Hai rimosso Web Companion e Pinaview tempo fa ma vedi ancora “Pinaview” o “Program” tra le app di avvio e qualche chiave in Registro? In questo articolo spieghiamo perché sono residui innocui, come verificarlo con certezza e come pulire in modo definitivo Avvio, Registro e attività pianificate.

Contesto e domanda dell’utente

Circa un anno fa l’utente ha installato involontariamente due PUP/adware (Web Companion e Pinaview). Dopo la rimozione con Microsoft Defender e il controllo di processi con Process Hacker, nessun allarme è più emerso. Recentemente, però, sono riapparse due voci di avvio: “Pinaview” e una enigmatica “Program” con percorso che conteneva riferimenti a Web Companion. In Registro erano presenti chiavi in HKCU\...\StartupApproved\Run. L’utente ha eliminato tutto con Autoruns e Regedit ed eseguito nuove scansioni offline e complete con Defender (tutte negative). La domanda è: questi residui hanno potuto danneggiare il PC nell’ultimo anno?

Risposta breve

No: quelle voci erano orfane (collegamenti a file inesistenti). In assenza del binario, non si avvia nulla né vengono consumate risorse. Le scansioni successive di Microsoft Defender senza rilevamenti indicano l’assenza di minacce attive. Web Companion e Pinaview sono adware fastidiosi (browser hijacking, modifiche ai provider di ricerca), ma non risultano progettati per alterare file di sistema o firmware né per lasciare backdoor persistenti. Con la pulizia effettuata (Autoruns, Regedit) hai completato il lavoro in modo corretto.

Perché rimangono “residui” dopo la disinstallazione

Molti PUP/adware registrano voci di avvio e chiavi di configurazione in posizioni standard di Windows. La disinstallazione spesso rimuove i file ma dimentica stringhe di avvio o “segnalibri” usati da Gestione attività per memorizzare lo stato. Ecco i punti tipici in cui rimangono tracce:

Elemento	Percorso/Chiave	Significato
Avvio utente (per l’account corrente)	HKCU\Software\Microsoft\Windows\CurrentVersion\Run	Avvia il programma all’accesso dell’utente.
Avvio macchina (tutti gli utenti)	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\WOW6432Node\...\Run	Avvio all’accesso, anche per app a 32 bit.
Stato abilitazione in Avvio	HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run	Windows memorizza se una voce è abilitata/disabilitata. La presenza non implica che esista ancora il file.
Cartelle residue	%ProgramFiles%, %ProgramFiles(x86)%, %ProgramData%, %AppData%	Contengono configurazioni/log; talvolta non vengono pulite dall’uninstaller.
Attività pianificate	Utilità di pianificazione (Task Scheduler)	Alcuni adware si avviano con un’attività pianificata; se il file manca, l’attività fallisce.

Come interpretare “Not measured” e le voci disabilitate

Nel tab Avvio di Gestione attività, “Non misurato” (Not measured) significa che Windows non ha dati sufficienti per stimare l’impatto all’avvio. Questo succede quando:

• la voce è stata aggiunta da poco e non si è mai avviata;
• la voce è disabilitata da tempo;
• il collegamento punta a un file inesistente (voce orfana).

Se il binario non esiste, la voce non può eseguirsi; non consuma CPU, RAM o rete. È solo un “cartello stradale” che punta nel vuoto.

La voce “Program” in Avvio: perché appare

Una voce “Program” senza editore noto di solito è il risultato di un percorso senza virgolette lasciato da un uninstaller distratto. Esempio: se in Registro era registrato

C:\Program Files\Lavasoft\Web Companion\WebCompanion.exe

senza virgolette, Windows può interpretare erroneamente “C:\Program” come eseguibile e crea (o mostra) una voce di nome “Program”. Poiché “C:\Program” non esiste, l’avvio fallisce in silenzio. È un residuo inattivo e innocuo.

Assenza di minacce attive: perché le scansioni negative contano

Hai eseguito più scansioni complete e una scansione offline con Microsoft Defender: l’esito negativo è un indicatore forte che non ci sono minacce in esecuzione. Web Companion e Pinaview rientrano nella categoria PUP/adware: modificano browser e impostazioni, ma non installano driver rootkit né firmware loader. Dopo la rimozione dei binari e dei punti di avvio, non hanno meccanismi per riattivarsi.

Pulizia definitiva passo‑passo

Se vuoi chiudere il capitolo una volta per tutte, segui la procedura guidata. È semplice e prudente.

Preparazione (sicurezza prima di tutto)

1. Crea un punto di ripristino: premi Win+R, digita sysdm.cpl → Protezione sistema → Crea….
2. Aggiorna Defender: Impostazioni → Aggiornamento e sicurezza → Sicurezza di Windows → aggiorna definizioni e avvia una scansione completa.
3. Abilita il blocco PUA: Sicurezza di Windows → Controllo app e browser → Impostazioni protezione basata sulla reputazione → App potenzialmente indesiderate su Blocca.

Rimuovi le voci di avvio con Autoruns

1. Avvia Autoruns come amministratore.
2. Apri la scheda Logon.
3. Attiva Options → Hide Microsoft Entries e Hide Windows Entries per ridurre il rumore.
4. Cerca voci contenenti “Web Companion”, “Lavasoft”, “Adaware”, “Pinaview” o la voce “Program”.
5. Se la colonna Image Path punta a un file inesistente (evidenziato in giallo), despinna o elimina la voce.

Pulisci le chiavi Run/RunOnce in Registro

Attenzione: modifica solo ciò che riconosci. Se hai dubbi, esporta prima la chiave (File → Esporta).

1. Apri Regedit (Win+R → regedit).
2. Controlla e, se necessario, elimina valori sospetti in:
   • HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run
   • HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce (e i corrispettivi HKLM)
3. Se trovi riferimenti a Web Companion, Pinaview o voci “Program” prive di virgolette, elimina quel valore (non l’intera chiave).
4. Le chiavi StartupApproved\Run contengono lo stato (abilitato/disabilitato) in forma binaria. La loro presenza non avvia programmi. Puoi lasciarle o rimuovere solo le voci correlate: non cambia il risultato pratico.

Elimina cartelle residue

Controlla ed eventualmente rimuovi le seguenti cartelle, se presenti:

• %ProgramFiles%\Lavasoft\Web Companion o %ProgramFiles(x86)%\Lavasoft\Web Companion
• %ProgramData%\Lavasoft / %ProgramData%\Adaware
• %AppData%\Local\Pinaview o nomi simili

Se Windows impedisce l’eliminazione perché “in uso”, riavvia e riprova; in caso persistente, elimina in Modalità provvisoria.

Verifica e pulisci le attività pianificate

1. Apri Utilità di pianificazione → Libreria Utilità di pianificazione.
2. Cerca attività con nomi/percorsi che includano “Web Companion”, “Lavasoft”, “Adaware”, “Pinaview”.
3. Se un’attività punta a un file che non esiste, eliminala.

Ripristina il browser (per annullare hijacking vecchi)

• Chrome/Edge: Impostazioni → Ripristina e pulisci → Ripristina le impostazioni predefinite. Controlla Motore di ricerca e Estensioni rimuovendo quelle non riconosciute.
• Firefox: digita about:support → Aggiorna Firefox. Disinstalla componenti aggiuntivi sospetti.

Opzioni di sanità del sistema (facoltative ma utili)

Esegui un controllo integrità dei file di sistema e dell’immagine di Windows:

sfc /scannow
DISM /Online /Cleanup-Image /RestoreHealth

Ripulisci rete e DNS se il browser era stato dirottato:

ipconfig /flushdns
netsh winsock reset

Checklist di verifica rapida

Cosa	Come	Esito atteso
Voci di avvio	Gestione attività → Avvio	Nessuna voce “Pinaview”/“Program” o comunque disabilitate e senza file.
Registro Run	Regedit (chiavi HKCU/HKLM …\Run)	Nessun valore che punti a Web Companion/Pinaview.
StartupApproved	Regedit (…\Explorer\StartupApproved\Run)	Assenza delle voci correlate (o irrilevanti se presenti).
Cartelle residue	Esplora file in Program Files, ProgramData, AppData	Cartelle Lavasoft/Adaware/Pinaview eliminate.
Attività pianificate	Task Scheduler	Nessuna attività con riferimenti ai PUP.
Scansioni	Microsoft Defender (completa + offline)	Nessun rilevamento.

Strumenti e comandi utili (per utenti medi e avanzati)

PowerShell: elenco avvio reale

Elenca ciò che Windows prova davvero ad avviare:

Get-CimInstance Win32_StartupCommand | Select-Object Name, Command, Location | Format-Table -Auto

Controlla i percorsi: se il file non esiste, è una voce orfana.

PowerShell: controlla le chiavi Run

$runKeys = @(
  'HKCU:\Software\Microsoft\Windows\CurrentVersion\Run',
  'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run',
  'HKLM:\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run'
)
foreach ($k in $runKeys) {
  if (Test-Path $k) {
    Get-ItemProperty $k | Select-Object PSPath, * | Format-List
  }
}

Ricerca rapida nel Registro per parole chiave

(Può richiedere tempo; fermati ai risultati pertinenti.)

reg query HKCU /f "Web Companion" /s
reg query HKLM /f "Web Companion" /s
reg query HKCU /f "Pinaview" /s
reg query HKLM /f "Pinaview" /s

Attività pianificate: trova riferimenti sospetti

schtasks /query /fo LIST /v | findstr /i "web companion pinaview lavasoft adaware"

Script PowerShell opzionale di pulizia mirata

Usalo solo se sai cosa stai facendo. Esegue un backup .reg dei valori rimossi.

$patterns = 'web\s*companion','lavasoft','adaware','pinaview'
$keys = @(
 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Run',
 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run',
 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run'
)
$backup = "$env:USERPROFILE\Desktop\backuprun$(Get-Date -Format yyyyMMdd_HHmmss).reg"
New-Item -Path $backup -ItemType File -Force | Out-Null
foreach ($k in $keys) {
  if (-not (Test-Path $k)) { continue }
  $props = (Get-ItemProperty $k).PSObject.Properties | Where-Object { $_.Name -notlike 'PS*' }
  foreach ($p in $props) {
    $val = [string]$p.Value
    if ($patterns | ForEach-Object { $val -match $ } | Where-Object { $ } ) {
      reg export ($k -replace ':','') $backup /y | Out-Null
      Remove-ItemProperty -Path $k -Name $p.Name -Force
      Write-Host "Rimosso $($p.Name) da $k"
    }
  }
}
Write-Host "Backup dei valori rimossi: $backup"

Quando preoccuparsi davvero (segnali che richiedono azione)

• Ricomparsa di voci di avvio dopo la rimozione, con file presenti sul disco.
• Modifica spontanea della pagina iniziale o del motore di ricerca dopo il ripristino del browser.
• Traffico di rete anomalo e persistente, CPU o disco elevati all’accesso.
• Certificati o impostazioni proxy installati senza consenso.

In questi casi, oltre a Defender, valuta una doppia opinione con uno strumento on‑demand (es. Malwarebytes o ESET Online Scanner) ed esegui nuovamente la scansione offline.

Perché i residui non hanno danneggiato il PC

Riassumendo i motivi tecnici:

• Le voci di avvio non eseguono nulla se il binario è assente; Windows prova a lanciarle, fallisce istantaneamente e passa oltre.
• Le chiavi StartupApproved\Run sono metadati (stato abilitato/disabilitato, timestamp), non punti di esecuzione.
• Gli adware citati non sono noti per corrompere componenti di sistema a basso livello.
• Le scansioni negative (inclusa quella offline) riducono drasticamente la probabilità di una minaccia attiva.

Conclusione: i residui erano cosmetici e inattivi; non hanno minato performance o sicurezza nel periodo in cui sono rimasti in Registro o nella schermata di Avvio.

Prevenzione: buone pratiche per il futuro

1. Protezione PUA attiva in Sicurezza di Windows (blocca installer indesiderati).
2. Aggiornamenti regolari di Windows e delle app.
3. Browser “pulito”: estensioni solo da fonti ufficiali; rimuovi quelle non indispensabili.
4. Backup periodici su unità esterna o cloud (immagine di sistema + dati).
5. Controllo attività pianificate ogni tanto, specie dopo aver disinstallato software aggressivo.
6. SmartScreen sempre attivo e non disattivare gli avvisi dell’antivirus durante installazioni.

FAQ (domande frequenti)

Le chiavi in StartupApproved sono pericolose?
No. Memorizzano lo stato di una voce di avvio. Puoi ignorarle o rimuovere solo quelle relative a software ormai disinstallato.

La voce “Program” può essere un virus camuffato?
Generalmente no: è un effetto collaterale di un percorso senza virgolette. Verifica sempre il percorso reale: se non esiste alcun “C:\Program”, è solo un errore formale.

È sufficiente Microsoft Defender?
Sì, se aggiornato e configurato correttamente (con PUA Blocking). Una second opinion on‑demand è utile ma non obbligatoria quando le scansioni sono pulite.

Posso cancellare tutto in StartupApproved per “fare pulizia”?
Non è necessario e non porta benefici. Se vuoi azzerare solo lo storico di vecchie voci, rimuovi le chiavi mirate; evita modifiche massive al Registro.

Perché Gestione attività mostra “Non misurato” anche su app legittime?
Perché Windows non ha ancora raccolto dati sufficienti o l’app non si è mai avviata all’accesso dalla sua aggiunta.

Template di risposta rapida per casi simili

Se ti capita di aiutare qualcuno con un caso analogo, puoi riassumere così:

Le voci di avvio “Pinaview/Program” che rimangono dopo la rimozione di Web Companion sono orfane: non eseguono nulla. Le chiavi in StartupApproved\Run sono solo lo stato di abilitazione. Se Defender (completo + offline) non rileva minacce, il sistema non è compromesso. Elimina le voci con Autoruns, rimuovi i valori in ...Run, cancella le cartelle residue e controlla le attività pianificate. Attiva il blocco PUA e mantieni aggiornato il sistema.

Conclusione

Tutto indica che nel tuo scenario i residui in Avvio e in Registro erano innocui e non hanno causato danni nell’ultimo anno. Hai già fatto ciò che serve: scansioni approfondite con Microsoft Defender, rimozione con Autoruns/Regedit, bonifica di cartelle e controllo delle attività pianificate. Con le raccomandazioni finali (PUA Blocking, aggiornamenti regolari, verifica periodica) puoi considerare il problema risolto e prevenire recidive.

---

Raccomandazioni aggiuntive (riassunto operativo)

1. Aggiorna e pianifica Defender (scansione completa mensile, rapida settimanale).
2. Controlla l’Utilità di pianificazione e rimuovi attività legate ai vecchi PUP.
3. Usa Prestazioni e integrità del dispositivo in Sicurezza di Windows come monitor di salute.
4. Facoltativo: esegui una scansione on‑demand con uno strumento affidabile per una seconda opinione.
5. Mantieni backup e sistema aggiornati per ridurre l’impatto di eventuali adware futuri.

Verdetto: le voci rimaste erano solo residui; non hanno compromesso la sicurezza. Le tue azioni sono state appropriate e sufficienti.