La ventana fantasma de “Explorer.exe” al iniciar sesión en Windows 8, Autoruns y su solución

scan_win_network

Este es de los artículos que nacen de un momento a otro, pues en realidad llevaba algunos días documentándome acerca de otra función de la API de Windows para exponerla aquí, pero hoy, justo antes de un evento en el que iba a participar como speaker en Windows 8, un compañero me expuso el problema que estaba experimentando con su equipo y al verlo, supe que no podía dejar pasar la oportunidad para intentar solucionarlo y documentar para dejar huella en mi blog, pues me pareció de lo más interesante y resultó ser la segunda vez que lo veía, así que probablemente hayan bastantes personas con este problema por estos días.

El problema

El inconveniente se presentaba cada vez que iniciaba por primera vez sesión en Windows 8, pues aparecía una ventana bastante molesta con el título de “Explorer.exe”, sin ningún texto y hasta que no se le presionaba tres veces el botón de Aceptar, la ventana no desaparecía:

E1

Naturalmente, nada en Windows que presente un comportamiento tan extraño, y que ni siquiera tenga un simple texto es normal. Como estaba iniciando con Windows, procedí a buscar en el nuevo Administrador de tareas, pestaña de Inicio (Que como probablemente saben, remplazó la funcionalidad que se encontraba en la herramienta de MSCONFIG), para ver si podía encontrar la procedencia o por lo menos el proceso al que correspondía este mensaje, pero lamentablemente el Administrador de tareas me mostraba todo lo que estaba iniciando con Windows, menos lo que ocasionaba el mensaje:

E2

Como no pude ver nada con el Administrador de tareas, supuse que lo que sea que fuera, estaba iniciando desde una ruta que para Windows puede no ser normal que se inicien procesos, pero antes de entrar en eso, ejecuté Process Explorer para ver cuál era el nombre real del proceso que sacaba la ventana, pues utilizando la función de encontrar proceso arrastrando el icono de la lupa al mensaje, para mi sorpresa encontré que estaba ligado al verdadero Explorer.exe de Windows:

E3

La firma digital estaba correcta, y no pude ver ningún tipo de handle extraño hasta ese momento. Ahí fue donde me preocupé un poco…

La causa

Para poder saber cómo estaba iniciando el mensaje, y quizá la razón del por qué, debía saber el directorio exacto de ejecuión, y no había mejor herramienta que Autoruns de Sysinternals.

Vale recordar que la característica principal de Autoruns, es encontrar absolutamente todo lo que se está cargando con Windows, esto incluye controladores, extensiones del Explorador de Archivos, Tareas programadas, entre muchas otras; casi nada (Por no decir nada) se le escapa a Autoruns, y es posible hacer filtros de muchas formas, pues distribuye diferentes pestañas e incluye funcionalidades adicionales para hacer esto mismo desde un entorno de Windows PE/RE por ejemplo.

Lo que hice fue ir a la pestaña de Logon, que pertenece a lo que está iniciando directamente con el usuario, y para mi fortuna, ahora sí encontré algo interesante:

E4

El color amarillo indicaba que Autoruns no podía encontrar el archivo, pero lo que me llamó la atención fue el nombre bastante extraño de su ejecutable (ccyrcoi.com) y además que aunque se refierenciara todo a un directorio completo, es decir a C:UsersJUAN CAMILO ORTIZLocal SettingsTemp, lo estaba dividiendo de una forma muy extraña, y que probablemente estaba ocasionando la confusión de Autoruns. Por otro lado, no es muy común que algo se esté ejecutando en la clave de Registro:
HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindowsLoad.

Para terminar de asegurarme, utilicé la función de Jumpt To en Autoruns, haciendo clic derecho sobre la clave para que me abriera directamente el Registro de Windows y ahí pude ver algo un poco más preciso:

E8

Como ven, el valor de Load tenía como contenido toda la ruta y el archivo extraño correctamente. Lo que hice fue navegar manualmente desde el Explorador de archivos y en primera instancia, me sorprendí porque no aparecía nada, incluso con los archivos ocultos habilitados para su vista:

E5

Por supuesto, Windows predeterminadamente también oculta los archivos protegidos por el sistema, es decir, extensiones que son familiares para él, así que deshabilité esto desde las Opciones de Carpeta y por fin encontré lo que probablemente estaba ocasionando el problema:

E6

Por su descripción, era un tipo de archivos por lotes, y una aplicación DOS las que estaba iniciando con el equipo. Para mi mala suerte, editarlas no servía de nada, pues tenía caracteres supremanete extraños.

La solución

Para los que experimenten este problema, la solución fue y será bastante sencilla:

Primero ejecutar Autoruns para determinar la ubicación y nombre exacto del archivo que está iniciando, y desde ahí deshabilitar el arranque desmarcando las casillas de la izquierda, después navegar manualmente hasta la ruta, que para este malware siempre será dentro de la carpeta Usuarios (Users), Configuraciones Locales (Local Settings), carpeta Temporal (Temp) y eliminar el o los archivos que allí se encuentren manualmente; por último, navegar hasta la clave de registro:
HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindowsLoad.

Una vez se encuentre el valor, hacer clic derecho y seleccionar Eliminar.

Después de en mi caso seguir las indicaciones anteriores, bastó con reiniciar para probar y en efecto, el mensaje desapareció completamente, al igual que el malware.

*Nota: Es probablemente que en algunos casos el valor de registro no se deje eliminar, así que para estos casos, es suficiente con eliminar los dos archivos, desmarcarlos desde Autoruns y reiniciar para que Windows no referencie más el directorio y deje de salir el mensaje de error.

Espero les sea de utilidad, no olviden para los que utilizan Twitter, me pueden seguir ya que y comentar, sea por ahí o aquí mismo.

Checho

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *