Problema crítico de arranque con PsinELAM tras actualizaciones de WatchGuard Endpoint

¿Qué está pasando?

En nuestra entorno corporativo llevamos tiempo experimentando un problema molesto después de que se actualizan los antivirus WatchGuard Endpoint y Panda Endpoint. Varios equipos se quedan sin poder arrancar, y terminan en el modo reparación de Windows, algo que nadie quiere ver.

¿Cómo se manifiesta?

• El equipo falla al arrancar con un error 0xc000000f
• El problema está en este archivo: \windows\system32\drivers\PsinELAM.sys
• Windows se va directo al modo recuperación
• El sistema no logra cargar el driver ELAM porque está corrupto o dañado

¿Por qué pasa esto?

El driver PsinELAM es un componente clave de Panda Security que también usa WatchGuard Endpoint. Cuando actualizan, este driver a veces queda corrupto o con referencias que ya no funcionan en el registro, y eso bloquea el arranque normal de Windows.

¿Cómo lo arreglamos?

Paso 1: Entrar en modo recuperación

1. Reinicia el equipo
2. Ve a Opciones avanzadas de arranque
3. Selecciona Solucionar problemas > Opciones avanzadas > Símbolo del sistema

Paso 2: Cargar el registro del sistema

Desde el símbolo del sistema en modo recuperación:

# Identificar la letra de unidad del sistema (normalmente C: o D:)
dir C:\
dir D:\

# Cargar el registro SYSTEM del disco de sistema
reg load HKLM\TEMP C:\Windows\System32\config\SYSTEM

Paso 3: Deshabilitar el servicio PsinELAM

# Abrir el editor de registro
regedit

# Navegar a la clave cargada:
HKEY_LOCAL_MACHINE\TEMP\ControlSet001\Services\PsinELAM

# Cambiar el valor Start:
# De: 0 (Boot) 
# A: 4 (Disabled)

Valores para Start:

• 0 = Boot
• 1 = System
• 2 = Automatic
• 3 = Manual
• 4 = Disabled

Paso 4: Descargar el registro y reiniciar

# Cerrar regedit
# Descargar el registro temporal
reg unload HKLM\TEMP

# Reiniciar el sistema
shutdown /r /t 0

Script para facilitar el proceso

@echo off
echo Solucionando problema PsinELAM...

REM Detectar unidad de sistema
if exist C:\Windows\System32\config\SYSTEM (
    set SYSROOT=C:
) else if exist D:\Windows\System32\config\SYSTEM (
    set SYSROOT=D:
) else (
    echo Error: No se encuentra la instalacion de Windows
    pause
    exit /b 1
)

echo Unidad de sistema detectada: %SYSROOT%

REM Cargar registro
echo Cargando registro SYSTEM...
reg load HKLM\TEMP %SYSROOT%\Windows\System32\config\SYSTEM

REM Deshabilitar PsinELAM
echo Deshabilitando servicio PsinELAM...
reg add "HKLM\TEMP\ControlSet001\Services\PsinELAM" /v Start /t REG_DWORD /d 4 /f

REM Verificar cambio
reg query "HKLM\TEMP\ControlSet001\Services\PsinELAM" /v Start

REM Descargar registro
echo Descargando registro...
reg unload HKLM\TEMP

echo Proceso completado. Reinicie el sistema.
pause

Estadísticas en nuestro entorno

• Equipos afectados: ~15% del parque informático
• Frecuencia: Cada actualización importante de WatchGuard
• Tiempo para resolver: 5-10 minutos por equipo
• Éxito: 100% con este método

Importante: después de que el sistema arranque perfecto

Cuando el equipo ya arranque sin problemas, es clave reinstalar el antivirus. Aunque en “Programas y características” aparezca como instalado, muchas veces no funciona correctamente por el problema con el driver. Si no reinstalas, puede que el antivirus esté corrupto o sin protección completa, lo que deja el equipo vulnerable.

Notas técnicas rápidas

1. Es fundamental cargar el registro SYSTEM real desde el disco, no el del entorno de recuperación.
2. Siempre modificar ControlSet001, que es el conjunto activo.
3. Verifica que el cambio se aplicó antes de descargar el registro.
4. Si estás en un entorno crítico, haz backup del registro antes.

¿Por qué pasa todo esto?

• La actualización no termina bien y deja el driver corrupto
• Windows intenta cargar ese driver ELAM obligatorio en el arranque
• Sin un driver válido, el arranque falla y el sistema entra en modo recuperación

Este comportamiento es similar al problema conocido de SymELAM.sys en Symantec Endpoint Protection, ya que ambos implementan la misma tecnología ELAM de Microsoft