Algunos usuarios se han preguntado si shellexperiencehost.exe es un procedimiento legítimo del sistema después de descubrir en el Administrador de tareas que el procedimiento utiliza constantemente recursos del sistema (especialmente recursos de la CPU). Aún cuando el procedimiento es probablemente el Windows Shell Experience Host genuino, además puede estar tratando con un ejecutable malicioso de una familia de troyanos que están usando la CPU de la víctima para extraer Monero u otras monedas digitales.
Este post pretende ser una guía explicativa para ayudar a los usuarios a comprender el propósito de shellexperiencehost.exe, así como para ayudarlos a distinguir entre una infección ejecutable genuina y una infección troyana.
¿Qué es ShellExperienceHost.exe?
Windows Shell Experience Host es un procedimiento genuino de Windows que proporciona la funcionalidad de mostrar aplicaciones universales en una interfaz de ventana. Simplemente, lo que hace este procedimiento es manejar varios ítems gráficos de la interfaz de la aplicación: transparencia de la barra de tareas y del menú de inicio, calendario, reloj, comportamiento en segundo plano, visuales de notificaciones, etc.
Cuando Windows Shell Experience Host se introdujo por primera vez con Windows 10, las primeras versiones tenían errores y consumían mucha CPU y RAM. A pesar de esto, con las últimas actualizaciones, la funcionalidad de este procedimiento ha mejorado drásticamente.
El comportamiento normal de shellexperiencehost.exe es consumir pocos o ningún recurso de CPU. A pesar de esto, si lo supervisa de cerca, debería poder ver picos de CPU ocasionales cuando se cambian nuevos ítems gráficos, pero después el consumo debería volver a cero. El consumo de memoria no debe exceder los 300 MB, inclusive si tiene muchas aplicaciones que usan Windows Shell Experience Host.
¿Amenaza potencial a la seguridad?
Si sospecha que shellexperiencehost.exe no es genuino, puede investigar un poco para confirmar o confirmar sus sospechas. Puede comenzar controlando el consumo de recursos de shellexperiencehost.exe. Si observa que el procedimiento consume regularmente más del 20% de su CPU y varios cientos de RAM, es factible que se trate de un ejecutable malicioso.
Después de investigar este asunto, descubrimos dos mineros troyanos (ShellExperienceHost.exe y MicrosoftShellHost.exe) que están usando la CPU de la víctima para extraer criptos. Resulta que la familia de troyanos conocida por hacerse pasar por el procedimiento shellexperiencehost.exe se utiliza para extraer la moneda digital Monero.
Si sospecha que puede estar tratando con un troyano, su ubicación será una buena pista. Abra el Administrador de tareas (Ctrl + Shift + Esc) y busque shellexperiencehost.exe (Windows Shell Experience Host) en la pestaña Procesos. Posteriormente, haga clic con el botón derecho en Windows Shell Experience Host y elija Abrir ubicación de archivo.
Nota: Tenga en cuenta que es factible que deba expandir el menú desplegable para ingresar a la ubicación de ShellExperienceHost.exe.
Si la ubicación revelada está en C: Windows ~ SystemApps ~ ShellExperienceHost_cw5n1h2txyewy, puede estar seguro de que el ejecutable no es malicioso.
Si el ejecutable está en un lugar distinto y notó un alto consumo constante de recursos, existe una alta probabilidad de que se trate de un troyano que extrae las criptos. Una forma rápida de confirmar esta sospecha es cargar el ejecutable en VirusTotal para su análisis. Si el análisis revela que el ejecutable es verdaderamente malicioso, deberá tomar las medidas indispensables para eliminarlo.
Si no tiene un escáner de seguridad listo, le sugerimos que utilice Malwarebytes para borrar la infección.
¿Debo borrar ShellExperienceHost.exe?
Si descubrió previamente que el procedimiento ShellExperienceHost.exe es legítimo, tiene muy pocas razones para deshabilitar o borrar el ejecutable. La desactivación de ShellExperienceHost.exe prohibirá severamente la capacidad de su sistema operativo para servir imágenes. Inclusive si elimina el ejecutable ShellExperienceHost, Windows terminará recreándolo la próxima vez que reinicie su computadora.
La mayoría de los bloqueos de Windows 10 con el mensaje Shell Experience Host ha detenido se han resuelto con las últimas actualizaciones.
