¿Te saltó Microsoft Defender con “Trojan:Win32/Vigorf.A” señalando rutas de DellUpdate o “C:\ProgramData\Dell\SARemediation…”? En la inmensa mayoría de casos es un falso positivo. Aquí tienes un procedimiento claro para confirmarlo y resolverlo con seguridad, sin medidas drásticas.
Resumen del caso
Diversos usuarios han recibido alertas de Microsoft Defender por Trojan:Win32/Vigorf.A —y en algún caso también AgentTesla!ml— que apuntan a componentes y copias de seguridad relacionados con software de Dell, por ejemplo:
C:\ProgramData\Dell\SARemediation\SystemRepair\Snapshots\Backup\...
file:\Device\HarddiskVolumeShadowCopy1\Windows\...\DellUpdate.msi
Los hallazgos más repetidos en estos reportes coinciden en dos patrones:
- Las rutas afectadas pertenecen a Dell Update y/o a SupportAssist Remediation (carpeta
SARemediation), incluidas copias creadas por Restaurar sistema (VSS). - Escáneres alternativos no confirman la amenaza; y al desinstalar Dell Update las alertas cesan.
Conclusión rápida
Todo indica un falso positivo de Microsoft Defender provocado por patrones de código presentes en instaladores o binarios de Dell (DellUpdate.msi y carpetas de SARemediation). A continuación, el plan de acción recomendado, en orden.
Procedimiento recomendado
Actualizar la inteligencia de seguridad de Defender
Muchas detecciones anómalas desaparecen cuando Microsoft corrige las firmas. Antes de nada, fuerza una actualización:
- Interfaz: Seguridad de Windows → Protección contra virus y amenazas → Actualizaciones de protección → Buscar actualizaciones.
- PowerShell (opción avanzada):
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -SignatureUpdate Get-MpComputerStatus | Select AMEngineVersion, AntivirusSignatureVersionConfirma que los números de versión han cambiado respecto a los anteriores.
Si tras actualizar firmas la alerta no reaparece en los siguientes análisis, probablemente estaba resuelta.
Verificar con un segundo motor
Para descartar un compromiso real, ejecuta un análisis bajo demanda con otra solución reputada (p. ej., Malwarebytes u otra de tu confianza). Interpreta los resultados así:
- Solo Defender detecta y la ruta apunta a
DellUpdateoSARemediation→ altísima probabilidad de falso positivo. - Dos o más motores detectan en archivos ajenos a Dell (o en rutas de usuario/arranque) → trata la detección como real y aplica limpieza completa.
Desinstalar “Dell Update” si no lo necesitas
En los casos reportados, eliminar el componente que dispara la alerta detuvo las detecciones, incluso antes de que Microsoft publicara firmas corregidas. Para desinstalar:
- Configuración → Aplicaciones → Aplicaciones instaladas → busca Dell Update → Desinstalar.
- (Opcional) Reinicia al finalizar y vuelve a analizar.
Notas:
- Esto no afecta a Windows ni a controladores ya instalados. Solo perderás las actualizaciones automáticas de Dell Update (si las usabas).
- Si gestionas equipos Dell, puedes reinstalar más adelante cuando el falso positivo esté corregido.
Reiniciar y ejecutar un análisis completo u offline de Defender
Algunas advertencias mostraban “remediation incomplete” porque el archivo estaba en una instantánea VSS (copias de Restaurar sistema), que es de solo lectura. Tras reiniciar, realiza:
- Análisis completo: Seguridad de Windows → Opciones de examen → Examen completo.
- Análisis offline (muy eficaz para despejar dudas):
Start-Process PowerShell -Verb RunAs -ArgumentList 'Start-MpWDOScan'El equipo se reiniciará y ejecutará el escaneo fuera de línea.
Si la alerta persiste en “VolumeShadowCopy…”
La ruta en formato file:\Device\HarddiskVolumeShadowCopy#\... indica que la detección está en una copia del sistema, no en un archivo activo. Puedes:
- Opción gráfica: Panel de control → Sistema → Protección del sistema → selecciona la unidad del sistema → Configurar → Eliminar para suprimir puntos antiguos → crea un punto nuevo.
- Opción de línea de comandos (avanzado; elimina todas las instantáneas de C:):
vssadmin list shadows vssadmin delete shadows /for=C: /allAdvertencia: perderás la posibilidad de restaurar a estados anteriores.
Reportar el falso positivo a Microsoft
Cuantos más reportes, antes se corrige la firma. Abre Comentarios de Windows (Feedback Hub), adjunta capturas de la alerta y especifica la ruta exacta (DellUpdate.msi o SARemediation). Incluye que otros motores no detectan y que el archivo pertenece a Dell.
Qué evitar
- No desactives la protección en tiempo real para “salvar” el archivo señalado.
- No agregues exclusiones permanentes salvo confirmación sólida de falso positivo y recuerda retirarlas en cuanto Microsoft corrija firmas.
- No formatees ni reinstales Windows solo por esta alerta si un segundo escáner limpia y las rutas pertenecen a Dell.
Por qué probablemente es un falso positivo
Algunas claves técnicas ayudan a entender el diagnóstico:
- Rutas de Dell:
C:\Program Files\Dell\Update,C:\Program Files (x86)\Dell\UpdateyC:\ProgramData\Dell\SARemediation\...son ubicaciones esperables de software Dell legítimo (actualizador y componentes de recuperación). - “ml” en el nombre (
AgentTesla!ml): el sufijo suele indicar detección por modelos de aprendizaje automático. En binarios con empaquetado/compresión o con instaladores complejos, estas heurísticas pueden arrojar falsos positivos. - VSS (Volume Shadow Copy): si la detección aparece como
VolumeShadowCopy#, el archivo vive en una copia de restauración. No es un binario activo ni supone ejecución. - Correlación: que desinstalar Dell Update haga desaparecer las alertas refuerza la hipótesis de firma errónea en ese componente.
Tabla de síntomas y acciones
| Síntoma | Interpretación | Acción recomendada |
|---|---|---|
Detección “Trojan:Win32/Vigorf.A” en C:\ProgramData\Dell\SARemediation\... | Archivo de Dell en carpeta de recuperación. | Actualizar firmas, escaneo con segundo motor y, si persiste, limpiar puntos de restauración antiguos. |
Ruta file:\Device\HarddiskVolumeShadowCopy#\...\DellUpdate.msi | Copia de VSS; no ejecutable en uso. | Reiniciar → examen offline → eliminar instantáneas antiguas → crear una nueva limpia. |
| Otros escáneres no detectan nada | Indicador fuerte de falso positivo. | Tratar como FP y monitorear tras actualizar firmas. |
| Tras desinstalar Dell Update cesan las alertas | Alta correlación con componente legítimo. | Mantener desinstalado hasta corrección de firmas; reinstalar después si se necesita. |
Aparece AgentTesla!ml en la misma zona | Detección heurística ML. | Si segundo motor da limpio y ruta es de Dell, tratar como FP; repetir análisis offline. |
Comprobaciones adicionales para quedarse tranquilo
No deberían ser necesarias, pero si quieres ir un paso más allá:
- Verifica la firma digital de los binarios instalados de Dell:
Get-ChildItem "C:\Program Files\Dell\Update\.exe" -Recurse | Get-AuthenticodeSignature | Select Path, Status, SignerCertificateDebe aparecer Signed y un certificado de Dell Technologies o Dell Inc. - Comprueba tareas de arranque inusuales:
wmic startup get Caption, Command, LocationCualquier cosa fuera de lo habitual (especialmente en%AppData%oTemp) amerita revisión. - Revisa el Visor de eventos:
- Registro: Aplicaciones y servicios → Microsoft → Windows → Windows Defender → Operational
- IDs útiles: 1116 (detección), 1117/1118 (remediación), 5007 (cambios de configuración).
Guía paso a paso, con y sin interfaz
Con interfaz
- Abre Seguridad de Windows → actualiza firmas.
- Ejecuta Examen completo y, si quieres, Examen de Microsoft Defender sin conexión.
- Pasa un segundo escaneo con otra herramienta.
- Si sigue saltando en rutas de Dell, desinstala “Dell Update” y reinicia.
- Si quedan detecciones en VolumeShadowCopy, limpia puntos de restauración y crea uno nuevo.
- Envía el caso por Comentarios de Windows.
Con línea de comandos
REM 1) Actualizar firmas
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -SignatureUpdate
REM 2) Escaneo completo
Start-MpScan -ScanType FullScan
REM 3) Escaneo offline (reinicia y escanea fuera de línea)
Start-MpWDOScan
REM 4) Listar amenazas detectadas
Get-MpThreat
REM 5) Eliminar instantáneas (opcional; elimina todas)
vssadmin delete shadows /for=C: /allImpacto de desinstalar Dell Update y alternativas
¿Pierdo algo crítica al quitar Dell Update? No. Windows seguirá funcionando con normalidad. Los controladores ya instalados no se eliminan. Lo que pierdes es la automatización de actualizaciones de Dell. Alternativas:
- Usar Windows Update para controladores que Microsoft distribuya.
- Instalar manualmente utilidades de Dell cuando sea estrictamente necesario (después de que el falso positivo esté corregido).
Señales de alarma que sí exigirían tratarlo como amenaza real
Aunque los casos documentados apuntan a falso positivo, considera como red flags los siguientes escenarios (actúa con limpieza completa si se presentan):
- Detecciones en rutas de usuario (
%AppData%,%LocalAppData%,Temp) o en claves de persistencia (Run/RunOnce, tareas programadas desconocidas). - Múltiples motores detectan el mismo artefacto fuera de carpetas de Dell.
- Evidencias de actividad de red anómala (picos de tráfico en reposo, conexiones a dominios sospechosos) justo antes de las alertas.
- Bloqueos/alertas adicionales de Control de aplicaciones o SmartScreen al lanzar programas comunes.
Preguntas frecuentes
“¿Qué significa exactamente ‘Vigorf.A’?” Es un nombre genérico de familia que Microsoft usa para catalogar patrones de código que podrían ser maliciosos. No identifica un archivo único ni garantiza que esté infectado, por eso es relativamente común que aparezcan falsos positivos cuando las firmas son demasiado agresivas.
“¿Por qué aparece en VolumeShadowCopy?” Defender analiza también las instantáneas del sistema. Si un instalador (como DellUpdate.msi) estaba presente cuando se creó una copia de restauración, el motor puede “verlo” ahí y marcarlo aunque no esté en uso.
“¿Basta con borrar la cuarentena?” Sí, pero si el origen está en una instantánea, la alerta puede volver a aparecer en cada análisis hasta que elimines esos puntos antiguos o Microsoft corrija la firma.
“¿Y si necesito Dell Update?” Puedes desinstalar temporalmente y reinstalar cuando confirmes que las firmas ya no lo marcan. Mientras tanto, usa Windows Update.
Checklist final para cerrar el incidente
- Firmas de Defender actualizadas y verificación de versión.
- Segundo escaneo con herramienta independiente, sin hallazgos.
- Desinstalación de Dell Update si no es crítico.
- Reinicio + examen completo u offline.
- Limpieza de puntos de restauración antiguos si quedan detecciones en VSS.
- Reporte del falso positivo vía Feedback Hub.
- Monitoreo 24–48 horas sin nuevas alertas en rutas de Dell.
En una línea
Muy probablemente es un falso positivo en archivos de Dell; actualiza firmas de Defender, confirma con un segundo escáner, desinstala Dell Update si no lo usas, reinicia y vuelve a escanear; si queda atascado en VolumeShadowCopy, limpia puntos de restauración antiguos y reporta el caso en Feedback Hub.
Apéndice: cómo leer la alerta para saber si es de Dell
Cuando veas la notificación, abre Protección contra virus y amenazas → Historial de protección y toma nota de:
- Nombre de la detección (p. ej.,
Trojan:Win32/Vigorf.Ao...!ml). - Estado: en cuarentena, bloqueado, remediación incompleta.
- Ruta: busca
DellUpdate.msi,\Dell\Update\o\Dell\SARemediation\, o rutas conVolumeShadowCopy.
Si la ruta apunta a carpetas de Dell o a VSS, aplica el procedimiento de este artículo.
Apéndice: comandos útiles para soporte
:: Exportar estado de Defender (para soporte)
Get-MpComputerStatus | Out-File "$env:PUBLIC\Desktop\DefenderStatus.txt"
\:: Listar amenazas detectadas en la sesión
Get-MpThreat | Format-List \*
\:: Ver firmas y producto
Get-MpComputerStatus | Select AMProductVersion,AMEngineVersion,AntivirusSignatureVersion
\:: Forzar actualización desde la línea de comandos
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -SignatureUpdate
\:: Escaneo de una ruta concreta (si sospechas de un archivo que no sea de Dell)
Start-MpScan -ScanPath "C:\Ruta\A\Inspeccionar" Resumen ejecutivo para equipos de TI
- Contexto: Detecciones ML (
Vigorf.A,...!ml) enDellUpdate.msiySARemediation, con alta correlación a falsas alarmas. - Acción: Liberación de firmas suele resolver. Mientras tanto, no crear exclusiones globales; sí se permite eliminación temporal de Dell Update en endpoints afectados.
- Contención: Offline scan y limpieza de VSS si persisten entradas en shadow copies.
- Comunicación: Informar a usuarios que es un FP conocido, que su equipo está protegido y que no se requiere reinstalación de Windows.
Este artículo sintetiza prácticas de respuesta ante falsos positivos de Defender en entornos Dell y aporta un flujo de trabajo seguro y verificable. Si sigues los pasos en orden, podrás confirmar el diagnóstico y devolver el sistema a un estado limpio sin medidas desproporcionadas.