Proceso explorer.exe y el misterio del editor de registro

Cuando uno se vuelve el soporte técnico de cabecera llega a ver todo tipo de problemas en los equipos de la familia, en este momento me atrevo a afirmar que gran parte son debido a virus informáticos que pueden o no, provenir de memorias USB (flash)…

que a su ves o directamente vienen del resultado malicioso de un ataque y descuido del usuario, con los fines que solo el pirata informático sabe y en su momento explicare. Algunos problemas pueden ser causados por el mismo usuario al realizar operaciones que pongan en peligro la estabilidad del sistema, normalmente nada que un reinicio del sistema no pueda solucionar. También esta la parte del buen uso y costumbres hablando del equipo físico. Y menos frecuente que las anteriores el fallo de los componentes de fabrica (consultar términos de la garantía).

¿A que vino todo lo anterior?

Hace un rato me dejaron una laptop que supuestamente desconectaron mal de un proyector y ahora no se veía nada… rápidamente descarte esa tesis conectando un monitor y observando el puntero, en otro salvaje movimiento Windows 7 y el famoso CTRL+ALT+SUPR nos daría mas pistas sobre esa pantalla negra.

Presionar CTRL y mantenerlo presionado mientras presionas ALT y lo mantienes presionado para finalmente presionar SUPR o ESC en sistemas Windows (desde que recuerdo) nos da la oportunidad de acceder al Administrador de Tareas del sistema donde un ojo entrenado o el sentido común nos pueden ayudar a identificar “algo” que no debería estar ahí y terminar ese proceso, lo habremos hecho mas de una vez cuando se “traba” un programa (en la escuela dicen que hay conflicto en los recursos y prioridades).

No hubo necesidad de buscar procesos extraños, digamos que el instinto me dijo que no había explorer.exe un proceso que a muy grandes rasgos es responsable de como su nombre lo dice “explorar”, gracias a el podemos tener un área de trabajo (escritorio), usar ventanas y varias operaciones sobre los ficheros del equipo. Resultaba claro que no estaba operando, asi que había que echarlo a andar.

Dentro del administrador de tareas existe una opción que permite ejecutar procesos o dicho de otra forma “Crear una nueva tarea”. Con solo escribir explorer.exe en el cuadro de dialogo de esa opción, el escritorio volvió con todo y papel tapiz. ¿Fallaria otra vez? esa es una pregunta que solo reiniciando podría ser contestada.

¡No volvió!, así que nuevamente CTRL+ALT+SUPR, Administrador de tareas, nueva tarea, explorer.exe, enter. Veamos que mas tenemos… ¿Antivirus? no hay, pero si le había puesto uno hace meses… digamos que hay virus muy buenos que logran que hasta nosotros inhabilitemos la seguridad. Siguiente paso, checar los programas que arrancan con Windows y para eso tenemos un programa llamado MSCONFIG.

MSCONFIG lo podemos llamar desde EJECUTAR TAREA o TAREA NUEVA o con el atajo WIN+R (EJECUTAR) o de un par de formas mas. Este programa-utilidad dentro de la pestaña “INICIO” habrá una lista de los programas que inician con windows, igualmente un ojo perspicaz o el sentido común nos ayudan a identificar algo raro.

Hubo cosas raras y una vez desactivadas procedí a otro reinicio… se soluciono un problema en la velocidad de carga del sistema y seguro algún programa malicioso vio su carrera acabada en ese momento, pero explorer.exe seguía sin responder.

Era hora de preguntarle a alguien mas sabio que yo, pero había que saber preguntarle, Google es como el mar, podrías pasar horas navegando a la deriva, y siendo sinceros no tenia ganas de perderme hoy. Un par de soluciones elegantes llamaron mi atención y siendo coincidentes decidí que debía probar ese método. tendríamos que ir al famoso “EDITOR DE REGISTROS” de Windows, un lugar para los mas osados.

El Registro de Windows guarda las configuraciones de todo lo que tiene que ver con el sistema, por eso es un lugar peligroso, los movimientos perpetrados ahí podrian generar graves problemas al sistema y como estos cambios son almacenados un simple reinicio del sistema no ayudaría. Para acceder a el podemos ejecutar “REGEDIT” y nos abrir una ventana con una tabla de exploración donde todos los registros se almacenan.

Todo iba muy bien y a buen ritmo pero, ¡no pude abrir el EDITOR DE REGISTROS! , un mensaje sobre permisos y administradores detuve mi osado intento de ir a las entrañas y terminar esto de una vez por todas. Sucede que inteligentemente quienes se dedican a programar virus están un par de pasos adelante de nosotros, añaden funciones para desactivar herramientas administrativas como las que les he citado. Afortunadamente existen las funciones que habilitan estas herramientas, a la mente se me vino una, pero hacia años que no la ocupaba y para ser sinceros ni siquiera sabia donde estaba, podría usar Google otra vez pero ya seria abusar de la suerte, primero debía intentar activar esa función con otra herramienta de Windows (si no se encontraba deshabitada) GPEDIT.MSC  (Editor de políticas de grupo, perteneciente a una gran familia de herramientas de administración que si son requeridas serán citadas, hoy no)

Para acceder a esa herramienta debemos ejecutar GPEDIT.MSC y si todo sale bien tendremos un cuadro de dialogo con un bloque de exploración que nos permitirá navegar entre varias políticas o reglas que definen como se deben comportar ciertas acciones del sistema con usuarios, o aplicaciones.

Si buscamos arreglar el problema de inaccesibilidad al EDITOR DE REGISTROS debemos ir a CONFIGURACION DEL USUARIO/ PLANTILLAS ADMINISTRATIVAS/ SISTEMA y abrir la opcion “Impedir acceso a herramientas de edición de registro” dentro del cuadro de dialogo deshabitamos esa opción aunque no se vea habilitada. Hecho esto no debería haber razón por la cual se nos impidiese entrar al EDITOR DE REGISTROS.

Volviendo a ejecutar REGEDIT , esta vez con éxito ahora podemos arreglar el problema que, por si habían olvidado era hacer que el proceso explorer.exe arrancara con el sistema.

Cito la solución que encontré en Google:

Seguramente se dañó una rama del registro de Windows, para solucionarlo realiza lo siguiente:

1.   Ingresa a Inicio, y en Iniciar búsqueda tipea: REGEDIT

2.   Ingresa a la rama  HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon

3.   Ingresa en el valor Shell la palabra: explorer.exe

FUNCIONO!

Al reiniciar el sistema ¡todo cargo con normalidad!

Particularmete el problema era que el valor para Shell en mi caso era: explorer.exe c:/windows/eksplorasi.exe obviamente un cambio malicioso que debía ser corregido.


Solo quedaba intentar proteger el sistema con un antivirus, para lo cual siempre recomiendo uno original, pues son los que siempre estarán actualizados. Las recomendaciones de siempre, no instalar programas a menos que sean de confianza, examinar las unidades USB antes de abrir archivos, tener cuidado con las descargas de vídeos, imágenes o audio desde la web, correo electrónico o programas de descarga (no ocupar estos últimos de ser posible), etc.

¿Por que desvelarme explicando todo esto?

por que va a volver a pasar, o le va a pasar a alguien mas, o podrán decir que lo vieron publicado aquí, o Google les dará este camino, o por si mi mente me traicionase algún día y no recuerde algún paso. Entonces que quede otro registro mas, y tal vez no molesten a su técnico de cabecera con algo que ya pueden solucionar.

Finalmente agregare 2 imágenes y un programa para habilitar algunas herramientas que aparezcan deshabitadas o inaccesibles. Me disculpo por no poner mas imagenes, realmente no quería perder el formato del texto.

RE-ENABLE PORTABLE

http://www.softpedia.com/get/PORTABLE-SOFTWARE/System/Re-Enable-Portable.shtml

pueden descargarlo del link anterior o de este