¿Te aparece la alerta “Multtkey.sys removed by Windows Security” y no sabes si ignorarla, permitirla o eliminarla? En esta guía completa te explico qué es ese archivo, si puede ser peligroso, cómo quitar la notificación y qué hacer si otra persona lo “permitió” en tu equipo.

¿Qué es Multtkey.sys y por qué aparece la alerta de Seguridad de Windows?

Multtkey.sys es un controlador de modo kernel asociado con Virtual USB MultiKey64 (autoría atribuida a “Chingachguk & Denger2k”). Su propósito típico es emular llaves o dongles USB que ciertos programas o juegos antiguos requerían para validar licencias. No forma parte de Windows ni de sus controladores estándar.

Por su naturaleza —emulación de hardware para saltarse protecciones—, muchos antivirus, incluido Microsoft Defender, lo clasifican como herramienta potencialmente no deseada o hacktool. Eso no implica automáticamente que sea un virus, pero sí que puede usarse de forma riesgosa o no autorizada. De ahí proviene la notificación “removed by Windows Security”.

Decidir permitirlo o eliminarlo

Usa esta matriz de decisión para actuar con rapidez y criterio:

Situación	Indicadores	Acción recomendada	Riesgo residual
No sabes qué es ni lo instalaste	Nombre desconocido, apareció sin contexto	Eliminar y mantener en cuarentena	Bajo tras limpiar
Lo necesitas para software antiguo	Sabes qué programa lo usa y su procedencia	Permitir solo si confías en su origen; preferible aislar en VM	Medio, por ejecución en kernel
La alerta se repite	Reaparece tras reiniciar o al abrir un programa	Desinstalar software relacionado, limpiar restos y revisar tareas/programas de inicio	Bajo si se elimina el origen

Resumen rápido de preguntas y respuestas

• Qué es: controlador kernel de Virtual USB MultiKey64 usado para emular dongles USB. No pertenece a Windows.
• ¿Deberías permitirlo? Si no sabes exactamente para qué sirve: no. Si lo necesitas para licencias de software antiguo y confías en su origen: podrías permitirlo con cautela, idealmente dentro de una máquina virtual.
• ¿Puede ser un virus? No necesariamente, pero es una hacktool. Cualquier archivo con ese nombre podría ser un malware disfrazado. Verifica ruta y firma.
• Cómo quitar la notificación: elimina o desinstala el controlador y su software, limpia restos y descarta el evento en el Historial de protección.
• Si alguien lo “permite” en tu portátil: las exclusiones requieren permisos de administrador. Revierte exclusiones, vuelve a bloquearlo y realiza un examen sin conexión.

Eliminarlo si no lo usas

Este camino es el recomendado para la mayoría de usuarios. Te llevará desde la consulta en Defender hasta la limpieza completa del controlador y sus restos.

Confirmar el estado en Microsoft Defender

1. Abre Seguridad de Windows → Protección contra virus y amenazas → Historial de protección.
2. Localiza el evento de multtkey.sys y comprueba que esté en Cuarentena o Eliminado. Si aún aparece como Bloqueado, continúa con los pasos siguientes.

Desinstalar el software relacionado

1. Ve a Configuración → Aplicaciones → Aplicaciones instaladas.
2. Busca entradas como Virtual USB MultiKey, MultiKey64 o emuladores similares y desinstala.
3. Reinicia el equipo.

Quitar restos del controlador

Además de la desinstalación, conviene eliminar controladores y servicios asociados. Hazlo con cuentas con permisos de administrador.

1. Abre Administrador de dispositivos. En el menú Ver, elige Mostrar dispositivos ocultos.
2. Expande Dispositivos de sistema o Controladores de software. Si ves entradas con nombre MultiKey, haz clic derecho → Desinstalar dispositivo. Marca “Eliminar el software de controlador para este dispositivo” si aparece.

Acciones avanzadas con PowerShell y utilidades integradas:

# Ejecuta PowerShell como Administrador

Identificar paquetes de controladores instalados que contengan "multtkey"

pnputil /enum-drivers | findstr /i multtkey

Si aparece un paquete (por ejemplo, oem42.inf), elimínalo con:

pnputil /delete-driver oem42.inf /uninstall /force

Localizar y eliminar un servicio de tipo "driver" relacionado

sc query type= driver | findstr /i multtkey
sc stop multtkey
sc delete multtkey 

Si el archivo persiste en disco, comprueba su ubicación y elimina manualmente (con cuidado) cualquier archivo coincidente:

• Los controladores legítimos suelen residir en C:\Windows\System32\drivers\. Si aparece en otra ruta extraña (por ejemplo, dentro de descargas temporales), es un indicador de riesgo.
• Vacía la Papelera de reciclaje después de eliminar archivos.

Ejecutar exámenes con Defender

1. En Seguridad de Windows, realiza un Examen completo.
2. Opcionalmente, ejecuta un Examen sin conexión para detectar amenazas resistentes.

Quitar la notificación

Tras eliminar y desinstalar, realiza un Examen rápido o reinicia. Luego ve a Historial de protección y, si la entrada de multtkey.sys sigue visible, ábrela y usa Descartar o Quitar de la lista. En los siguientes análisis ya no debería aparecer.

Mantenerlo solo si realmente lo necesitas

Si dependes de programas muy antiguos con llaves USB ya no disponibles, y confías plenamente en el origen del controlador, puedes permitirlo tomando precauciones.

1. Crea un punto de restauración y realiza una copia de seguridad.
2. Verifica que Tamper Protection esté activada para evitar cambios no deseados en Defender.
3. Abre Seguridad de Windows → Historial de protección, selecciona el evento y elige Permitir en el dispositivo (te pedirá permisos de administrador).
4. Considera ejecutarlo dentro de una máquina virtual para aislarlo del sistema principal y reducir superficie de ataque.

Ten en cuenta que seguirás asumiendo riesgo: cualquier controlador de terceros que opere en modo kernel tiene privilegios altos. Mantén el uso limitado y controlado.

Si otra persona lo permitió en tu portátil

Permitir amenazas o crear exclusiones en Defender requiere rol de administrador. Evita prestar tu cuenta administrativa. Para revertir cambios:

1. En Seguridad de Windows → Protección contra virus y amenazas → Administrar configuración → Exclusiones, elimina cualquier exclusión relacionada con multtkey.sys o su carpeta.
2. En Historial de protección, abre el evento marcado como Permitido y selecciona Quitar de permitidos o vuelve a No permitir.
3. Ejecuta un Examen sin conexión de Defender.
4. Revisa las cuentas del sistema: crea una cuenta estándar para invitados y utiliza esa al prestar el equipo.

Cómo verificar el archivo y su origen

Antes de decidir, puedes inspeccionar el archivo:

• Ubicación esperada de controladores: C:\Windows\System32\drivers\.
• Haz clic derecho en el archivo → Propiedades → pestaña Firmas digitales para comprobar si está firmado y por quién. La ausencia de firma o una firma inválida aumenta el riesgo.

Síntoma	Interpretación	Acción
Archivo en carpeta del sistema con firma válida	Menor probabilidad de suplantación	Aún así, revisar necesidad real y origen
Archivo fuera de System32\drivers o sin firma	Alto riesgo de ser malware o copia no confiable	Eliminar, analizar y vigilar persistencia

Comandos útiles con PowerShell y herramientas del sistema

Estos comandos te ayudan a diagnosticar, limpiar y confirmar el estado de tu equipo. Úsalos en PowerShell o Símbolo del sistema con privilegios de administrador.

Comando	Propósito	Ejemplo
pnputil	Enumerar y eliminar paquetes de controladores	pnputil /enum-drivers | findstr /i multtkey
sc	Detener y borrar servicios de tipo driver	sc stop multtkey y sc delete multtkey
Get-MpThreat	Listar amenazas detectadas por Defender	Get-MpThreat | Format-Table
Start-MpScan	Ejecutar análisis bajo demanda	Start-MpScan -ScanType FullScan
Remove-MpThreat	Eliminar amenazas en cuarentena	Remove-MpThreat

Motivos por los que la alerta vuelve a aparecer

• Servicio o tarea programada reinstala el controlador en cada inicio.
• Programa dependiente intenta cargar el controlador al arrancar.
• Exclusión mal configurada que deja pasar el archivo, pero otro componente relacionado vuelve a activarlo.
• Restos en DriverStore: el paquete INF persiste y lo reinyecta.

Solución: elimina el software que lo reinstala, borra tareas de inicio y limpia el paquete de controlador con pnputil.

Buenas prácticas de seguridad y prevención

• Mantén Windows actualizado y UAC en nivel alto.
• Activa y conserva Tamper Protection.
• Evita instalar cracks o emuladores de procedencia dudosa.
• Separa entornos: usa máquinas virtuales para software antiguo.
• Trabaja en una cuenta estándar y usa la cuenta de administrador solo cuando sea necesario.

Guía paso a paso condensada

1. Verifica en Historial de protección que la amenaza esté en Cuarentena o Eliminada.
2. Desinstala Virtual USB MultiKey o similares desde Aplicaciones.
3. Reinicia y borra dispositivos ocultos MultiKey en Administrador de dispositivos.
4. Elimina paquetes INF con pnputil y servicios con sc.
5. Pasa un Examen completo y opcionalmente un Examen sin conexión.
6. Descarta la alerta en Historial de protección si persiste tras limpiar.

Preguntas frecuentes

¿Es un virus?
Habitualmente se clasifica como hacktool. Puede no ser malware, pero su funcionalidad es sensible y puede ser usada con fines ilícitos. Si desconoces su origen, trátalo como no deseado y elimínalo.

¿Puedo dañar el sistema al eliminarlo?
Eliminarlo puede impedir que funcione el software que dependía de la emulación de dongle. En lo demás, Windows no lo necesita.

¿Basta con ignorar la notificación?
No. Ignorarla no remedia el riesgo ni evita la reinstalación por parte de programas dependientes.

¿Por qué Defender lo detecta si no es un virus?
Porque su comportamiento entra en categorías de tooling que eluden protecciones o modifican el sistema a bajo nivel, lo cual es indeseable en la mayoría de contextos.

Checklist de verificación final

• El software asociado está desinstalado.
• No hay dispositivos ocultos MultiKey en el Administrador de dispositivos.
• El paquete INF correspondiente fue eliminado con pnputil.
• No quedan servicios de driver activos (sc query no lo lista).
• El Historial de protección no muestra nuevas detecciones tras reiniciar y analizar.

Conclusión

Multtkey.sys es un controlador de emulación de dongles que no forma parte de Windows. Si no eres tú quien lo instaló, elimínalo y limpia restos. Si lo necesitas para un caso muy concreto, permítelo con cautela y, mejor aún, dentro de una máquina virtual. Mantén el equipo con buenas prácticas de seguridad, y si otra persona lo permitió, revierte exclusiones y ejecuta un análisis sin conexión.

Pasos detallados de referencia

Para quienes quieran el guion completo con comandos y rutas clave:

1. Defender: revisar Historial de protección, estado de la amenaza, descartar eventos antiguos tras limpiar.
2. Aplicaciones: desinstalar Virtual USB MultiKey o similares.
3. Drivers:
   • Administrador de dispositivos → Mostrar dispositivos ocultos → eliminar MultiKey.
   • pnputil /enum-drivers | findstr /i multtkey → pnputil /delete-driver oemXX.inf /uninstall /force.
4. Servicios: sc stop multtkey → sc delete multtkey.
5. Escaneos: Start-MpScan -ScanType FullScan; considerar examen sin conexión.
6. Notificación: ejecutar un examen rápido o reiniciar; descartar el evento si sigue visible.

Notas y consideraciones finales

• La presencia de multtkey.sys suele indicar que alguien instaló un emulador para un software con protección de dongle. Evalúa si eso encaja con el uso esperado de tu equipo.
• En entornos empresariales, considera políticas que impidan la instalación de hacktools y revisa alertas en tus consolas de seguridad si aplican.
• Ten un plan de reversión (puntos de restauración y copias de seguridad) antes de tocar drivers y servicios en modo kernel.

---

Recordatorio práctico

• Si no sabes para qué sirve: no lo permitas, elimínalo y analiza el equipo.
• Si lo necesitas y confías en su origen: permítelo solo lo imprescindible, idealmente en una VM.
• Si un tercero lo permitió: revierte exclusiones y ejecuta un examen sin conexión.