En el mes pasado de diciembre, escribí un post donde detallé un poco cómo podríamos identificar cambios en el Registro de Windows al aplicar directivas de grupo haciendo uso de Process Monitor; hoy, siguiendo ese camino, quiero documentar otro caso práctico útil, pero esta vez usando la herramienta de Autoruns, también de Windows Sysinternals.
Introducción a Autoruns
Autoruns, otra de las grandes herramientas de Sysinternals, nos permite administrar todo lo que en verdad está iniciando de forma automática con Windows; esto incluye las aplicaciones que arrancan asociadas al usuario, controladores, servicios, tareas programadas, extensiones del Explorador de archivos, entre varias otras.
Así se vería Autoruns después de iniciado:
Básicamente, Autoruns se compone de una barra de menús, una de comandos para tareas comunes como la de búsqueda o la de actualización, unas pestañas que indican los tipos de inicio que puede detectar y finalmente un cuadro central donde muestra todo el contenido agrupado en varias columnas para describir adecuadamente cada entrada.
Ahora, ¿Por qué no utilizar MSCONFIG (Windows 7), o el Administrador de Tareas (Windows 8 y posteriores)? Pues bien, haciendo una comparación con el Administrador de Tareas, esto es lo que se vería en mi equipo por ejemplo:
Según Windows, en mi usuario sólo están iniciando cuatro aplicaciones, todas habilitadas.
Si utilizo Autoruns y me voy a la pestaña de Logon, que corresponde al inicio de cada usuario, podré ver lo que realmente está iniciando:
Como ven, no solo tengo más entradas, sino el detalle de cada una, así que puedo ver fácilmente la ubicación que tiene en el Registro de Windows, el editor, la ruta física y el tiempo que se está tardando en iniciar cada entrada. Por supuesto, puedo saber si está o no habilitada mirando el cuadro de selección que está a la izquierda.
Personalmente, encuentro Autoruns muy importante para tres cosas:
1. Acelerar el arranque de Windows: Al desactivar o eliminar las entradas identificadas (ver la siguiente parte del post), enfatizando en la pestaña de Logon, podremos mejorar notablemente el tiempo en que tarda el sistema operativo para estar funcional en nuestro usuario.
2. Identificar y quitar Malware: Gracias a que Autoruns tiene la capacidad de identificar muchísimas rutas donde una aplicación, archivo o script puede ubicarse para iniciar con Windows, podremos fácilmente llegar a reconocer software malicioso que esté actuando en nuestro equipo; además, Autoruns incluye una característica de verificación para saber si las firmas digitales son legítimas, tal cual lo hace Process Explorer.
3. Solucionar problemas críticos de Windows al iniciar: Como lo he mostrado en otros artículos, como el del constante pantallazo azul causado por un bug en el controlador de Windows, Autoruns se puede ejecutar desde un Entorno de Preinstalación (Windows PE) y evitar que los controladores, programas o archivos inicien en el sistema, sin tener que entrar a Windows.
Identificando y desactivando/eliminando entradas
Primero que todo, existen tres colores que predominan en las entradas que muestra Autoruns:
1. Color blanco: Corresponden a entradas que existen en el sistema, que pueden estar ejecutándose al inicio (depende si están habilitadas) y que además tienen una firma digital verificada. Por ejemplo:
2. Color rosa: Estas entradas muestran programas, controladores, scripts o cualquier otra cosa que Autoruns identifica, que existe en Windows, puede estar habilitada o no, pero que la firma digital no se puede comprobar. Ejemplo:
3. Color amarillo: Toda entrada que esté en amarillo, quiere decir que está habilitada para iniciar en cada arranque de Windows, pero que el sistema operativo no encuentra su ubicación física; estas son los tipos de entradas que causan mensajes extraños que aparecen al iniciar sesión. Ejemplo:
En mi experiencia usando Autoruns, cuando estoy buscando respuestas utilizándolo, las entradas amarillas son las que primero presto atención. Por ejemplo, los mensajes extraños que aparecen, muchas veces causados por Crapware o Malware.
Finalmente, podemos desactivar o eliminar completamente el arranque de alguna aplicación con Windows desde Autoruns:
Para desactivar, simplemente entramos a Autoruns, vamos a la pestaña en la que identifiquemos la entrada, por ejemplo la de Logon y limpiar el cuadro de selección a la izquierda; debe quedar vacío:
Por el otro lado, si lo que deseamos es eliminar la entrada por completo, basta con hacer clic derecho sobre la entrada y seleccionar Delete:
Opcionalmente, se puede seleccionar la entrada y presionar Ctrl+D y luego aceptar el mensaje que aparece:
Las dos pestañas que más nos sirven para solucionar problemas en el arranque, sobre todo con mensajes raros o software malicioso, son las pestañas de Logon y de Scheduled Tasks.
Como la mayoría de las veces los problemas lo causan aplicaciones de terceros, es buena idea esconder todas las entradas correspondientes a Microsoft y a Windows; para esto, vamos al menú Options y luego Filter Options…
Seleccionamos: Hide Microsoft entries y Hide Windows entries y hacemos clic en Rescan para que Autoruns actualice:
De esta forma, sólo veremos entradas que correspondan a terceros y seguramente será mucho más fácil identificar las entradas con el problema.
Esto es solo una pequeñísima parte de lo que es Autoruns, incluso tiene un capítulo entero en su libro oficial; pero, sin duda alguna estas tareas básicas resultan muy productivas.
Espero sea de utilidad y les deseo a todos un feliz año.
Saludos.
Checho
El caso que pasaré a describir, ha sido uno de los más duros que he logrado resolver, y me gustaría compartirlo