Entradas de inicio sospechosas en Windows (“93fea261-…” y “5”): qué son y cómo eliminarlas

¿Ves en la pestaña Inicio del Administrador de tareas de Windows entradas extrañas llamadas “93fea261-8803-4534-a319-9d787a1696a8” o simplemente “5”, con tipo Registro, sin línea de comandos y sin opción de “Abrir ubicación de archivo”? Aquí tienes el porqué, si conviene borrarlas y la forma correcta de dejarlas fuera de tu arranque.

Índice

Caso real: entradas con nombre de GUID o número, tipo «Registro», sin ruta

En muchos equipos aparece una o varias entradas de inicio cuyos nombres son un GUID (una cadena con formato XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX) o un número sencillo como 5. Al inspeccionar desde el Administrador de tareas o desde Configuración > Aplicaciones > Inicio, esas entradas:

Tienen Tipo: Registro.
No muestran Proveedor ni Ruta.
No permiten “Abrir ubicación de archivo” porque no hay fichero asociado.
Corresponden a valores ubicados en HKEYCURRENTUSER\Software\Microsoft\Windows\CurrentVersion\Run (abreviado HKCU\…\Run). En algunos casos pueden existir duplicados en HKEYLOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run (HKLM\…\Run).

Diagnóstico típico: son valores de inicio huérfanos, es decir, restos de una aplicación ya desinstalada o mal actualizada (se han visto casos con lanzadores y juegos; por ejemplo, algunos usuarios reportan entradas similares tras desinstalar juegos de Steam como Summoners War). Al no apuntar a ninguna ruta válida, no se ejecutan; Windows únicamente los lista porque el valor existe en el Registro.

¿Es seguro borrarlas?

Sí. Si la entrada de inicio no tiene ruta de archivo válida o su dato está vacío, puedes eliminar sin problema el valor en HKCU\...\Run (y, si lo hubiera, también en HKLM\...\Run). Tras borrarlo, la entrada desaparecerá de Inicio y no volverá salvo que otra aplicación la cree de nuevo.

Excepción: si la entrada tiene una línea de comandos sospechosa (por ejemplo, powershell -nop -w hidden, cmd /c con URLs extrañas o rutas a la carpeta Temp), trata como potencial malware. En ese caso, además de borrar, conviene pasar un análisis completo con tu antivirus y revisar otras ubicaciones de arranque.

Checklist rápido para resolverlo

(Opcional) Copia de seguridad de la clave: exporta HKCU\Software\Microsoft\Windows\CurrentVersion\Run a un .reg.
Elimina los valores desconocidos en HKCU\...\Run (y comprueba HKLM\...\Run por si hay duplicados).
Revisa otros orígenes de inicio (Tareas programadas, Carpetas de Inicio, etc.).
Pasa Defender/tu AV como verificación rápida de seguridad.
Reinicia y monitoriza: si no reaparecen, tema resuelto. Si vuelven, identifica qué app los recrea y desactiva su auto-inicio o reinstálala limpiamente.

Guía paso a paso con garantías

Hacer copia de seguridad del Registro

Antes de borrar, puedes exportar la clave:

reg export "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" "%USERPROFILE%\Desktop\backupRunHKCU.reg" /y

Localizar y eliminar desde el Editor del Registro

Presiona Win + R, escribe regedit y acepta.
Navega hasta HKEYCURRENTUSER\Software\Microsoft\Windows\CurrentVersion\Run.
En el panel derecho, localiza los valores con nombre “93fea261-8803-4534-a319-9d787a1696a8”, “5” o similares.
Comprueba la columna Datos. Si está vacía o apunta a una ruta inexistente, haz clic derecho > Eliminar.
Repite en HKEYLOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run por si existiera el mismo resto para todos los usuarios.

Eliminar desde PowerShell (recomendado si prefieres consola)

# Listar todos los valores de inicio de HKCU\...\Run con sus datos
$rk = Get-Item 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Run'
$rk.GetValueNames() | ForEach-Object {
  [pscustomobject]@{Nombre=$; Datos=$rk.GetValue($)}
}

Eliminar valores concretos

\$path = 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Run'
Remove-ItemProperty -Path \$path -Name '93fea261-8803-4534-a319-9d787a1696a8' -ErrorAction SilentlyContinue
Remove-ItemProperty -Path \$path -Name '5' -ErrorAction SilentlyContinue

Eliminar desde Símbolo del sistema (CMD)

reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v 93fea261-8803-4534-a319-9d787a1696a8 /f
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v 5 /f

Otros orígenes de inicio a revisar

Aunque la mayoría de estos “restos” se alojan en HKCU\...\Run, conviene echar un vistazo a otras ubicaciones si sospechas que queda algo por limpiar.

Origen	Ruta clave o carpeta	Qué mirar	Cómo limpiar
Inicio (usuario)	`HKCU\Software\Microsoft\Windows\CurrentVersion\Run`	Nombres genéricos (GUID, números). Datos vacíos o ruta inexistente.	Eliminar valor. Crear copia .reg antes si lo deseas.
Inicio (todos)	`HKLM\Software\Microsoft\Windows\CurrentVersion\Run`	Duplicados del mismo valor para todos los usuarios.	Eliminar valor (requiere permisos de administrador).
Carpeta de Inicio (usuario)	`shell:startup`	Accesos directos a apps ya desinstaladas.	Eliminar el acceso directo.
Carpeta de Inicio (todos)	`shell:common startup`	Accesos directos comunes a todos los usuarios.	Eliminar el acceso directo (admin).
Tareas programadas	taskschd.msc → Biblioteca del Programador de tareas	Tareas “al iniciar sesión” o “al iniciar el sistema” que apunten a rutas inexistentes.	Deshabilitar o eliminar la tarea.
Política de grupo (usuario)	gpedit.msc → Plantillas adm. → Sistema → Inicio de sesión	Configuración “Ejecutar estos programas al iniciar sesión”.	Quitar entradas si están definidas.
Ejecutar una vez	`HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce`	Restos de instaladores o actualizadores.	Eliminar valor si no tiene ruta válida.

Verificación de seguridad: rápido pero efectivo

Entradas con nombres tipo GUID sin ruta suelen ser inofensivas, pero nunca está de más comprobar:

Abre Seguridad de Windows > Protección antivirus y contra amenazas > Opciones de examen y ejecuta un examen completo o sin conexión.
Si usas otro antivirus, lanza un análisis completo del sistema.
Vigila signos de infección: advertencias de UAC inusuales, bloqueos, procesos desconocidos consumiendo CPU, nuevas entradas tras cada reinicio con rutas en %TEMP% o %APPDATA%.

Si reaparecen tras borrarlas: así identificas al responsable

Cuando los valores vuelven a crearse, la causa habitual es que alguna aplicación o lanzador los reescribe al abrirse (o en cada inicio de sesión). Para descubrir cuál es:

Autoruns (Sysinternals): ejecuta Autoruns como administrador, ve a la pestaña Logon, desmarca o elimina las entradas huérfanas. Usa el cuadro de búsqueda con el nombre exacto del valor (por ejemplo, 93fea261…).
Process Monitor (Sysinternals): filtra por Operation = RegSetValue y Path contiene \CurrentVersion\Run. Cuando el valor se escriba de nuevo, verás el Process Name responsable.
Auditoría del Registro (opcional, más avanzado):
- En HKCU\Software\Microsoft\Windows\CurrentVersion\Run > clic derecho > Permisos > Opciones avanzadas > Habilitar auditoría. Agrega Éxito para “Establecer valor”.
- Consulta el Visor de eventos > Registros de Windows > Seguridad para eventos 4657 (cambios en objetos del Registro) y anota el proceso/usuario.
Desactiva el auto-inicio en la app culpable (opción “Launch at startup”, “Iniciar con Windows”, etc.) o reinstálala limpiamente para que elimine sus restos.

Cómo distinguir un simple “resto” de algo sospechoso

Señal	Resto inofensivo	Potencialmente malicioso
Nombre del valor	GUID (`{93fea261-...}`) o un número simple (`5`).	Nombre disfrazado de sistema (Windows Update, Service Host) o aleatorio que cambia cada reinicio.
Datos del valor	Vacío o ruta a un ejecutable que ya no existe.	Comando ofuscado (PowerShell con `-nop`, `-enc`), rutas en %TEMP% o %ProgramData% con nombres extraños.
Comportamiento	No se ejecuta; solo aparece listado.	Se recrea solo; abre procesos ocultos; activa alertas del AV.
Acción aconsejada	Eliminar el valor; reiniciar; listo.	Eliminar + análisis antivirus + revisar tareas/programas; si persiste, asistencia especializada.

Solución “todo en uno” con PowerShell

Si quieres automatizar la limpieza de nombres concretos (por ejemplo, el GUID y el 5), puedes usar este script. Hace copia de seguridad y elimina si encuentra los valores en HKCU/HKLM:

$targets = @(
  '93fea261-8803-4534-a319-9d787a1696a8',
  '5'
)

Copias de seguridad

\$ts = Get-Date -Format 'yyyyMMdd\_HHmmss'
reg export "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" "\$env\:USERPROFILE\Desktop\Run\HKCU\\$ts.reg" /y | Out-Null
reg export "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" "\$env\:USERPROFILE\Desktop\Run\HKLM\\$ts.reg" /y | Out-Null

Función para eliminar si existe

function Remove-RunValue {
param(\[string]\$root)
\$path = "\$root\`:\Software\Microsoft\Windows\CurrentVersion\Run"
if (Test-Path \$path) {
\$rk = Get-Item \$path
foreach (\$name in \$targets) {
if (\$rk.GetValueNames() -contains \$name) {
Write-Host "Eliminando \$name en \$path"
Remove-ItemProperty -Path \$path -Name \$name -Force -ErrorAction SilentlyContinue
}
}
}
}

Remove-RunValue -root 'HKCU'
Remove-RunValue -root 'HKLM'
Write-Host "Completado. Reinicia para comprobar que no reaparecen."

Buenas prácticas para evitar que vuelva a ocurrir

Desinstalaciones limpias: usa el desinstalador oficial de la aplicación. Si hay errores, reinstala y desinstala de nuevo para que limpie sus entradas.
Evita “limpiadores” agresivos del Registro: pueden borrar demasiado o dejar incoherencias. Mejor saber qué quitas.
Acostumbra a revisar Inicio tras desinstalar software pesado (juegos, suites, lanzadores) para asegurar que no quedan restos.
Actualiza lanzadores y juegos: versiones antiguas a veces dejan entradas mal formadas.

Preguntas frecuentes

¿Puedo simplemente deshabilitarlas en Inicio y ya?
Sí, deshabilitarlas impide que Windows intente cargarlas (aunque no tengan ejecutable). Pero lo óptimo es eliminarlas del Registro para dejar el arranque limpio.

¿Basta con borrar en HKCU o también en HKLM?
La mayoría de casos están en HKCU\...\Run (afectan solo al usuario actual). Revisa también HKLM\...\Run para confirmar que no hay el mismo resto a nivel de equipo.

¿Puede afectar al rendimiento?
Mínimamente. Windows intenta resolver la ruta y, si no existe, no ejecuta nada. Aun así, mantener Inicio limpio reduce el ruido y facilita diagnosticar problemas reales.

¿Es normal que el Administrador de tareas no muestre “Abrir ubicación de archivo”?
Sí. Esa opción solo aparece cuando la entrada de inicio referencia un archivo existente. Si el valor está vacío o la ruta no es válida, Windows no puede abrir nada.

¿Y si tras reiniciar vuelven?
Alguna aplicación las reescribe al iniciar sesión. Identifícala con Autoruns o Process Monitor, desactiva su auto-inicio o reinstálala. Si es un juego/lanzador, revisa sus preferencias (“Launch at startup”).

Resumen y conclusión

Las entradas de inicio con nombres como “93fea261-8803-4534-a319-9d787a1696a8” o “5” que aparecen en Inicio del Administrador de tareas y que figuran con tipo Registro pero sin ruta ni comando son restos huérfanos que dejaron aplicaciones (a menudo juegos o lanzadores) al desinstalarse o actualizarse. No se ejecutan, porque no apuntan a ningún ejecutable. La acción correcta es eliminarlas de HKCU\Software\Microsoft\Windows\CurrentVersion\Run (y verificar HKLM\...). Si no regresan tras reiniciar, no hay nada más que hacer. Si reaparecen, el responsable suele ser una aplicación que vuelve a escribirlas; desactiva su auto-inicio, usa Autoruns/Process Monitor para identificarla o realiza una reinstalación limpia. Como medida prudente, pasa un análisis con tu antivirus.

Con estos pasos tendrás un arranque de Windows más limpio y controlado, sin entradas “fantasma” que solo añaden confusión.