Máximo control de inicio

Si bien las aplicaciones de control de inicio son muchas, ninguna es -incluso según Microsoft- más eficiente en entornos Windows que Autoruns. Veremos en este artículo cómo utilizarlo, cómo sacarle el máximo provecho y cómo incluso aprovecharlo para eliminar amenazas.

Las herramientas de control de inicio fueron furor a fines de la década del ´90, cuando la impericia de Windows 98 nos exigía cuidar al máximo el control de arranque del sistema. Algunos exponentes del género, como HiJackThis!, hicieron las delicias de los powerusers y pasaron a la historia de los anti malware como joyas de la eliminación de amenazas del arranque.

La evolución de los sistemas operativos y una disponibilidad de hardware cada vez más alta hicieron que desde Windows Vista estas herramientas ya no fueran imprescindibles, incluso cuando siguen siendo excelentes para mejorar el tiempo de arranque de cualquier computadora. Microsoft Sysinternals Autoruns es un caso destacable porque no solo resulta fácil de usar para quienes no vivieron la época de Windows-amigos-de-FAT, sino porque además resuelve algunas necesidades típicas de las mentes oxidadas, como por ejemplo el ocultamiento automático de los servicios y herramientas de inicio vitales y certificados por Microsoft.

Microsoft Autoruns es el hermano mayor de MSConfig.exe.
Microsoft Autoruns es el hermano mayor de MSConfig.exe.
Instalación simple
Autoruns ni siquiera requiere instalación. Para ejecutarlo descomprimiremos el contenedor ZIP que se descarga del sitio y podremos hacer un doble clic sobre el ejecutable. Por lo tanto, el mismo archivo sirve como versión portable, ya que podremos copiarlo a una unidad extraíble y arrancarlo desde allí siempre que el equipo destino sea compatible (Autoruns requiere Windows 2000 o XP y superiores).

[margin_25t]

Un vistazo

La pantalla principal de Autoruns puede parecer, a primera vista, abrumadora. Está organizada por pestañas, y tiene una cantidad ciertamente llamativa que ocupa tres líneas de texto. La barra de herramientas es pequeña pero críptica, y el área de trabajo da una serie de pistas llamativas que cuesta poner en relación con la data disponible en la barra de estado.

Todo cobra sentido cuando logramos entender la lógica de la distribución de la información. La barra de herramientas incluye poquísimos botones que sirven, en la práctica, para guardar y compartir un reporte del inicio del equipo y para administrar la disponibilidad de las entradas. Las pestañas, por su parte, organizan la información de autorranque en muchísimas categorías, lo cual nos permitirá encontrar y administrar con facilidad todas las entradas. La información de estas últimas, por cierto, aparece siempre que seleccionemos una en el área de trabajo, que ocupa el tercio inferior de la pantalla. Sobre el final encontraremos la barra de estado, que indica con la leyenda Ready cuando el análisis de inicio terminó y -si la opción está activada- que las entradas oficiales del sistema han sido ocultadas (con Windows Entries Hidden). Activaremos esta opción en Options -> Filter Options, con la casilla de verificación Hide Windows Entries.

Un último detalle: en el caso de que ejecutemos Autoruns como administradores -si no lo hicimos desde el explorador de Windows podemos hacerlo desde File -> Run as administrator– podremos hacer doble clic sobre una entrada y verla en su contexto en el Editor del registro del sistema.

Guía visual: Microsoft Sysinternals Autoruns


1. Barra de menús.
2. Barra de herramientas simple.
3. Pestañas con cada una de las categorías de inicio.
4. Lista de procesos y aplicaciones de inicio para la categoría seleccionada.
5. Información detallada (nombre, información del editor, ubicación, peso, fecha y versión) del proceso o aplicación seleccionado.
6. Estado del análisis de inicio.
7. Indicador de activación del filtro de entradas oficiales activado.

La suite
Sysinternals es una división de Microsoft dedicada específicamente a la creación de utilidades que resuelvan problemas conocidos de Windows o que ofrezcan capacidad de administración de tareas de IT que no fueron contempladas en las versiones de calle del sistema operativo. Varias de las aplicaciones de Sysinternals a largo plazo se incluyen en Windows: tal es el caso del comando whois para la consola y el administrador de escritorios de Windows 10, que existe como Microsoft Desktops en Sysinternals desde 2008.
En http://technet.microsoft.com/en-us/sysinternals/bb842062 encontraremos una suite con el paquete completo de herramientas orientadas a la detección y solución de errores. El contenedor pesa apenas 13MB -la liviandad es una de las características más simpáticas de los productos de Sysinternals- y su descarga vale realmente la pena.

[margin_25t]

Eliminar entradas

Una vez que iniciamos Autoruns debemos esperar que el análisis de inicio termine. Una vez terminado, veremos la lista completa de aplicaciones de inicio en la pestaña Everything, y un desglose clasificado de entradas en las demás. Por caso, en Sidebar gadgets solo aparecerán las entradas asociadas a gadgets que corran flotantes sobre el escritorio, o en la barra Sidebar en las versiones de Windows que cuenten con ella. Hay incluso una solapa Codecs con las entradas de inicio de todos los codecs instalados en el sistema.

Tan pronto como hayamos decidido eliminar una entrada podremos desmarcar la casilla de verificación del extremo izquierdo de la entrada para que se desactive. Es una buena idea probar si el sistema funciona bien luego de un reinicio, caso en el cual podremos eliminar directamente la entrada seleccionándola y presionando el botón Delete (Ctrl + D) de la barra de herramientas.

Análisis de sistemas offline
En el caso de que estemos ejecutando Autoruns en un servidor, podremos analizar el inicio de máquinas virtualizadas que no estén en ejecución. Para el análisis, como se ve, es indispensable detener las máquinas.

El análisis de máquinas virtualizadas lo iniciaremos con File -> Analyze offline system. Indicaremos en System Root la ubicación del disco virtual de la máquina, y en la línea User Profile indicaremos el nombre de usuario cuyo perfil queremos chequear.

No es necesario indicar nombres específicos: alcanza con seleccionar la carpeta donde se ubican los archivos de máquinas virtualizadas.
No es necesario indicar nombres específicos: alcanza con seleccionar la carpeta donde se ubican los archivos de máquinas virtualizadas.

Grabación y comparación
En el caso de que estemos analizando un sistema en busca de algún malware, es probable que necesitemos compartir la información y también poder compararla para considerar resultados y performance. Es por eso que podremos grabar los análisis -independientemente de los cambios que hayamos hecho- con el botón Save de la barra de herramientas. Esa información, luego, podrá compararse con otras versiones del análisis con File -> Compare. La comparación es ideal para, por ejemplo, chequear diferencias de configuración en máquinas que parten de una misma imagen de disco.

Buscar en línea
Cuando seleccionamos una entrada podemos hacer clic en Entry -> Search online para que el navegador predeterminado del sistema haga una búsqueda en la herramienta predeterminada del nombre de la aplicación. Así las cosas, podremos conocer rápidamente de qué la va tal o cual proceso en el caso de que no sepamos de qué se trata.

Las opciones de búsqueda local son básicas pero nos ahorrarán el recorrido por el conjunto completo de pestañas.
Las opciones de búsqueda local son básicas pero nos ahorrarán el recorrido por el conjunto completo de pestañas.

Explorador de procesos
Otra de las herramientas gratuitas de Sysinternals es Process Explorer, una pequeña aplicación que es capaz de armar la red de dependencias entre procesos. Antes de eliminar una entrada quizás prefiramos saber si eso hará que algo deje de funcionar: en esos casos conviene marcarla y hacer clic en Entry -> Process Explorer para que Autoruns lance directamente Process Explorer y se nos informe acerca del árbol de relaciones.

Opciones de filtro
En Options -> Filter options encontraremos las opciones de filtro de la aplicaciones, de las cuales está activada por defecto Hide Windows entries. Desactivarla puede ser una buena idea en el caso de que algún análisis heurístico de antivirus haya detectado un componente sospechoso en relación con algún archivo de sistema.

Ahora bien, en el caso de que los demás usuarios de un mismo equipo no presenten problemas podremos marcar Show only per-user locations, lo cual eliminará de la vista actual las variables aplicables a otros usuarios. En el caso de que estemos seguros de que el problema se generó a partir del agregado de alguna nueva aplicación, en cambio, lo mejor será marcar Hide Microsoft entries, lo cual nos mostrará solamente las entradas aplicables a herramientas de terceros. Verify code signatures, además, nos ayudará a chequear que los archivos firmados sean efectivamente del desarrollador que indican, y que el certificado no esté crackeado.

Autorunsc
Junto con Autoruns se incluye, en el mismo contenedor comprimido y listo para funcionar, autorunsc.exe, una utilidad de línea de comandos para generar consultas desatendidas de Autoruns. Con Autorunsc podremos analizar, ver los resultados y guardar el resultado en un archivo de valores separados por comas (CSV) o en un archivo XML. La lista completa de modificadores para la línea de comandos la conseguiremos en http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx, aunque también está disponible en la ayuda, a la que accederemos con autorunsc.exe /?.

[margin_25t]

Autorunsc puede ser muy útil si estamos administrando una red de varias máquinas físicas o virtuales creadas a partir de una misma imagen.
Autorunsc puede ser muy útil si estamos administrando una red de varias máquinas físicas o virtuales creadas a partir de una misma imagen.

Problemas de inicio eran los de antes

Las aplicaciones de inicio no serán un problema en un equipo moderno en condiciones normales, pero pueden convertirse de repente en un dolor de cabeza. Con HiJackThis! fuera del mercado y muchas herramientas integradas en software de terceros o comercial, Autoruns se presenta como la opción ideal para eliminar malware complejo. Es muy liviano, nativamente portable y diseñado por Microsoft, lo cual asegura compatibilidad en versiones de escritorio y servidores. Si Msconfig no nos resulta suficiente, aquí tenemos una buena opción. Quizás, de hecho, la mejor de las gratuitas.