¿Tu portátil lanza una alerta de “virus o software potencialmente no deseado” cada vez que arranca y Windows Defender insiste en señalar un archivo sospechoso que jamás desaparece? A continuación descubrirás cómo eliminar definitivamente ese script malicioso, reparar Windows Security cuando sus servicios quedan dañados y blindar tu equipo para que el problema no se repita.
Alerta persistente de “virus o software potencialmente no deseado” al iniciar Windows
Visión general del fallo
El cuadro de Windows Script Host aparece en pantalla al iniciar sesión y, casi de inmediato, Windows Defender bloquea la ejecución del mismo archivo con el mensaje:
Operation did not complete successfully because the file contains a virus or potentially unwanted software.
Aun después de restaurar Windows de fábrica, la alerta regresa. El motivo suele ser un script VBS registrado en el arranque que se vuelve a copiar desde una carpeta oculta, normalmente en %LocalAppData%\Updates, cada vez que el sistema reinicia.
Antes de tocar nada: protege tus datos
Los troyanos que modifican el inicio pueden ir acompañados de ransomware. Copia tus documentos, fotos y proyectos en un disco USB o en la nube antes de continuar.
Procedimiento completo paso a paso
| Objetivo | Acción | Detalles clave |
|---|---|---|
| Proteger los datos | Realizar una copia de seguridad inmediata | Si el script descarga ransomware, tus archivos quedarán cifrados. Guarda la copia offline. |
| Identificar y eliminar el script malicioso | Autoruns (Sysinternals) Descarga la versión portátil y extráela en el Escritorio. Haz clic derecho y selecciona Ejecutar como administrador. Filtra por .vbs o escribe el nombre que muestra la alerta de Defender. Desmarca o elimina la entrada resaltada en rojo. | Las entradas rojas indican ficheros inexistentes o sin firma digital. El script suele alojarse en %AppData% o en una carpeta con nombre aleatorio. |
| Limpiar el historial de Defender | Inicia Windows en Modo seguro. Activa la opción Mostrar archivos ocultos. Borra todo el contenido de:C:\ProgramData\Microsoft\Windows Defender\Scans\History\ServiceC:\ProgramData\Microsoft\Windows Defender\Quarantine | Evita que detecciones antiguas se sigan mostrando tras reiniciar. |
| Desinfectar el sistema | Ejecuta un análisis sin conexión de Defender o un escaneo completo con Malwarebytes. Elimina cualquier archivo detectado. Particularmente cracks de software o instaladores dudosos. | El modo sin conexión de Defender arranca un entorno limpio antes de que el malware se active. |
| Comprobar que el problema desapareció | Reinicia en modo normal y observa si la alerta se repite. | Sin el script en startup, Windows Script Host deja de aparecer. |
¿Por qué vuelve la alerta tras un restablecimiento?
El restablecimiento de Windows conserva algunos archivos personales. Si tu copia de seguridad local contiene el VBS o una tarea programada con el mismo nombre, el bicho “renace” al restaurar tu perfil. Por eso es esencial analizar tanto la unidad del sistema como los discos externos antes de copiar nada de vuelta.
Windows Security/Defender deshabilitado tras desactivar el antivirus
Cómo se produce el daño
Muchos usuarios desactivan temporalmente Defender para descomprimir un instalador pirata. El malware aprovecha ese paréntesis para:
- Detener y desregistrar el servicio
WinDefend(Error 2). - Reemplazar binarios originales con versiones modificadas.
- Crear tareas programadas que reinstalan el script en cada inicio.
El resultado es un equipo sin protección en tiempo real y, en casos extremos, pantallazos azules al reiniciar por la corrupción de controladores.
Plan de recuperación
- Escaneo con Malwarebytes
Deshazte de cualquier amenaza activa antes de reparar Windows. Ejecuta un escaneo profundo con definiciones actualizadas. - Eliminar tareas y scripts residuales
Abre Símbolo del sistema (Admin) y ejecuta:
del "%LocalAppData%\Updates\Run.vbs"
schtasks /delete /tn "\Window Update" /f
schtasks /delete /tn "\Windows Service Task" /f
rd /s /q "%LocalAppData%\Updates"Estos comandos eliminan el script, las tareas ocultas y la carpeta que lo replica. Asegúrate de respetar las comillas y mayúsculas.
- Reparación in‑place de Windows 11
- Descarga la ISO oficial de Microsoft que coincida con tu edición (Home, Pro).
No uses “Lite” ni compacts no oficiales. - Haz doble clic en la ISO y ejecuta
setup.exe. - Selecciona Conservar archivos y aplicaciones.
- Espera; el proceso tarda entre 30‑90 minutos y reinicia varias veces.
- Descarga la ISO oficial de Microsoft que coincida con tu edición (Home, Pro).
- Solución al “pantallazo negro” de Windows Security
Tras un Reset algunos equipos muestran la aplicación Seguridad en negro. Microsoft publicó un script PowerShell que repara las apps UWP:
Get-AppxPackage Microsoft.SecHealthUI -AllUsers | Reset-AppxPackage
Get-AppxPackage Microsoft.WindowsStore -AllUsers | Reset-AppxPackageReinicia y verifica que la interfaz de Windows Security se abra correctamente.
- Eliminar Windows.old (opcional)
Si necesitas liberar espacio antes de los 10 días en que se borra solo:
cleanmgr /sageset:1
cleanmgr /sagerun:1Marca “Instalaciones anteriores de Windows” y acepta.
Buenas prácticas para evitar la reincidencia
| Recomendación | Motivo |
|---|---|
| No instalar cracks ni software de procedencia dudosa | Casi siempre incluyen troyanos o ransomware que secuestran el sistema. |
| Mantener Defender (o un antivirus reputado) activo y actualizado | La desactivación manual ofrece una ventana de oportunidad al malware. |
| Actualizar Windows y el antivirus con regularidad | Los parches corrigen vulnerabilidades usadas para escalar privilegios. |
| Conservar una copia de seguridad periódica | Si todo falla, podrás restaurar tus datos sin pagar rescate. |
¿Qué hago si uso otro antivirus?
Defender se desactiva de forma automática cuando instalas un antivirus de terceros, pero sus motores de análisis sin conexión y la protección integrada de Microsoft Defender Firewall permanecen disponibles. Configura tu antivirus para impedir la desactivación accidental y mantén ambos motores de detección actualizados.
Preguntas frecuentes
¿Puedo borrar el archivo VBS manualmente sin usar Autoruns?
Sí, pero corres el riesgo de saltarte las tareas programadas o las entradas del Registro que lo recrean. Autoruns muestra todas las ubicaciones de inicio —muchas más de las que aparecen en el Administrador de tareas— y es más fiable.
¿El modo seguro con funciones de red es seguro?
Suficiente para descargar herramientas antimalware y parches, pero recuerda que algunos rootkits se inyectan incluso en modo seguro. No navegues por sitios desconocidos mientras lo uses.
¿Qué diferencia hay entre restablecer y reparar in‑place?
- Restablecer Windows reinstala el sistema desde una imagen local y puede conservar tus archivos, pero a veces reintroduce el malware si tus documentos están infectados.
- Reparar in‑place descarga o monta una imagen ISO limpia y reemplaza todos los binarios de sistema sin tocar programas ni archivos.
¿Se pierde la garantía o la licencia al reparar in‑place?
No. La clave de Windows se almacena en tu firmware o en tu cuenta Microsoft. La reparación respeta ambas.
¿Cómo compruebo que Defender funciona otra vez?
- Abre Seguridad de Windows → Protección antivirus y contra amenazas.
- Verifica que el estado indique Protección en tiempo real: Activada.
- Haz clic en Actualizaciones de protección y descarga la base de firmas más reciente.
- Ejecuta un Examen rápido. El tiempo debería rondar 1‑2 min en SSD.
Conclusión
Eliminar la alerta persistente de Windows Script Host y revivir Windows Defender puede parecer un reto, pero el proceso se simplifica si sigues un orden lógico:
- Asegura tus datos.
- Localiza y elimina el script con Autoruns.
- Purga el historial y la cuarentena de Defender.
- Pasa un escaneo sin conexión para eliminar cualquier residuo.
- Si Defender quedó dañado, repáralo in‑place.
Al final obtendrás un sistema limpio, protegido en tiempo real y sin perder licencias ni programas. Mantén buenas prácticas de seguridad y tu equipo resistirá la mayoría de amenazas que circulan por la red.