Ubicaciones de inicio automático del programa de Windows

Muchos programas que instala se ejecutan automáticamente cuando inicia su computadora y carga Windows. En la mayoría de los casos, este tipo de comportamiento está bien. Desafortunadamente, hay programas que no son legítimos, como software espía, secuestradores, troyanos, gusanos, virus, que también se cargan de esta manera. Por tanto, es importante que compruebe periódicamente sus claves de registro de inicio. Windows ofrece un programa que enumerará los programas que se inician automáticamente desde ALGUNAS de estas ubicaciones. Este programa, Msconfig.exe, desafortunadamente, solo enumera los programas de una cantidad limitada de claves de inicio.

A continuación se muestran las diversas listas de claves de registro que pueden iniciar un programa cuando se inicia Windows. He intentado mantener las claves en el orden exacto en que se cargan. Tenga en cuenta que algunas de las claves están configuradas para cargarse al mismo tiempo, por lo que es posible que el orden cambie en cada inicio. Estas claves generalmente se aplican a Windows 95, 98, ME, NT, XP, 2000, Windows Vista y Windows 7, y notaré cuando sea diferente.

Al encender la computadora, las siguientes ubicaciones de inicio automático se procesan en el siguiente orden:

Controladores de dispositivos de arranque de Windows : estos controladores se cargan primero, ya que son necesarios para el correcto funcionamiento del hardware, como los dispositivos de almacenamiento. Los controladores de dispositivos de arranque se ubicarán bajo la siguiente clave y tendrán un valor de Inicio igual a 0.

Claves de registro:

HKEY_LOCAL_MACHINE System CurrentControlSet Services

 

Windows ahora realizará varias tareas y luego iniciará el proceso de Winlogon. Winlogon finalmente inicia el administrador de control de servicios que carga los servicios y los controladores que están configurados para el inicio automático.

Servicios y controladores de inicio automático de Windows: el proceso del Administrador de control de servicios (SCM) ( Windows System32 services.exe) ahora iniciará todos los servicios o controladores que estén marcados con un valor de Inicio de 2.

Claves de registro:

HKEY_LOCAL_MACHINE System CurrentControlSet Services

 

RunServicesOnce: esta clave está diseñada para iniciar servicios cuando se inicia una computadora. Estas entradas también pueden continuar ejecutándose incluso después de iniciar sesión, pero deben completarse antes de que el registro HKEY_LOCAL_MACHINE … RunOnce pueda comenzar a cargar sus programas.

Claves de registro:

HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunServicesOnce

 

HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion RunServicesOnce

 

RunServices: esta clave también está diseñada para iniciar servicios. Estas entradas también pueden continuar ejecutándose incluso después de iniciar sesión, pero deben completarse antes de que el registro HKEY_LOCAL_MACHINE … RunOnce pueda comenzar a cargar sus programas.

Claves de registro:

HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunServices

 

HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion RunServices

 

El indicador de inicio de sesión de Windows se muestra en la pantalla. Después de que un usuario inicia sesión, el resto de las claves continúan.

Notificar: esta tecla se usa para agregar un programa que se ejecutará cuando ocurra un evento en particular. Los eventos incluyen inicio de sesión, cierre de sesión, inicio, apagado, inicia el protector de pantalla y detiene el protector de pantalla. Cuando Winlogon.exe genera un evento como los enumerados, Windows buscará en la clave de registro Notify una DLL que manejará este evento. Se sabe que el malware utiliza este método para cargarse cuando un usuario inicia sesión en su computadora. La carga de esta manera permite que el programa de malware se cargue de tal manera que no sea fácil detenerlo.

Clave de registro:

HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion Winlogon Notify

 

UserInit Key: esta clave especifica qué programa debe iniciarse justo después de que un usuario inicie sesión en Windows. El programa predeterminado para esta clave es C: windows system32 userinit.exe. Userinit.exe es un programa que restaura su perfil, fuentes, colores, etc. para su nombre de usuario. Es posible agregar más programas que se iniciarán desde esta clave separando los programas con una coma. Por ejemplo:

HKLM Software Microsoft Windows NT CurrentVersion Winlogon Userinit = C: windows system32 userinit.exe, c: windows badprogram.exe.

Esto hará que ambos programas se inicien cuando inicie sesión y es un lugar común para que se inicien troyanos, secuestradores y software espía.

Clave de registro:

HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Winlogon Userinit

 

Valor de Shell : este valor contiene una lista de valores separados por comas que Userinit.exe ejecutará. El shell predeterminado para Windows es explorer.exe , aunque se han realizado reemplazos legítimos. Cuando userinit.exe inicia el shell, primero lanzará el valor del Shell que se encuentra en HKEY_CURRENT_USER. Si este valor no está presente, lanzará el valor encontrado en HKEY_LOCAL_MACHINE.

Clave de registro:

HKEY_CURRENT_USER Software Microsoft Windows NT CurrentVersion Winlogon \ Shell

 

HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Winlogon \ Shell

 

El resto de las ubicaciones de inicio automático ahora se procesarán.

Clave de máquina local RunOnce – Estas claves están diseñadas para ser utilizadas principalmente por programas de instalación. Las entradas en estas claves se inician una vez y luego se eliminan de la clave. Si hay un signo de exclamación antes del valor de la clave, la entrada no se eliminará hasta que se complete el programa; de lo contrario, se eliminará antes de que se ejecute el programa. Esto es importante, porque si no se usa el signo de exclamación y el programa al que se hace referencia en esta clave no se completa, no se ejecutará nuevamente porque ya se habrá eliminado. Todas las entradas de esta clave se inician sincrónicamente en un orden indefinido. Debido a esto, todos los programas en esta clave deben finalizar antes de que se carguen las entradas en HKEY_LOCAL_MACHINE … Run, HKEY_CURRENT_USER … Run, HKEY_CURRENT_USER … RunOnce y las carpetas de inicio. Las claves RunOnce se ignoran en Windows 2000 y Windows XP en modo seguro.

Claves de registro:

HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunOnce

 

HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunOnceEx

 

Ejecutar: estas son las ubicaciones de inicio más comunes para que los programas instalen el inicio automático. De forma predeterminada, estas claves no se ejecutan en modo seguro. Si antepone el valor de estas claves con un asterisco, *, se ejecutará en Modo seguro.

Claves de registro:

HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run

 

HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run

 

Carpeta de inicio para todos los usuarios: para Windows XP, 2000 y NT, esta carpeta se utiliza para los programas que deben iniciarse automáticamente para todos los usuarios que iniciarán sesión en esta computadora. Generalmente se encuentra en:

Windows XP

C: Documentos y configuración Todos los usuarios Menú Inicio Programas Inicio

Windows NT

C: wont Profiles Todos los usuarios Menú Inicio Programas Inicio

Windows 2000

C: Documentos y configuración Todos los usuarios Menú Inicio Programas Inicio

 

Carpeta de inicio de perfil de usuario: esta carpeta se ejecutará para el usuario en particular que inicie sesión. Esta carpeta generalmente se encuentra en:

Gana 9X, YO

c: windows menú de inicio programas inicio

Windows XP

C: Documents and Settings Nombre de inicio de sesión Menú Inicio Programas Inicio

 

RunOnce Current User Key: estas teclas están diseñadas para ser utilizadas principalmente por programas de instalación. Las entradas en estas claves se inician una vez y luego se eliminan de la clave. Si hay un signo de exclamación antes del valor de la clave, la entrada no se eliminará hasta que se complete el programa; de lo contrario, se eliminará antes de que se ejecute el programa. Esto es importante, porque si no se usa el signo de exclamación y el programa al que se hace referencia en esta clave no se completa, no se ejecutará nuevamente porque ya se habrá eliminado. Las claves RunOnce se ignoran en Windows 2000 y Windows XP en modo seguro. Las claves RunOnce no son compatibles con Windows NT 3.51.

Clave de registro:

HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion RunOnce

 

Explorer Run: estas claves se utilizan generalmente para cargar programas como parte de una política establecida en la computadora o el usuario.

Claves de registro:

HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Policies Explorer Run

 

HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies Explorer Run

 

Cargar clave: esta clave ya no se usa comúnmente, pero se puede usar para iniciar programas automáticamente.

Clave de registro:

HKEY_CURRENT_USER Software Microsoft Windows NT CurrentVersion Windows load

 

AppInit_DLLs : este valor corresponde a los archivos que se cargan a través del valor de registro AppInit_DLLs. El valor de registro AppInit_DLLs contiene una lista de dlls que se cargarán cuando se cargue user32.dll. Como la mayoría de los ejecutables de Windows usan user32.dll, eso significa que también se cargará cualquier DLL que aparezca en la clave de registro AppInit_DLLs. Esto hace que sea muy difícil eliminar la DLL, ya que se cargará en varios procesos, algunos de los cuales no se pueden detener sin causar inestabilidad en el sistema. El archivo user32.dll también lo utilizan los procesos que el sistema inicia automáticamente al iniciar la sesión. Esto significa que los archivos cargados en el valor AppInit_DLLs se cargarán muy temprano en la rutina de inicio de Windows, lo que permitirá que la DLL se oculte o se proteja antes de que tengamos acceso al sistema.

Clave de registro:

HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Windows

 

ShellServiceObjectDelayLoad : este valor de registro contiene valores de forma similar a como lo hace la tecla Ejecutar. La diferencia es que en lugar de apuntar al archivo en sí, apunta al InProcServer del CLSID, que contiene la información sobre el archivo DLL en particular que se está utilizando.

Explorer.exe carga automáticamente los archivos de esta clave cuando se inicia la computadora. Debido a que Explorer.exe es el shell de su computadora, siempre se iniciará, por lo que siempre cargará los archivos con esta clave. Por lo tanto, estos archivos se cargan al principio del proceso de inicio antes de que se produzca cualquier intervención humana.

Clave de registro:

HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion ShellServiceObjectDelayLoad

 

SharedTaskScheduler: esta sección corresponde a los archivos que se cargan a través del valor de registro SharedTaskScheduler para máquinas XP, NT, 2000. Las entradas en este valor de registro se ejecutan automáticamente cuando inicia Windows.

Clave de registro:

HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Explorer SharedTaskScheduler

 

Los siguientes son archivos desde los que los programas pueden iniciarse automáticamente al arrancar:

1. c: autoexec.bat
2. c: config.sys
3. windir wininit.ini: generalmente lo utilizan los programas de instalación para que un archivo se ejecute una vez y luego se elimine.
4. windir winstart.bat
5. windir win.ini – [windows] “cargar”
6. windir win.ini – [windows] “ejecutar”
7. windir system.ini – [arranque] “shell”
8 . windir system.ini – [arranque] “scrnsave.exe”
9. windir dosstart.bat – Se utiliza en Win95 o 98 cuando selecciona “Reiniciar en modo MS-DOS” en el menú de apagado.
10. windir system autoexec.nt
11. windir system config.nt

Aunque es bueno conocer estos detalles, si solo necesita un programa para escanear rápidamente estas claves y producir una lista para usted, puede usar el programa Autoruns de Sysinternals . Mientras se encuentra en ese sitio, debe explorar algunas de las otras excelentes utilidades.


Lawrence Abrams
Guía Total Microsoft Concepts Series GuíaTotal.es: Soporte informático y tutoriales para usuarios principiantes.

Deja un comentario