MENU
  1. Inicio
  2. Windows
  3. Windows Defender
  4. Solución completa para Trojan\:PowerShell/DownInfo.BA en Windows Defender – reparar desconexiones y pop‑ups

Solución completa para Trojan\:PowerShell/DownInfo.BA en Windows Defender – reparar desconexiones y pop‑ups

Windows Defender

¿Windows Defender lanzó una alerta sobre Trojan:PowerShell/DownInfo.BA, la conexión a Internet se volvió inestable y además ves ventanas emergentes sin parar? A continuación tienes una guía exhaustiva, basada en experiencia real de remediación, para eliminar la amenaza, restaurar la red y devolver la plena protección a tu sistema.

Índice

Qué está ocurriendo

El detonante más visible es un aviso constante de Defender que identifica Trojan:PowerShell/DownInfo.BA. En la práctica, esta detección es legítima: un script malicioso se ejecuta mediante una tarea programada oculta que llama a PowerShell con código Base‑64 para descargar o actualizar la carga útil.

SíntomaCausa identificada
• Ventanas emergentes de Defender advirtiendo sobre Trojan:PowerShell/DownInfo.BA.
• Pérdida total o intermitente de la conexión de red tras la alerta.
• Aparición de exclusiones sospechosas en Defender (C:\WINDOWS\system32, powershell.exe).		Infección activa que se ancla en una tarea programada camuflada.
La carga reside en C:\Windows\System32\DomainAuthHost y lanza PowerShell para descargar módulos adicionales.

Por qué se corta la red

El script añade un proxy malicioso y, en ocasiones, cambia los DNS. Cuando Defender detiene la ejecución o se bloquea la tarea, el sistema puede quedar apuntando a un proxy inexistente y perder conectividad.

Procedimiento de desinfección

El método profesional se basa en Farbar Recovery Scan Tool (FRST) con un fixlist.txt personalizado. Sin embargo, para administradores que atienden varios equipos conviene entender el flujo general. Así podrás generar fixlists seguros y verificar cada paso.

  1. Iniciar en Modo seguro con funciones de red
    Ruta rápida: Configuración > Recuperación > Inicio avanzado > Opciones avanzadas > Configuración de inicio > Reiniciar > F4 o F5. El entorno limitado impide que la tarea maliciosa arranque.
  2. Ejecutar FRST64.exe
    Descarga la versión adecuada para tu arquitectura (x64 casi siempre). Si tu Windows está en español y FRST se abre en inglés, basta con renombrar el ejecutable a FRST64English.exe. Presiona Scan sin modificar casillas; se generan FRST.txt y Addition.txt.
  3. Medidas manuales (si aún no dispones del fixlist)
    Usa la consola para evitar que la tarea siga regenerándose y corrige el proxy.
schtasks /delete /f /tn <NombreDeLaTareaSospechosa>   :: Ej. EdgePathUpdaterTask
netsh winhttp reset proxy
bitsadmin /util /setieproxy localsystem NO_PROXY RESET
rd /s /q C:\Windows\System32\DomainAuthHost
  1. Aplicar fixlist.txt con FRST
    Coloca el fixlist en la misma carpeta del ejecutable, pulsa Fix y espera a que reinicie. El script:
  • Elimina \DomainAuthHost, sus binarios y los ADS (Alternate Data Streams).
  • Borra tareas programadas ocultas y claves de Run/RunOnce.
  • Restaura valores de WinHTTP, IE Proxy y BITS.
  • Repara la política de PSExecutionPolicy si fue forzada a Bypass.
  1. Quitar exclusiones ilícitas de Windows Defender
HKEYLOCALMACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths
    (eliminar)  C:\WINDOWS\system32

HKEYLOCALMACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes
    (eliminar)  powershell.EXE
  1. Actualizar firmas y correr un análisis completo u offline
    Mantén Defender actualizado. Como segunda opinión, ejecuta Kaspersky Virus Removal Tool (KVRT) o Microsoft Safety Scanner (MSERT).
  2. Comprobar conectividad
  • Si la red sigue caída, prueba el Solucionador de problemas de red o el Restablecimiento de red en Configuración > Red e Internet > Configuración de red avanzada.
  • Verifica que el Proxy manual esté desactivado en Configuración > Red > Proxy.

Buenas prácticas adicionales

RecomendaciónMotivo
Comprobar la legitimidad de Windows y Office; desinstalar activadores KMS o ediciones LTSC piratas.Los activadores suelen reinfectar el sistema añadiendo de nuevo la tarea maliciosa y el proxy.
No desinstales KB5060533; la detección apareció al introducirse la definición 1.429.460.0, no por la actualización acumulativa.Evitarás confundir causa y efecto y no dejarás el sistema sin parches.
Cuando todo termine, renombra FRST64.exe a Uninstall.exe y ejecútalo.Así se borran copias de seguridad y registros temporales, recuperando espacio.
Pasa un antivirus de rescate (KVRT) o un segundo escáner profundo.Confirma al 100 % que no quedan restos.
Mantén Windows Defender con su configuración predeterminada y sin exclusiones amplias.Reducirás la superficie de ataque a futuro.

Tras la limpieza: validación final

  • Defender ya no muestra pop‑ups de DownInfo.BA.
  • La carpeta DomainAuthHost y las tareas de nombre ofuscado (EdgePathUpdaterTask, WindowsSoftwareAgent, etc.) han desaparecido.
  • La conexión a Internet funciona sin cortes ni proxies extraños.
  • No existen exclusiones inseguras en Windows Defender.

Cómo asegurarte de que no regrese

  1. Actualiza el sistema operativo. Muchas variantes explotan brechas parcheadas meses atrás.
  2. Cambia las contraseñas de usuario y, si el equipo pertenece a un dominio, notifica al administrador.
  3. Habilita la Protección contra alteraciones («Tamper Protection») en la consola de Seguridad de Windows.
  4. Activa la protección reputacional: bloqueo de aplicaciones maliciosas y SmartScreen para aplicaciones de Microsoft Store y contenidos web.
  5. Supervisa tareas programadas y servicios durante una semana. Basta con usar el Visor de eventos filtrando por Microsoft-Windows-TaskScheduler/Operational.

Preguntas frecuentes

¿Es un falso positivo?

No. Desde junio de 2025 la definición 1.429.460.0 añadió la firma específica de DownInfo.BA. Todas las investigaciones de campo confirman artefactos maliciosos en \DomainAuthHost y alteraciones en proxy. Si ves la alerta, el sistema está –o estuvo– comprometido.

¿Por qué Defender no lo borró automáticamente?

La carga se ejecuta como proceso hijo de services.exe mediante una tarea programada en modo System; a veces PowerShell se lanza con la política de ejecución en Bypass y desactiva Defender o inserta exclusiones. El componente en disco puede autodestruirse después de infectar, obligando a una desinfección manual.

¿Puedo usar otro antivirus en lugar de FRST + fixlist?

FRST no es un antivirus sino una herramienta de diagnóstico y remediación especializada. Aunque algunos AV de terceros detectan DownInfo.BA, las tareas persistentes y los cambios en proxy/DNS no siempre se revierten. Por eso se recomienda el fixlist, que corrige cada vector.

El sistema dejó de arrancar tras la limpieza, ¿qué hago?

Probablemente se eliminó un controlador legítimo por accidente o el fixlist no coincidía con la arquitectura del equipo. Arranca con un USB de recuperación, restaura el punto de restauración que FRST crea automáticamente y repite el procedimiento revisando cada línea del fixlist.

Análisis técnico del payload

Para los curiosos que quieran profundizar, la cadena Base‑64 decodificada revela:

  1. Descarga un archivo ZIP desde un dominio comprometido (cdn‑secure‑store[.]site, cloud‑data‑hub[.]top, etc.).
  2. Extrae un DLL y lo carga en memoria con rundll32.exe.
  3. Crea las tareas:
    • Microsoft\ Windows\BluetoothNetworkSignreup\EdgePathUpdaterTask
    • Microsoft\Windows\Wininet\Services\WindowsSoftwareAgent
  4. Inserta exclusiones en Defender para C:\Windows\System32 y powershell.exe.
  5. Fuerza RestrictAnonymous a 0 en el registro para facilitar movimientos laterales en redes antiguas.

La buena noticia es que la firma heurística de Defender neutraliza la ejecución apenas la definición se actualiza, pero los vectores persistentes requieren la intervención descrita en esta guía.

Automatizar la respuesta en redes corporativas

Si administras decenas o cientos de equipos con Microsoft Intune o una plataforma EDR, crea un paquete que:

  1. Habilite la cuarentena automática de Defender y exija la eliminación de exclusiones globales.
  2. Distribuya el FRST y el fixlist como Win32 app silenciosa.
    Ejemplo de comandos:
    FRST64.exe /fix /quiet shutdown /r /t 30 /f
  3. Reporte vía script de PowerShell el estado de las tareas programadas y la llave ProxySettingsPerUser para verificar que sea 0.
  4. Bloquee hash y nombres de archivo observados (IOC) en la consola de respuesta EDR.

De este modo la respuesta será homogénea, reducirá tiempos de parada y evitará que versiones mutadas se propaguen.

Conclusión

Trojan:PowerShell/DownInfo.BA aprovecha suplantación de tareas y configuraciones de red para persistir. Con la estrategia basada en FRST, un fixlist preciso y la eliminación de exclusiones indebidas se consigue su erradicación total, restaurando la conexión y la plena eficacia de Windows Defender.

Mantén tus firmas al día, evita activadores ilegítimos y aplica políticas de endurecimiento. Así blindarás tu sistema frente a reincidencias y a nuevas variantes con tácticas similares.

Windows Defender
PowerShell Windows 11 malware Windows Defender DownInfo.BA
Índice