notificaciones recurrentes.

---

Aviso: este procedimiento es seguro siempre que respetes las rutas indicadas. No elimines otros directorios de Defender ni crees exclusiones amplias que dejen el sistema desprotegido.