¿Ves tres ventanas de Windows Script Host en cada arranque de Windows 11 22H2, incluso después de cerrar cada una, y todo empezó tras instalar y desinstalar McAfee? Esta guía te explica por qué ocurre y cómo eliminarlo para siempre con un método seguro y probado.

Descripción del problema

En algunos equipos con Windows 11 (22H2), tras un cambio de software —frecuentemente, la prueba o instalación y posterior desinstalación de una suite de seguridad— aparecen ventanas emergentes de Windows Script Host (WSH) en cada inicio de sesión. Suelen indicar que no se encuentra un archivo .vbs (por ejemplo, 741.vbs) o que el script falló al ejecutarse. Al cerrarlas, reaparecen en el siguiente arranque.

Este comportamiento no es “normal” del sistema. Es casi siempre la consecuencia de una entrada de inicio o tarea programada que intenta ejecutar un script que ya no existe (restos de desinstalaciones) o que fue marcado/eliminado por un antivirus. El resultado: el “lanzador” sigue activo, pero el script de destino no está; por eso WSH muestra el error cada vez.

Diagnóstico técnico en una frase

Algo en el arranque —inicio de sesión, servicio, tarea programada, extensión del Explorador o consumidor WMI— invoca wscript.exe o cscript.exe con la ruta de un .vbs inválido; al deshabilitar o borrar ese disparador, el error desaparece.

Método recomendado con Autoruns de Sysinternals

Es la forma más rápida y segura de localizar el origen real, incluso cuando se oculta en rutas poco evidentes.

Preparación

1. Descarga Autoruns (edición para 64 bits) y ejecútalo como Administrador (Autoruns64.exe).
2. En Options, activa:
   • Hide Microsoft Entries
   • Hide Windows Entries
   De este modo verás solo elementos de terceros o añadidos por software, que es donde suele estar el problema.

Filtrado eficaz

En la casilla Filter (o con Ctrl+L) busca, una por una, las siguientes palabras:

• vbs
• wscript
• cscript
• O el nombre exacto que te muestre la ventana de error (si lo indica).

Dónde mirar primero

Revisa especialmente estas pestañas de Autoruns, en este orden:

1. Logon (inicio de sesión del usuario)
2. Scheduled Tasks (tareas programadas, incluido At logon y At startup)
3. Services (servicios de terceros)
4. Explorer (extensiones y complementos del Explorador)
5. WMI (persistencia via suscripciones WMI)

Qué hacer al encontrar la entrada sospechosa

1. Localiza la línea que llama a wscript.exe, cscript.exe o hace referencia a un .vbs ajeno al sistema.
2. Desmarca la casilla para deshabilitarla (prueba segura).
3. Haz clic derecho y usa:
   • Jump to Entry para abrir la ubicación en el registro, Programador de tareas o servicios.
   • Open Containing Folder para verificar si el archivo aún existe.
4. Si confirmas que el archivo .vbs está ausente o es indeseado, selecciona Delete para eliminar la entrada.
5. Reinicia Windows y verifica que ya no aparecen las ventanas de WSH.

Consejo clave: si dudas, deshabilita primero (desmarcar) y prueba tras reiniciar. Si todo queda estable, entonces elimina definitivamente la entrada.

Qué hacer si al filtrar por vbs no aparece nada

Algunos casos reportan que no sale ninguna coincidencia al filtrar por vbs, pero el error persiste. En ese escenario:

• Recorre categoría por categoría (Logon, Scheduled Tasks, WMI, Explorer, Services) en Autoruns.
• Busca entradas que invoquen wscript.exe o cscript.exe en su Command o Image Path.
• Desconfía de rutas en %APPDATA%, %LOCALAPPDATA%, %TEMP%, %PROGRAMDATA% o subcarpetas con nombres aleatorios.

Tabla de caza rápida

Ubicación en Autoruns	Qué buscar	Acción recomendada
Logon	Entradas que apunten a wscript.exe/cscript.exe o a un .vbs no firmado	Deshabilitar y verificar; eliminar si el archivo no existe o es sospechoso
Scheduled Tasks	Tareas At logon o At startup con acciones de línea de comandos llamando a scripts	Deshabilitar la tarea; revisar carpeta o ruta del script
Services	Servicios de terceros cuya ruta de imagen incluya scripts o lanzadores extraños	Detener y deshabilitar; confirmar proveedor
Explorer	Complementos que se cargan en el Explorador con comandos personalizados	Deshabilitar y comprobar estabilidad del sistema
WMI	Consumidores y filtros que ejecutan comandos al producirse eventos	Quitar el binding o el consumidor sospechoso si lanza WSH

Alternativas sin Autoruns

Si prefieres no usar Autoruns o no puedes ejecutarlo, estas rutas manuales suelen resolver el caso.

Programador de tareas

1. Abre Programador de tareas (taskschd.msc).
2. Selecciona Biblioteca del Programador.
3. Ordena por la columna Acción y busca comandos que invoquen wscript.exe, cscript.exe o algún .vbs desconocido.
4. Deshabilita la tarea y, si procede, elimínala.

Carpetas de inicio

• Usuario actual: escribe shell:startup en el cuadro de ejecución (Win+R).
• Todos los usuarios: shell:common startup.

Elimina accesos directos que apunten a .vbs o a WSH.

Claves del registro de inicio

Autoruns las cubre, pero si prefieres Regedit:

• HKCU\Software\Microsoft\Windows\CurrentVersion\Run
• HKLM\Software\Microsoft\Windows\CurrentVersion\Run
• HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run

Precaución: antes de editar el registro, crea un punto de restauración y exporta la clave. Elimina solo entradas que hayas verificado como innecesarias o rotas.

Refuerzo y limpieza recomendados

• Escaneo antimalware con Seguridad de Windows: realiza un Análisis completo o un Análisis sin conexión.
• Si el problema comenzó con McAfee, ejecuta la herramienta oficial de desinstalación del fabricante (MCPR) para limpiar restos. Esto suele retirar tareas y servicios residuales.
• Restaurar asociaciones de .vbs si notas comportamientos raros al ejecutar scripts legítimos (por ejemplo, que se abran en un editor en vez de ejecutarse): assoc .vbs=VBSFile ftype VBSFile="%SystemRoot%\System32\WScript.exe" "%1" %*
• Comprobación de integridad, si persisten errores del sistema: sfc /scannow DISM /Online /Cleanup-Image /RestoreHealth

Por qué funciona

Las ventanas de Windows Script Host aparecen porque algo intenta lanzar un script en cada arranque. Al localizar y deshabilitar/eliminar el desencadenante —entrada de inicio, tarea programada, servicio, extensión del Explorador o suscripción WMI— dejamos de invocar WSH y, con ello, desaparece el error.

Ejemplos de entradas sospechosas

Tipo	Comando o ruta de ejemplo	Observaciones
Logon	"C:\Windows\System32\wscript.exe" "C:\Users<usuario>\AppData\Local\Temp\741.vbs"	Script en Temp no debe persistir tras reinicio; probablemente resto o malicioso
Scheduled Task	cscript.exe //B //Nologo "C:\ProgramData<carpeta>\update.vbs"	Revisar la carpeta y el proveedor. Si el .vbs no existe, quitar tarea
Service	"C:\Windows\System32\wscript.exe" //E:vbscript //B "C:\Program Files<app>\run.vbs"	Servicios legítimos rara vez lanzan VBS; confirmar autenticidad
WMI	CommandLineEventConsumer con comando a wscript.exe	Persistencia avanzada; eliminar binding y consumidor tras validación
Explorer	Shell Extension que ejecuta script al iniciar el Explorador	Poco común; deshabilitar extensión sospechosa

Apéndice de comandos útiles

Para encontrar rápidamente llamadas a WSH en tareas programadas

schtasks /query /FO LIST /V | findstr /I "wscript cscript .vbs"

Para listar procesos de WSH actualmente activos y su línea de comandos

powershell -NoProfile -Command ^
  "Get-CimInstance Win32_Process |
   Where-Object { $_.Name -in 'wscript.exe','cscript.exe' } |
   Select-Object ProcessId, CommandLine"

Para revisar claves de inicio del registro desde PowerShell

powershell -NoProfile -Command ^
  "$paths = @(
    'HKCU:\Software\Microsoft\Windows\CurrentVersion\Run',
    'HKLM:\Software\Microsoft\Windows\CurrentVersion\Run',
    'HKLM:\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run'
  );
  foreach ($p in $paths) {
    if (Test-Path $p) {
      Get-ItemProperty $p | Out-String
    }
  }"

Para inspeccionar persistencia WMI

powershell -NoProfile -Command ^
  "$ns='root\subscription';
   'Consultando EventFilter...'; Get-CimInstance -Namespace $ns -ClassName EventFilter |
     Select-Object Name, Query | Format-List;
   'Consultando CommandLineEventConsumer...'; Get-CimInstance -Namespace $ns -ClassName CommandLineEventConsumer |
     Select-Object Name, CommandLineTemplate | Format-List;
   'Consultando bindings...'; Get-CimInstance -Namespace $ns -ClassName FilterToConsumerBinding |
     Select-Object Filter, Consumer | Format-List"

Checklist de verificación tras la limpieza

• Reiniciaste el equipo y ya no aparecen ventanas de WSH.
• La entrada/tarea/servicio sospechoso está deshabilitado o eliminado.
• El análisis de Seguridad de Windows finalizó sin amenazas.
• Las asociaciones de .vbs están restauradas y ningún programa legítimo falla.
• No hay nuevas entradas desconocidas en Autoruns tras 24–48 horas de uso normal.

Señales que apuntan a restos tras desinstalar McAfee

• Tareas programadas con nombres de actualización o mantenimiento que ya no tienen su ejecutable asociado.
• Servicios que quedaron marcados como Disabled pero conservan comandos a scripts.
• Carpetas en %PROGRAMDATA% o %PROGRAMFILES% con subcarpetas vacías y referencias rotas.

La herramienta de limpieza del fabricante (cleanup tool o MCPR) suele eliminar estos residuos y ajustar las tareas programadas asociadas.

Preguntas frecuentes

¿Es buena idea deshabilitar Windows Script Host para “silenciar” el error?

No es recomendable. Deshabilitar WSH evitará que se muestren las ventanas, pero también romperá scripts legítimos del sistema o de tu entorno de trabajo. La solución correcta es eliminar el disparador que intenta ejecutar el script inexistente.

¿Qué pasa si el script sí existe pero parece malicioso?

Primero, no lo ejecutes manualmente. Sube una copia a tu antivirus para análisis o ponlo en cuarentena. Deshabilita la entrada que lo llama, elimina la tarea o el servicio correspondiente y realiza un análisis sin conexión con Seguridad de Windows. Si usas Autoruns, verifica el proveedor y la firma digital cuando sea posible.

¿Cuánto debo esperar para eliminar definitivamente la entrada?

No hay que esperar. Un buen procedimiento es deshabilitarla, reiniciar y comprobar estabilidad. Si no hay efectos adversos tras uno o dos reinicios y sesiones de uso, puedes eliminarla de forma permanente.

¿Puede el error volver a aparecer después de limpiar?

Sí, si algún instalador o actualizador recrea la tarea/entrada. Por eso conviene revisar Autoruns después de instalar o desinstalar software con privilegios elevados y mantener tu antivirus activo con protección en tiempo real.

Buenas prácticas para prevenir recurrencias

• Evita instalar suites de seguridad en paralelo; usa una a la vez y desinstala completamente la anterior.
• Antes de desinstalar software de seguridad, cierra sus módulos, desactiva autoprotección si aplica y usa su uninstaller oficial.
• Revisa periódicamente Autoruns con las opciones de ocultar entradas de Microsoft/Windows habilitadas.
• Mantén Windows 11 actualizado y ejecuta sfc y DISM cuando notes fallos anómalos tras problemas de malware.
• Limita permisos de escritura en carpetas de inicio y automatiza limpiezas de %TEMP% con sentido común.

Resumen ejecutivo

Las ventanas de Windows Script Host repetidas al iniciar Windows 11 son el síntoma de un disparador huérfano: una tarea, entrada de inicio, servicio, extensión o suscripción WMI que invoca un script que ya no existe o no debe ejecutarse. Autoruns te permite identificar y desactivar/eliminar la referencia en minutos. Si el filtro por vbs no ayuda, repasa las categorías buscando wscript.exe/cscript.exe. Refuerza con un análisis antimalware, restaura asociaciones de .vbs si hace falta y ejecuta sfc/DISM para asegurar la integridad. Con ello, el sistema arranca limpio y sin emergentes.

Plantilla de acción rápida

1. Abrir Autoruns como administrador.
2. Activar Hide Microsoft Entries y Hide Windows Entries.
3. Filtrar por vbs, wscript y cscript.
4. Revisar Logon, Scheduled Tasks, Services, Explorer y WMI.
5. Deshabilitar la(s) entrada(s) sospechosa(s); validar con reinicio.
6. Eliminar de forma permanente la referencia si todo está estable.
7. Escanear con Seguridad de Windows, restaurar asociaciones y ejecutar sfc/DISM si persisten anomalías.

Glosario mínimo

• WSH (Windows Script Host): motor de ejecución de scripts como VBScript (.vbs) y JScript.
• wscript.exe / cscript.exe: ejecutables de WSH en modo gráfico y consola, respectivamente.
• Autoruns: herramienta que enumera todos los mecanismos de autoejecución del sistema.
• WMI Persistencia: uso de Event Filters y Consumers para ejecutar comandos ante eventos del sistema.
• Run Keys: claves del registro que lanzan programas al iniciar sesión.
• Tareas programadas: trabajos automatizados que pueden dispararse al arrancar o iniciar sesión.

---

Conclusión: Si te salen tres ventanas de Windows Script Host en cada inicio de Windows 11 22H2 y comenzaron tras McAfee, no es casualidad: algún disparador intenta ejecutar un .vbs que ya no está. Con Autoruns, deshabilita o elimina esa referencia, refuerza con limpieza antimalware y restablece asociaciones si fuera necesario. Es una solución estable, segura y definitiva.