Após remover PUPs/adware como Web Companion e Pinaview, é comum restarem “fantasmas” no arranque/inicialização e no Registo/Registro. Este guia explica por que essas entradas órfãs surgem, como confirmar que não estão ativas e como fazer um check rápido para ficar 100% tranquilo.
Visão geral do caso e a resposta direta
Você removeu Web Companion e Pinaview há cerca de um ano e, recentemente, viu no Gestor/Gerenciador de Tarefas duas entradas de arranque chamadas “Pinaview” e “Program”, ambas desativadas e com o rótulo “Not measured”. Apagou-as com o Autoruns e limpou referências em ...Explorer\StartupApproved\Run. Fez análises completa e offline com o Microsoft Defender e nada foi encontrado.
Conclusão curta: tudo indica que eram entradas órfãs — referências sem ficheiro executável associado. O ramo StartupApproved\Run não executa programas; ele apenas guarda o estado (permitido/desativado/medido) que o Gestor/Gerenciador de Tarefas usa para compor a lista. O rótulo “Not measured” normalmente aparece quando o item não foi executado recentemente (ou nunca), por isso não há dados de impacto. Se os ficheiros-alvo não existem e o Defender está limpo, não estavam ativos nem causaram danos. O que você já fez (remover no Autoruns + limpar o Registo) foi o caminho certo.
Por que o ramo StartupApproved não inicia nada
Muita gente confunde o ramo StartupApproved com os locais efetivos de arranque. Na realidade, ele é um “registo de estado” que o Windows usa para sincronizar o que aparece no separador Arranque/Inicializar do Gestor/Gerenciador de Tarefas e em Definições > Aplicações > Arranque (Windows 10/11). Veja o resumo:
| Local/Chave | O que faz | Observações |
|---|---|---|
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run e equivalentes em HKLM | Regista o estado (ativado/desativado/medido) de itens de arranque do utilizador (HKCU) e do sistema (HKLM). | Não contém o comando que arranca o programa; guarda apenas flags/bytes de estado. |
HKCU\Software\Microsoft\Windows\CurrentVersion\Run e HKLM\...\Run (+ Wow6432Node) | Executa aplicações no logon. | Estes são os locais que realmente lançam processos. |
| Pastas Startup/Inicializar do Menu Iniciar (utilizador e todos os utilizadores) | Executa atalhos no logon. | Paths: %AppData%\...\Startup e %ProgramData%\...\Startup. |
| Agendador de Tarefas (Task Scheduler) | Executa programas incluindo em logon, ao arrancar, por gatilhos ou horários. | Fonte muito comum de persistência e também de entradas órfãs. |
O que significa “Not measured”
O Startup impact do Gestor/Gerenciador de Tarefas mostra “Alto/Médio/Baixo/Desconhecido/Não medido”. Quando surge “Not measured” (Não medido):
- O item está desativado, foi recém-adicionado ou não arrancou nas últimas medições de logon.
- Sem execução, não há como o Windows atribuir impacto; daí o rótulo.
- Itens com alvo inexistente (ficheiro removido) ficam “não medidos” para sempre.
Por que aparece um item chamado “Program”
Um item genérico “Program” no arranque costuma surgir quando algum software gravou o comando de inicialização sem aspas e com um caminho que contém espaços. Por exemplo, em vez de:
"C:\Program Files\Aplicação\app.exe" /paramfoi gravado:
C:\Program Files\Aplicação\app.exe /paramNesta situação, o Windows tenta interpretar “C:\Program…” e o Gestor de Tarefas mostra “Program” como nome do item. Se o executável real já não existe, isso vira exatamente um resto órfão.
O que você já fez e por que foi suficiente
- Autoruns (Sysinternals) para remover as entradas: ótimo, porque o Autoruns mostra todas as superfícies de persistência, não apenas
Run. - Limpeza de
StartupApproved: corrige a discrepância visual no Gestor de Tarefas e evita reaparição das “linhas fantasmas”. - Microsoft Defender com análise completa e offline: se ambas passaram limpas, é um forte indicador de que o sistema está saudável.
Com isso, é extremamente improvável que aqueles restos tenham causado qualquer dano. Na pior hipótese, estavam a “poluir” a lista de arranque com referências vazias.
Checklist rápido para validar que ficou tudo limpo
Siga os passos abaixo para uma verificação objetiva. Eles são curtos e seguros:
Arranques que de facto executam
- Confirme que não há entradas suspeitas nos seguintes locais:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunHKLM\Software\Microsoft\Windows\CurrentVersion\RunHKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run
- Pastas de inicialização:
%AppData%\Microsoft\Windows\Start Menu\Programs\Startup(utilizador)%ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup(todos)
Agendador de Tarefas
- Abrir Task Scheduler > Task Scheduler Library.
- Ordene por Next Run Time ou por Author e procure nomes estranhos, caminhos que apontem para ficheiros inexistentes e referências a “Web Companion”, “Pinaview” ou “Program”.
- Se o caminho do Action não existir, apague a tarefa (é um resto).
Serviços
- Abra
services.msc. - Ordene por Manufacturer/Nome do serviço e revise entradas com editor desconhecido, descrição vazia ou Path to executable para ficheiros que não existem.
- Para restos, defina Startup type = Disabled e remova se tiver certeza.
Navegadores
- Remova extensões que não reconhece.
- Restaure a página inicial e o motor de pesquisa.
- Se notar redirecionamentos, faça Restaurar definições no browser.
Rede e ficheiro hosts
- Definições > Rede e Internet > Proxy: deve estar desativado, salvo uso corporativo.
- Abra
C:\Windows\System32\drivers\etc\hostscom o Bloco de Notas. Em PCs domésticos, normalmente contém apenas:127.0.0.1 localhost ::1 localhost
Proteção e atualizações
- Mantenha o Windows Update em dia.
- Segurança do Windows > Proteção contra adulteração ativada.
- SmartScreen e Bloqueio de PUA/PUP ativados.
- Opcional: faça uma varredura on‑demand com uma segunda opinião (por ex., ferramenta dedicada de remoção de adware) e desinstale se não quiser residente.
Tabela de referência rápida
| Sinal | Como confirmar | Ação recomendada |
|---|---|---|
| Entrada “Not measured” desativada | Verifique se o executável alvo existe | Se o ficheiro não existir, remova do Autoruns e limpe StartupApproved |
| Item chamado “Program” | Procure valor Run sem aspas | Apague a entrada órfã; se precisar, recrie com o caminho entre aspas |
| Defender limpo | Analise completa + offline sem deteções | Sem evidências de atividade; apenas higienize restos |
| Redirecionamentos no browser | Testes em modo privado sem extensões | Remover extensões, reset do browser, rever hosts e proxy |
Como executar um check técnico avançado em minutos
Se quiser ir além, estes comandos ajudam a validar a integridade do sistema e a corrigir pequenos estragos típicos de adware:
Verificação e reparo de ficheiros do sistema
sfc /scannow
DISM /Online /Cleanup-Image /RestoreHealthExecute num Prompt de Comando (Administrador), nessa ordem. O SFC corrige bibliotecas alteradas; o DISM repara a imagem de componentes.
Análise offline do Microsoft Defender por linha de comando
PowerShell (Admin):
Start-MpWDOScanO PC vai reiniciar para um ambiente offline seguro e realizar uma varredura profunda. Ideal para tranquilidade total após a limpeza.
Desempenho: por que restos órfãos raramente deixam o PC lento
Entradas órfãs não executam código; por isso, não consomem CPU/RAM. Se notou lentidão no Surface/PC, foque em:
- Arranques necessários: deixe apenas o essencial em Gestor de Tarefas > Arranque.
- Apps em segundo plano: Definições > Aplicações > Arranque e Aplicações > Aplicações em segundo plano.
- Armazenamento: ative o Sensor de Armazenamento (Storage Sense).
- SSD: confirme o Otimizar Unidades (TRIM agendado).
- Drivers e BIOS/UEFI: atualizados conforme o fabricante.
Verificações úteis em Serviços e Tarefas
Alguns adware criam tarefas que só correm de tempos em tempos. Para encerrar o ciclo:
- No Agendador, filtre por Task Status e por Last Run Result. Se for
0x1ou0x2com Action a apontar para um ficheiro inexistente, é “sucata”: apague. - Em services.msc, serviços com Path vazio, ImagePath para ficheiros que não existem, ou Manufacturer desconhecido, são candidatas a remoção (após backup do registo).
Higiene do browser para selar a limpeza
- Remova extensões que não reconhece em todos os navegadores instalados.
- Restaure configurações: página inicial, motor de pesquisa, permissões.
- Limpe dados de navegação (cookies e cache) se houver redirecionamentos.
- Para perfis sincronizados, verifique a conta associada (um perfil “contaminado” pode reintroduzir extensões).
Dicas de segurança para evitar reincidência
| Recurso | Onde ativar | Benefício |
|---|---|---|
| Bloqueio de PUA/PUP | Segurança do Windows > Controlo de apps e browser | Bloqueia instaladores e adware potencialmente indesejados |
| SmartScreen | Mesmo painel acima | Avisa sobre sites e apps suspeitos |
| Proteção contra adulteração | Segurança do Windows > Proteção contra vírus e ameaças | Evita que malware desative o Defender |
FAQ essencial
Restos no StartupApproved podem causar dano?
Não. Sozinhos, não executam nada. São apenas “metadados” para o Gestor de Tarefas.
O Defender limpo é confiável?
Sim, especialmente quando a análise completa e a offline retornam limpas. Se quiser redundância, faça um segundo parecer sob demanda.
Por que o item reaparece às vezes?
Porque alguma tarefa agendada, serviço ou instalador atualizador regrava a entrada. Remova a fonte (tarefa/serviço) para acabar com o ciclo.
Se eu apagar de Run, preciso apagar de StartupApproved?
Não é obrigatório, mas limpa a visualização no Gestor de Tarefas e evita confusão.
Script de verificação em PowerShell
Este script não altera nada; ele apenas lista itens de arranque e tarefas cujo binário alvo não existe (prováveis órfãos). Execute em PowerShell (Administrador):
# Listar Run (utilizador e sistema) com alvos inexistentes
$runPaths = @(
'HKCU:\Software\Microsoft\Windows\CurrentVersion\Run',
'HKLM:\Software\Microsoft\Windows\CurrentVersion\Run',
'HKLM:\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run'
)
foreach ($rp in $runPaths) {
if (Test-Path $rp) {
Get-ItemProperty $rp | ForEach-Object {
$.PSObject.Properties | Where-Object { $.MemberType -eq 'NoteProperty' } | ForEach-Object {
$name = $_.Name
$cmd = $_.Value
# Extrair caminho inicial entre aspas, ou até ao primeiro espaço
if ($cmd -match '^\s"(.?)"') { $exe = $matches[1] }
else { $exe = ($cmd -split '\s+')[0] }
if ($exe -and -not (Test-Path $exe)) {
[PSCustomObject]@{Tipo='Run'; Chave=$rp; Nome=$name; Comando=$cmd; Observacao='Alvo inexistente'}
}
}
}
}
}
Listar Tarefas agendadas com ação cujo ficheiro não existe
\$tasks = Get-ScheduledTask -ErrorAction SilentlyContinue
foreach (\$t in \$tasks) {
\$def = \$t | Get-ScheduledTaskInfo -ErrorAction SilentlyContinue | Out-Null
\$actions = (Get-ScheduledTask \$t.TaskName -TaskPath \$t.TaskPath).Actions
foreach (\$a in \$actions) {
if (\$a.Execute -and -not (Test-Path \$a.Execute)) {
\[PSCustomObject]@{Tipo='Tarefa'; Caminho=("\$(\$t.TaskPath)\$(\$t.TaskName)"); Acao=\$a.Execute; Argumentos=\$a.Arguments; Observacao='Alvo inexistente'}
}
}
}Se o relatório listar algo, é forte candidato a remoção segura.
Boas práticas ao editar o Registo/Registro
- Antes de apagar, exporte a chave (clicar com o botão direito > Exportar) para reverter se necessário.
- Toque apenas nos locais listados e nos itens relacionados aos nomes que reconhece.
- Se tiver dúvidas, desative primeiro (no Autoruns) e observe o comportamento por alguns dias.
Quando procurar ajuda especializada
- Se as entradas reaparecem após reinícios.
- Se o Defender ou outro antivírus desativa sozinho.
- Se há picos de tráfego inexplicáveis, processos desconhecidos ou encriptação de ficheiros.
Checklist final de serenidade
- Entradas “Pinaview/Program” removidas no Autoruns ➜ OK.
StartupApproved\Runlimpo ➜ OK.- Defender (completa + offline) limpo ➜ OK.
- Sem tarefas/serviços órfãos ➜ OK.
- Navegadores limpos e sem proxy/hosts manipulados ➜ OK.
Em resumo
Com as entradas de arranque removidas, o Registo/Registro limpo e o Microsoft Defender sem deteções, os vestígios de Web Companion/Pinaview eram inofensivos e não estavam ativos. Faça o checklist acima apenas para confirmar e foque na otimização de desempenho do Windows.
Bónus: melhorias rápidas de desempenho
- Desative o que não precisa em Gestor de Tarefas > Arranque e Definições > Aplicações > Arranque.
- Revise programas que iniciam com a sessão mas não são essenciais (cloud sync duplicado, updaters de terceiros, etc.).
- Limpe temporários: Definições > Sistema > Armazenamento > Sensor de Armazenamento.
- Atualize drivers gráficos e de chipset; confirme que o plano de energia não está em modo super econômico.
Resposta em uma frase: Com as entradas órfãs removidas e o Defender limpo, não há indícios de atividade maliciosa nem de dano; confirme com o checklist e siga com a otimização de desempenho.