Comando para auditar todo lo que se ejecuta automáticamente al iniciar Windows, y te muestra tres datos clave de cada elemento de arranque, el nombre, el comando real que se ejecuta, y la ubicación exacta donde está registrado.
Comando
Get-CimInstance Win32_StartupCommand | Select Name, Command, Location
Para qué sirve en la práctica
1, Detectar programas que se cargan solos y ralentizan el arranque
2, Encontrar entradas sospechosas, por ejemplo rutas raras en AppData o nombres engañosos
3, Identificar qué software instala tareas de arranque sin que el usuario lo note
4, Auditar máquinas de clientes de forma rápida sin abrir varias ventanas
5, Documentar el estado inicial de un equipo antes y después de una reparación
Qué hace cada parte
Get CimInstance Win32 StartupCommand
Consulta una clase de Windows que recopila entradas de inicio automático de varias fuentes, por ejemplo carpetas de Startup, claves de registro Run, y otros puntos que Windows expone a WMI CIM. Es más moderno y estable que el método antiguo Get WmiObject.
Select Name, Command, Location
Recorta la salida para mostrar solo lo esencial
Name, el nombre descriptivo del elemento
Command, la línea exacta que Windows ejecuta
Location, de dónde proviene, por ejemplo una clave del registro o una carpeta de inicio
Cómo usarlo desde PowerShell, paso a paso
1, Abrir PowerShell como administrador
Clic derecho en el botón de Inicio, Windows Terminal Admin, elegir PowerShell
2, Pegar el comando y presionar Enter
3, Revisar los resultados con criterio, no por miedo, lo importante es entender qué es cada entrada y de dónde sale
Cómo interpretar la salida con lógica profesional
Name
Si el nombre es genérico o sin marca, por ejemplo Update Service, Windows Helper, System Support, y no corresponde a nada instalado, es una señal para investigar
Command
Aquí está la verdad, revisa
Ruta del ejecutable, debe apuntar a Program Files o a una ruta coherente
Parámetros extraños, especialmente si ejecuta PowerShell, cmd, wscript, mshta, rundll32 con argumentos poco claros
Ubicaciones típicas de abuso, AppData, Temp, rutas con nombres aleatorios
Location
Te dice dónde vive el arranque
Si proviene de Run en el registro, suele ser deshabilitable
Si viene de una carpeta Startup, es fácil de ubicar y eliminar con cuidado
Si viene de ubicaciones corporativas o de drivers, requiere más cautela
Mejoras útiles para trabajar más rápido
Ordenar y ver más limpio
Get-CimInstance Win32_StartupCommand |
Select Name, Command, Location |
Sort-Object Location, Name
Filtrar por texto para encontrar algo específico, ejemplo buscar Chrome
Get-CimInstance Win32_StartupCommand |
Where-Object { $_.Name -match “Chrome” -or $_.Command -match “Chrome” } |
Select Name, Command, Location
Encontrar entradas que apuntan a AppData, típico de software que se mete al inicio
Get-CimInstance Win32_StartupCommand |
Where-Object { $_.Command -match “\\AppData\\” } |
Select Name, Command, Location
Exportar a un archivo para documentación o para revisar con calma
Get-CimInstance Win32_StartupCommand |
Select Name, Command, Location |
Export-Csv “$env:USERPROFILE\Desktop\StartupAudit.csv” -NoTypeInformation -Encoding UTF8
Qué hacer si encuentras algo sospechoso
1, No borrar a ciegas, primero confirma qué es el archivo
2, Copia la ruta del Command y valida si existe
3, Revisa la firma digital del ejecutable, si no está firmado o el editor es desconocido, sube el nivel de sospecha
4, Si no estás seguro, lo correcto es deshabilitar el arranque antes de eliminar, así reduces riesgo de dañar el sistema
Verificar si el archivo existe
$path = “pega aqui la ruta del exe sin parametros”
Test-Path $path
Ver firma digital
Get-AuthenticodeSignature “pega aqui la ruta del exe”
Limitación importante
Este comando es excelente para inventariar, pero no es el método principal para deshabilitar todo. Algunas entradas se administran mejor por Administrador de tareas, pestaña Inicio, o por herramientas como Autoruns. El valor real de este comando es darte visibilidad rápida y técnica, y permitirte exportar evidencia.
Computer Fix Solutions
WhatsApp 786-873-1024
Soporte profesional rápido y seguro
