Restaurar Windows Defender eliminado por malware en Windows 10 – Guía completa paso a paso

¿Windows Defender desapareció después de un ataque de malware en Windows 10? Aprende a restaurarlo paso a paso sin perder tus archivos: desde la desinfección con FRST hasta la reparación in‑place y la limpieza de componentes sobrantes.

Índice

Por qué Windows Security puede desaparecer tras una infección

El malware avanzado que se ejecuta con privilegios administrativos suele:

  • Borrar servicios y controladores de Defender, deshabilitando Windefend, SecurityHealthService, Windows Update y la plataforma antimalware.
  • Eliminar librerías clave (MpSvc.dll, MsSecCore.dll) y sus entradas en el Registro, impidiendo la reinstalación automática.
  • Manipular las directivas de grupo locales para bloquear defensas en tiempo real y las actualizaciones de firmas.
  • Sustituir archivos de sistema por copias infectadas firmadas con certificados robados.

En este escenario, restaurar Defender exige dos fases: primero retirar la amenaza —de lo contrario, el malware revierte cualquier reparación— y luego reinstalar los componentes dañados.

Verificar y eliminar la infección con FRST

Preparar el entorno

  1. Desde otro equipo seguro, descarga Farbar Recovery Scan Tool de su foro oficial y cópialo a un USB limpio.
  2. Arranca el PC afectado en Modo seguro con funciones de red o, si el malware bloquea el arranque, en Entorno de recuperación (Win + X > Apagar > Reiniciar mientras mantienes Shift).
  3. Ejecuta FRST64.exe directamente desde el USB; marca Addition.txt y pulsa Scan.

Interpretar FRST.txt y Addition.txt

Los informes incluyen servicios, tareas, controladores, rutas hijackeadas y objetos en módulos cargados.  Busca indicadores de compromiso habituales:

  • Servicios marcados como File not found (evidencia de componentes eliminados).
  • HKLM\...\Winlogon\Userinit o Shell apuntando a ejecutables sospechosos.
  • Entradas AppInit_DLLs o Image File Execution Options con rutas ajenas a C:\Windows\System32.
  • Tareas programadas recién creadas que rehacen el sabotaje tras cada reinicio.

Crear fixlist.txt personalizado

En un editor de texto simple:

  • Copia cada línea maliciosa precedida por la sintaxis FRST (DeleteKey:, DeleteFile:, CMD:, etc.).
  • Agrega instrucciones para restaurar valores seguros, por ejemplo:
    CMD: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /t REG_SZ /d explorer.exe /f
  • No incluyas rutas de sistema legítimas: un fix agresivo puede dejar el PC inservible.

Ejecutar la limpieza y reiniciar

  1. Coloca fixlist.txt junto a FRST64.exe.
  2. Pulsa Fix; FRST crea un punto de restauración, aplica los cambios y reinicia automáticamente.
  3. Al volver a Windows, ejecuta de nuevo FRST → Scan; los objetos maliciosos deben haber desaparecido.

Consejo: realiza un análisis offline con Microsoft Defender Offline o ESET SysRescue; las firmas en un entorno fuera de Windows detectan malware que manipula el núcleo del sistema.

Reparar Windows para restaurar Defender y los servicios dañados

Una vez limpio, toca reinstalar componentes eliminados. La forma más fiable y menos destructiva es la reparación in‑place (también llamada repair‑install).

Descargar la imagen adecuada

  1. Desde el mismo PC (o un equipo sano) baja la Herramienta de creación de medios disponible en la web de Microsoft.
  2. Elige Crear medio de instalación → ISO y selecciona la misma edición, idioma y arquitectura que ya tienes (p. ej. Windows 10 Pro 22H2 64‑bit). Si dudas, ejecuta winver o systeminfo.
  3. Guarda la ISO en el disco local, haz doble clic para montarla y lanza setup.exe.

Opciones clave en el asistente

  1. Cambiar la forma en que Setup descarga actualizaciones: marca Not right now para que el instalador use únicamente los archivos locales; así evitas fallos de Windows Update.
  2. En la pantalla final, confirma que aparezca Conservar archivos y aplicaciones personales. Si está en gris, cancela y:
    • Comprueba que la edición y compilación coincidan.
    • Desinstala paquetes de idioma adicionales y repite.
    • Libera espacio (mínimo 20 GB) y deshabilita BitLocker temporalmente.
  3. Haz clic en Install y espera 20‑60 min según el hardware.

Qué restaura exactamente la reparación

  • Recrea archivos de sistema perdidos con sus permisos correctos.
  • Re‑registra servicios como windefend, wuauserv, SecurityHealthService y restaura directivas por defecto.
  • Vuelve a instalar las aplicaciones del sistema (Microsoft Store, subsistema de actualizaciones, “Entorno Windows” modernizado).
  • No toca datos de usuario ni la mayoría de configuraciones, pero puede restablecer valores de telemetría y política de grupo.

Comprobaciones posteriores

sc query windefend
sc qc windefend
powershell -c "Get-MpComputerStatus | fl RealTimeProtectionEnabled,AntispywareEnabled"

Todos los estados deberían figurar como True. Abre Windows Security y asegúrate de que los módulos “Protección antivirus”, “Firewall” y “Protección contra Aplicaciones” muestren “Sin acciones necesarias”. A continuación, forza Buscar actualizaciones en Windows Update.

Solucionar las alertas fantasma de Windows Defender

Tras volver a la normalidad, es frecuente que el Centro de seguridad repita viejas detecciones (p. ej. NSudo.exe o Windows.exe) aun después de haber sido eliminadas. Es un fallo en la base DetectionHistory.

Método manual en Modo seguro

  1. Arranca con F8 → Modo seguro.
  2. Navega hasta:
    C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory
  3. Elimina todo el contenido.
  4. Reinicia Windows en modo normal; la lista de amenazas se vaciará.

Método automatizado con script

@echo off
net stop WinDefend
rmdir /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory"
net start WinDefend
pause

Guarda el bloc de notas como ClearDefenderHistory.cmd, ejecuta “Como administrador” y listo.

Limpieza de carpetas y componentes sobrantes

Carpeta / componente¿Qué es?¿Se puede borrar?Cómo hacerlo
Windows.oldCopia de la instalación anterior creada por la reparación o una actualización mayor.Sí, al liberar espacio.Configuración → Almacenamiento → Sensor de almacenamiento (o cleanmgr.exe) y elegir “Instalaciones anteriores de Windows”.
inetpubDirectorio raíz de IIS (Internet Information Services).Solo si IIS no se usa.Ejecutar optionalfeatures.exe, desactivar “Internet Information Services”, luego eliminar o renombrar la carpeta.
ESDArchivos temporales generados por la Herramienta de creación de medios.Sí.Eliminar la carpeta una vez completada la reparación.
C:\FRST y logsRestos de FRST y del fix.Sí.Borrar la carpeta y los registros cuando todo funcione.

Pasos para recuperar espacio adicional

  • Abre Storage Sense y activa la limpieza automática cada reinicio.
  • En Configuración → Sistema → Protección del sistema, reduce el espacio reservado a Restaurar sistema (un 5‑7 % suele bastar).
  • Desinstala paquetes de idiomas no utilizados y funciones opcionales (por ejemplo, Fax y XPS Viewer).

Buenas prácticas post‑incidentales

  • Mantén Windows Update en modo automático: los parches de seguridad son la primera línea de defensa.
  • Activa Protección de la carpeta controlada en Defender para impedir modificaciones no autorizadas en Documentos, Imágenes y Escritorio.
  • Crea una imagen del sistema con wbAdmin o herramientas como Macrium Reflect. Un clon reciente acelera cualquier recuperación futura.
  • Trabaja en cuentas estándar y usa UAC para elevar privilegios solo cuando sea realmente necesario.
  • Comprueba ejecutables sospechosos en máquinas virtuales o en el portal VirusTotal antes de abrirlos.

Preguntas frecuentes

¿Una restauración del sistema habría bastado?

No. Restaurar sistema revierte archivos y parte del Registro, pero no recupera servicios eliminados ni componentes protegidos por TrustedInstaller; el malware seguiría rompiendo Defender.
¿Puedo usar DISM y SFC en lugar de la reparación in‑place?

sfc /scannow y dism /online /cleanup-image /restorehealth son útiles, pero fallan si el almacén WinSxS también fue dañado. El setup.exe de la ISO refresca todo el sistema operativo.
¿Qué ocurre con mis licencias y programas instalados?

El proceso in‑place mantiene aplicaciones y claves activadas. Únicamente puede reinstalar drivers genéricos; revisa el Administrador de dispositivos tras el primer arranque.

Conclusión

Restaurar Windows Defender después de un ataque severo no tiene por qué implicar formatear el equipo. Una estrategia ordenada —eliminar la amenaza con FRST, reparar Windows para reescribir los binarios de seguridad y depurar rastros residuales— devuelve la protección original sin perder datos. Invertir unos minutos en crear copias de seguridad y aplicar buenas prácticas reduce el riesgo de repetir el incidente.

Índice