Hai rimosso Web Companion e Pinaview tempo fa ma vedi ancora “Pinaview” o “Program” tra le app di avvio e qualche chiave in Registro? In questo articolo spieghiamo perché sono residui innocui, come verificarlo con certezza e come pulire in modo definitivo Avvio, Registro e attività pianificate.
Contesto e domanda dell’utente
Circa un anno fa l’utente ha installato involontariamente due PUP/adware (Web Companion e Pinaview). Dopo la rimozione con Microsoft Defender e il controllo di processi con Process Hacker, nessun allarme è più emerso. Recentemente, però, sono riapparse due voci di avvio: “Pinaview” e una enigmatica “Program” con percorso che conteneva riferimenti a Web Companion. In Registro erano presenti chiavi in HKCU\...\StartupApproved\Run. L’utente ha eliminato tutto con Autoruns e Regedit ed eseguito nuove scansioni offline e complete con Defender (tutte negative). La domanda è: questi residui hanno potuto danneggiare il PC nell’ultimo anno?
Risposta breve
No: quelle voci erano orfane (collegamenti a file inesistenti). In assenza del binario, non si avvia nulla né vengono consumate risorse. Le scansioni successive di Microsoft Defender senza rilevamenti indicano l’assenza di minacce attive. Web Companion e Pinaview sono adware fastidiosi (browser hijacking, modifiche ai provider di ricerca), ma non risultano progettati per alterare file di sistema o firmware né per lasciare backdoor persistenti. Con la pulizia effettuata (Autoruns, Regedit) hai completato il lavoro in modo corretto.
Perché rimangono “residui” dopo la disinstallazione
Molti PUP/adware registrano voci di avvio e chiavi di configurazione in posizioni standard di Windows. La disinstallazione spesso rimuove i file ma dimentica stringhe di avvio o “segnalibri” usati da Gestione attività per memorizzare lo stato. Ecco i punti tipici in cui rimangono tracce:
| Elemento | Percorso/Chiave | Significato |
|---|---|---|
| Avvio utente (per l’account corrente) | HKCU\Software\Microsoft\Windows\CurrentVersion\Run | Avvia il programma all’accesso dell’utente. |
| Avvio macchina (tutti gli utenti) | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKLM\SOFTWARE\WOW6432Node\...\Run | Avvio all’accesso, anche per app a 32 bit. |
| Stato abilitazione in Avvio | HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\RunHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run | Windows memorizza se una voce è abilitata/disabilitata. La presenza non implica che esista ancora il file. |
| Cartelle residue | %ProgramFiles%, %ProgramFiles(x86)%, %ProgramData%, %AppData% | Contengono configurazioni/log; talvolta non vengono pulite dall’uninstaller. |
| Attività pianificate | Utilità di pianificazione (Task Scheduler) | Alcuni adware si avviano con un’attività pianificata; se il file manca, l’attività fallisce. |
Come interpretare “Not measured” e le voci disabilitate
Nel tab Avvio di Gestione attività, “Non misurato” (Not measured) significa che Windows non ha dati sufficienti per stimare l’impatto all’avvio. Questo succede quando:
- la voce è stata aggiunta da poco e non si è mai avviata;
- la voce è disabilitata da tempo;
- il collegamento punta a un file inesistente (voce orfana).
Se il binario non esiste, la voce non può eseguirsi; non consuma CPU, RAM o rete. È solo un “cartello stradale” che punta nel vuoto.
La voce “Program” in Avvio: perché appare
Una voce “Program” senza editore noto di solito è il risultato di un percorso senza virgolette lasciato da un uninstaller distratto. Esempio: se in Registro era registrato
C:\Program Files\Lavasoft\Web Companion\WebCompanion.exe
senza virgolette, Windows può interpretare erroneamente “C:\Program” come eseguibile e crea (o mostra) una voce di nome “Program”. Poiché “C:\Program” non esiste, l’avvio fallisce in silenzio. È un residuo inattivo e innocuo.
Assenza di minacce attive: perché le scansioni negative contano
Hai eseguito più scansioni complete e una scansione offline con Microsoft Defender: l’esito negativo è un indicatore forte che non ci sono minacce in esecuzione. Web Companion e Pinaview rientrano nella categoria PUP/adware: modificano browser e impostazioni, ma non installano driver rootkit né firmware loader. Dopo la rimozione dei binari e dei punti di avvio, non hanno meccanismi per riattivarsi.
Pulizia definitiva passo‑passo
Se vuoi chiudere il capitolo una volta per tutte, segui la procedura guidata. È semplice e prudente.
Preparazione (sicurezza prima di tutto)
- Crea un punto di ripristino: premi Win+R, digita
sysdm.cpl→ Protezione sistema → Crea…. - Aggiorna Defender: Impostazioni → Aggiornamento e sicurezza → Sicurezza di Windows → aggiorna definizioni e avvia una scansione completa.
- Abilita il blocco PUA: Sicurezza di Windows → Controllo app e browser → Impostazioni protezione basata sulla reputazione → App potenzialmente indesiderate su Blocca.
Rimuovi le voci di avvio con Autoruns
- Avvia Autoruns come amministratore.
- Apri la scheda Logon.
- Attiva Options → Hide Microsoft Entries e Hide Windows Entries per ridurre il rumore.
- Cerca voci contenenti “Web Companion”, “Lavasoft”, “Adaware”, “Pinaview” o la voce “Program”.
- Se la colonna Image Path punta a un file inesistente (evidenziato in giallo), despinna o elimina la voce.
Pulisci le chiavi Run/RunOnce in Registro
Attenzione: modifica solo ciò che riconosci. Se hai dubbi, esporta prima la chiave (File → Esporta).
- Apri Regedit (Win+R →
regedit). - Controlla e, se necessario, elimina valori sospetti in:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunHKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce(e i corrispettiviHKLM)
- Se trovi riferimenti a Web Companion, Pinaview o voci “Program” prive di virgolette, elimina quel valore (non l’intera chiave).
- Le chiavi
StartupApproved\Runcontengono lo stato (abilitato/disabilitato) in forma binaria. La loro presenza non avvia programmi. Puoi lasciarle o rimuovere solo le voci correlate: non cambia il risultato pratico.
Elimina cartelle residue
Controlla ed eventualmente rimuovi le seguenti cartelle, se presenti:
%ProgramFiles%\Lavasoft\Web Companiono%ProgramFiles(x86)%\Lavasoft\Web Companion%ProgramData%\Lavasoft/%ProgramData%\Adaware%AppData%\Local\Pinaviewo nomi simili
Se Windows impedisce l’eliminazione perché “in uso”, riavvia e riprova; in caso persistente, elimina in Modalità provvisoria.
Verifica e pulisci le attività pianificate
- Apri Utilità di pianificazione → Libreria Utilità di pianificazione.
- Cerca attività con nomi/percorsi che includano “Web Companion”, “Lavasoft”, “Adaware”, “Pinaview”.
- Se un’attività punta a un file che non esiste, eliminala.
Ripristina il browser (per annullare hijacking vecchi)
- Chrome/Edge: Impostazioni → Ripristina e pulisci → Ripristina le impostazioni predefinite. Controlla Motore di ricerca e Estensioni rimuovendo quelle non riconosciute.
- Firefox: digita
about:support→ Aggiorna Firefox. Disinstalla componenti aggiuntivi sospetti.
Opzioni di sanità del sistema (facoltative ma utili)
Esegui un controllo integrità dei file di sistema e dell’immagine di Windows:
sfc /scannow
DISM /Online /Cleanup-Image /RestoreHealth
Ripulisci rete e DNS se il browser era stato dirottato:
ipconfig /flushdns
netsh winsock reset
Checklist di verifica rapida
| Cosa | Come | Esito atteso |
|---|---|---|
| Voci di avvio | Gestione attività → Avvio | Nessuna voce “Pinaview”/“Program” o comunque disabilitate e senza file. |
| Registro Run | Regedit (chiavi HKCU/HKLM …\Run) | Nessun valore che punti a Web Companion/Pinaview. |
| StartupApproved | Regedit (…\Explorer\StartupApproved\Run) | Assenza delle voci correlate (o irrilevanti se presenti). |
| Cartelle residue | Esplora file in Program Files, ProgramData, AppData | Cartelle Lavasoft/Adaware/Pinaview eliminate. |
| Attività pianificate | Task Scheduler | Nessuna attività con riferimenti ai PUP. |
| Scansioni | Microsoft Defender (completa + offline) | Nessun rilevamento. |
Strumenti e comandi utili (per utenti medi e avanzati)
PowerShell: elenco avvio reale
Elenca ciò che Windows prova davvero ad avviare:
Get-CimInstance Win32_StartupCommand | Select-Object Name, Command, Location | Format-Table -Auto
Controlla i percorsi: se il file non esiste, è una voce orfana.
PowerShell: controlla le chiavi Run
$runKeys = @(
'HKCU:\Software\Microsoft\Windows\CurrentVersion\Run',
'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run',
'HKLM:\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run'
)
foreach ($k in $runKeys) {
if (Test-Path $k) {
Get-ItemProperty $k | Select-Object PSPath, * | Format-List
}
}
Ricerca rapida nel Registro per parole chiave
(Può richiedere tempo; fermati ai risultati pertinenti.)
reg query HKCU /f "Web Companion" /s
reg query HKLM /f "Web Companion" /s
reg query HKCU /f "Pinaview" /s
reg query HKLM /f "Pinaview" /s
Attività pianificate: trova riferimenti sospetti
schtasks /query /fo LIST /v | findstr /i "web companion pinaview lavasoft adaware"
Script PowerShell opzionale di pulizia mirata
Usalo solo se sai cosa stai facendo. Esegue un backup .reg dei valori rimossi.
$patterns = 'web\s*companion','lavasoft','adaware','pinaview'
$keys = @(
'HKCU:\Software\Microsoft\Windows\CurrentVersion\Run',
'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run',
'HKLM:\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run'
)
$backup = "$env:USERPROFILE\Desktop\backuprun$(Get-Date -Format yyyyMMdd_HHmmss).reg"
New-Item -Path $backup -ItemType File -Force | Out-Null
foreach ($k in $keys) {
if (-not (Test-Path $k)) { continue }
$props = (Get-ItemProperty $k).PSObject.Properties | Where-Object { $_.Name -notlike 'PS*' }
foreach ($p in $props) {
$val = [string]$p.Value
if ($patterns | ForEach-Object { $val -match $ } | Where-Object { $ } ) {
reg export ($k -replace ':','') $backup /y | Out-Null
Remove-ItemProperty -Path $k -Name $p.Name -Force
Write-Host "Rimosso $($p.Name) da $k"
}
}
}
Write-Host "Backup dei valori rimossi: $backup"
Quando preoccuparsi davvero (segnali che richiedono azione)
- Ricomparsa di voci di avvio dopo la rimozione, con file presenti sul disco.
- Modifica spontanea della pagina iniziale o del motore di ricerca dopo il ripristino del browser.
- Traffico di rete anomalo e persistente, CPU o disco elevati all’accesso.
- Certificati o impostazioni proxy installati senza consenso.
In questi casi, oltre a Defender, valuta una doppia opinione con uno strumento on‑demand (es. Malwarebytes o ESET Online Scanner) ed esegui nuovamente la scansione offline.
Perché i residui non hanno danneggiato il PC
Riassumendo i motivi tecnici:
- Le voci di avvio non eseguono nulla se il binario è assente; Windows prova a lanciarle, fallisce istantaneamente e passa oltre.
- Le chiavi
StartupApproved\Runsono metadati (stato abilitato/disabilitato, timestamp), non punti di esecuzione. - Gli adware citati non sono noti per corrompere componenti di sistema a basso livello.
- Le scansioni negative (inclusa quella offline) riducono drasticamente la probabilità di una minaccia attiva.
Conclusione: i residui erano cosmetici e inattivi; non hanno minato performance o sicurezza nel periodo in cui sono rimasti in Registro o nella schermata di Avvio.
Prevenzione: buone pratiche per il futuro
- Protezione PUA attiva in Sicurezza di Windows (blocca installer indesiderati).
- Aggiornamenti regolari di Windows e delle app.
- Browser “pulito”: estensioni solo da fonti ufficiali; rimuovi quelle non indispensabili.
- Backup periodici su unità esterna o cloud (immagine di sistema + dati).
- Controllo attività pianificate ogni tanto, specie dopo aver disinstallato software aggressivo.
- SmartScreen sempre attivo e non disattivare gli avvisi dell’antivirus durante installazioni.
FAQ (domande frequenti)
Le chiavi in StartupApproved sono pericolose?
No. Memorizzano lo stato di una voce di avvio. Puoi ignorarle o rimuovere solo quelle relative a software ormai disinstallato.
La voce “Program” può essere un virus camuffato?
Generalmente no: è un effetto collaterale di un percorso senza virgolette. Verifica sempre il percorso reale: se non esiste alcun “C:\Program”, è solo un errore formale.
È sufficiente Microsoft Defender?
Sì, se aggiornato e configurato correttamente (con PUA Blocking). Una second opinion on‑demand è utile ma non obbligatoria quando le scansioni sono pulite.
Posso cancellare tutto in StartupApproved per “fare pulizia”?
Non è necessario e non porta benefici. Se vuoi azzerare solo lo storico di vecchie voci, rimuovi le chiavi mirate; evita modifiche massive al Registro.
Perché Gestione attività mostra “Non misurato” anche su app legittime?
Perché Windows non ha ancora raccolto dati sufficienti o l’app non si è mai avviata all’accesso dalla sua aggiunta.
Template di risposta rapida per casi simili
Se ti capita di aiutare qualcuno con un caso analogo, puoi riassumere così:
Le voci di avvio “Pinaview/Program” che rimangono dopo la rimozione di Web Companion sono orfane: non eseguono nulla. Le chiavi in
StartupApproved\Runsono solo lo stato di abilitazione. Se Defender (completo + offline) non rileva minacce, il sistema non è compromesso. Elimina le voci con Autoruns, rimuovi i valori in...Run, cancella le cartelle residue e controlla le attività pianificate. Attiva il blocco PUA e mantieni aggiornato il sistema.
Conclusione
Tutto indica che nel tuo scenario i residui in Avvio e in Registro erano innocui e non hanno causato danni nell’ultimo anno. Hai già fatto ciò che serve: scansioni approfondite con Microsoft Defender, rimozione con Autoruns/Regedit, bonifica di cartelle e controllo delle attività pianificate. Con le raccomandazioni finali (PUA Blocking, aggiornamenti regolari, verifica periodica) puoi considerare il problema risolto e prevenire recidive.
Raccomandazioni aggiuntive (riassunto operativo)
- Aggiorna e pianifica Defender (scansione completa mensile, rapida settimanale).
- Controlla l’Utilità di pianificazione e rimuovi attività legate ai vecchi PUP.
- Usa Prestazioni e integrità del dispositivo in Sicurezza di Windows come monitor di salute.
- Facoltativo: esegui una scansione on‑demand con uno strumento affidabile per una seconda opinione.
- Mantieni backup e sistema aggiornati per ridurre l’impatto di eventuali adware futuri.
Verdetto: le voci rimaste erano solo residui; non hanno compromesso la sicurezza. Le tue azioni sono state appropriate e sufficienti.