Desinstalaste Web Companion o Pinaview y, tiempo después, viste entradas grises en Inicio y claves en StartupApproved\Run. Aquí explico qué significa ese estado, por qué en la mayoría de casos son restos inofensivos y cómo dejar Windows totalmente limpio y protegido.
Resumen del caso
Tras desinstalar Web Companion y Pinaview hace aproximadamente un año, aparecieron elementos en la pestaña Inicio del Administrador de tareas con estado Not Measured y opciones atenuadas, además de referencias en el Registro bajo StartupApproved\Run. Esos rastros se eliminaron con Autoruns y se borraron las claves. Microsoft Defender, tanto en análisis completo como sin conexión, no detectó amenazas.
Diagnóstico: lo descrito encaja con entradas huérfanas (persistencia sin ejecutable). Si el binario ya no existe, no se ejecuta nada. Con un año sin alertas y escaneos limpios, el riesgo de daño es bajo. La acción tomada (Autoruns + limpieza de claves) es correcta.
Qué significa el estado Not Measured y por qué se ven opciones en gris
La pestaña Inicio del Administrador de tareas muestra el “impacto de arranque” de cada elemento. El estado Not Measured aparece cuando Windows aún no ha calculado ese impacto o cuando el elemento ya no es evaluable porque el archivo apuntado no existe. Cuando la ruta del ejecutable es inválida, muchas opciones aparecen en gris: no hay nada que habilitar o deshabilitar realmente, solo una referencia a un archivo ausente.
En otras palabras, el sistema registra que alguna vez existió un elemento de inicio, pero al faltar el ejecutable no hay actividad. Por eso, hablamos de “restos” o “huérfanos”.
¿Pudieron causar daño esos restos?
Con los binarios ausentes, esas entradas no pueden ejecutarse. El único riesgo teórico sería que otro archivo malicioso ocupase exactamente la misma ruta en el futuro. Dado que:
- Han pasado muchos meses sin detecciones ni síntomas persistentes.
- Los análisis completo y sin conexión de Microsoft Defender fueron limpios.
- Se eliminaron con Autoruns y se borraron las claves de Registro.
…la probabilidad de que hubiese malware activo es muy baja. No hay indicios de daño continuado ni de persistencia vigente.
¿Está resuelto?
Sí, con alta probabilidad. Para cerrar el caso con máxima tranquilidad, conviene repasar los puntos de persistencia más habituales y realizar dos o tres comprobaciones adicionales. Todo ello se describe abajo, con pasos accionables.
Dónde suele esconderse la persistencia en Windows
Los siguientes lugares concentran la gran mayoría de “arranques automáticos”. Úsalos como lista de verificación cuando sospeches de restos:
| Ubicación | Ruta o herramienta | Qué revisar | Señales de alerta |
|---|---|---|---|
| Claves Run | HKCU/HKLM\Software\Microsoft\Windows\CurrentVersion\Run | Valores que apunten a ejecutables inexistentes o extraños | Rutas con nombres aleatorios, carpetas temporales o AppData inusual |
| StartupApproved | HKCU/HKLM\...\Explorer\StartupApproved\Run | Estados de habilitado/deshabilitado y restos de apps antiguas | Valores de apps ya desinstaladas |
| Carpeta Inicio | shell:startup y shell:common startup | Accesos directos sospechosos | Accesos directos con argumentos extra |
| Tareas programadas | Programador de tareas | Tareas con acciones que apuntan a rutas inválidas | Tareas que se reactivan solas o sin fabricante claro |
| Servicios | services.msc | Servicios deshabilitados o rotos de apps desinstaladas | Fabricante desconocido o asociado a Web Companion/Pinaview/Lavasoft |
| Extensiones del navegador | Configuración del navegador | Add-ons no deseados, cambio de buscador o de página de inicio | Notificaciones tipo “permitir” desde sitios extraños |
| WMI persistente | Visor de eventos y wmic/PowerShell | Filtros/consumidores de eventos permanentes | Scripts que lanzan ejecutables del perfil de usuario |
| Archivo hosts | %SystemRoot%\System32\drivers\etc\hosts | Redirecciones locales no esperadas | Líneas que no sean comentarios y apunten dominios comunes a IPs raras |
Paso a paso para dejarlo totalmente saneado
Revisión con Autoruns
Autoruns es ideal para detectar residuos de persistencia. Guía rápida:
- Ejecuta Autoruns como administrador.
- Activa Hide Microsoft entries para centrarte en terceros.
- Busca entradas relacionadas con Web Companion, Pinaview, Lavasoft, Adaware.
- Fíjate en la columna Image Path: si marca File not found, es un resto huérfano. Desmarca y elimina.
- Guarda un Autoruns.arn como copia por si necesitas revertir.
Limpieza mínima en el Registro
Precaución: exporta siempre la clave antes de borrar. En el Editor del Registro, clic derecho → Exportar. Crea también un punto de restauración.
- Revisa y limpia:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunHKLM\Software\Microsoft\Windows\CurrentVersion\RunHKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run(en sistemas de 64 bits)HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\RunHKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run
- Elimina exclusivamente los valores que apunten a rutas inexistentes o conocidas como basura.
Programador de tareas
Abrir Programador de tareas y revisar:
- Biblioteca del Programador: ordena por Estado, revisa Acciones y Ruta del programa.
- Elimina tareas que apunten a ejecutables que ya no existen o que no reconoces.
- Atiende especialmente tareas creadas por el usuario o sin fabricante claro.
Servicios
En services.msc, ordena por Estado y Inicio. Si ves servicios parados o con tipo Automático pertenecientes a los fabricantes citados, desinstálalos o elimínalos.
Navegadores
Haz una puesta a punto rápida en los principales navegadores:
- Extensiones: desinstala complementos desconocidos o que no uses.
- Buscador predeterminado: restablece a tu motor de confianza.
- Notificaciones: en Configuración > Privacidad y seguridad > Configuración del sitio > Notificaciones, elimina sitios que envían spam.
- Accesos directos del navegador: revisa que el destino no tenga argumentos añadidos (por ejemplo, URLs sospechosas al final de la línea de destino).
Configuración recomendada de Microsoft Defender
Si Defender ya pasó análisis completo y sin conexión sin alertas, es muy buena señal. Refuerza la protección activando la protección contra aplicaciones potencialmente no deseadas (PUA/PUP):
- Abre Seguridad de Windows → Control de aplicaciones y navegador.
- En Configuración basada en reputación, activa Bloquear aplicaciones y Bloquear descargas.
- De forma puntual, puedes ejecutar Microsoft Safety Scanner (MSERT) como segunda opinión.
Comprobaciones rápidas con PowerShell
Los siguientes fragmentos ayudan a detectar restos sin navegar por todo el sistema manualmente. Ejecuta PowerShell como administrador.
Listar claves Run
$runKeys = @(
'HKCU:\Software\Microsoft\Windows\CurrentVersion\Run',
'HKLM:\Software\Microsoft\Windows\CurrentVersion\Run',
'HKLM:\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run'
)
foreach ($rk in $runKeys) {
if (Test-Path $rk) {
Write-Host "`n--- $rk ---"
reg query ($rk -replace ':\\','\') 2> $null
}
}
Revisar StartupApproved
reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run"
reg query "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run"
Comprobar accesos directos con argumentos
$paths = @(
"$env:PUBLIC\Desktop",
"$env:USERPROFILE\Desktop",
"$env:APPDATA\Microsoft\Windows\Start Menu"
)
Get-ChildItem $paths -Filter *.lnk -Recurse -ErrorAction SilentlyContinue | ForEach-Object {
$ws = New-Object -ComObject WScript.Shell
$lnk = $ws.CreateShortcut($_.FullName)
[PSCustomObject]@{ AccesoDirecto=$_.FullName; Destino=$lnk.TargetPath; Argumentos=$lnk.Arguments }
} | Where-Object { $_.Argumentos } | Format-Table -AutoSize
Enumerar tareas programadas visibles
Get-ScheduledTask | ForEach-Object {
$a = $_.Actions
[PSCustomObject]@{
Nombre = $_.TaskName
Ruta = $_.TaskPath
Estado = $_.State
Accion = ($a | ForEach-Object { "$($.Execute) $($.Arguments)" }) -join '; '
}
} | Sort-Object Ruta,Nombre | Format-Table -AutoSize
Servicios con fabricante vacío o poco claro
Get-CimInstance Win32_Service |
Select-Object DisplayName, Name, State, StartMode, PathName |
Sort-Object DisplayName | Format-Table -AutoSize
Ver entradas no comentadas del archivo hosts
Get-Content "$env:SystemRoot\System32\drivers\etc\hosts" |
Where-Object { $ -notmatch '^\s*#' -and $ -match '\S' }
Buenas prácticas para que no vuelva a ocurrir
- Desinstalación limpia: usa el desinstalador del fabricante cuando exista; después revisa Inicio/Programador/Servicios.
- Puntos de restauración: crea uno tras cada limpieza para volver atrás si algo falla.
- Actualizaciones: mantén Windows y navegadores actualizados; reduce vectores de persistencia.
- Descargas: evita instaladores empaquetados; lee las pantallas de instalación y desmarca componentes “recomendados”.
Solución aplicada y por qué fue la correcta
Eliminar las entradas con Autoruns y borrar las claves relacionadas con StartupApproved y Run es exactamente lo que corresponde ante restos huérfanos. Defender sin alertas durante meses, unido a análisis sin conexión limpios, indica que no había un proceso activo oculto. Con las revisiones adicionales sugeridas (tareas, servicios, navegadores, hosts), el caso se considera cerrado salvo que surjan síntomas nuevos.
Optimización si el equipo sigue lento
Si notas lentitud que no parece relacionada con malware:
- Deshabilita elementos de Inicio que no necesites (controladores de impresoras antiguas, lanzadores de apps, etc.).
- Ejecuta Sensor de almacenamiento o el Liberador de espacio en disco.
- Actualiza controladores de gráficos, chipset y almacenamiento.
- Comprueba integridad con:
sfc /scannow DISM /Online /Cleanup-Image /RestoreHealth
Señales de alerta a vigilar
- Redirecciones del navegador o búsquedas que cambian solas.
- Tareas programadas “nuevas” que vuelven tras eliminarlas.
- Procesos desconocidos que reaparecen tras reiniciar.
- Entradas de Inicio que pasan de Not Measured a activas sin intervención.
Preguntas frecuentes
¿Es peligroso borrar StartupApproved?
No es peligroso si eliminas valores específicos asociados a aplicaciones ya desinstaladas. Evita borrar la clave completa. Haz copia antes.
¿Debería usar “limpiadores de registro”?
No. A menudo eliminan de más y pueden generar problemas. Autoruns y una revisión manual dirigida son más seguros y precisos.
¿Qué significa exactamente Not Measured?
Que Windows no ha calculado el impacto de arranque de ese elemento (por ejemplo, porque la ruta no existe o es reciente). No implica por sí mismo que sea malicioso.
¿Puede un resto “activarse” solo?
Por sí mismo, no. Para que se ejecute hace falta un binario real en la ruta indicada. El riesgo es que otro archivo futuro ocupe esa ruta, de ahí la conveniencia de eliminar el resto.
Checklist final
| Tarea | Estado deseado | Cómo verificar |
|---|---|---|
| Entradas en Run | Sin referencias a Web Companion/Pinaview | Editor del Registro o comandos de PowerShell |
| StartupApproved | Sin valores de apps desinstaladas | Editor del Registro |
| Tareas programadas | Sin tareas huérfanas ni rutas inválidas | Programador de tareas |
| Servicios | Sin servicios de Lavasoft/Adaware/Pinaview | services.msc |
| Navegadores | Extensiones confiables y buscador correcto | Configuración del navegador |
| Archivo hosts | Sin líneas sospechosas | Visor o PowerShell |
| Defender PUA | Bloqueo de apps y descargas activado | Seguridad de Windows |
| Punto de restauración | Creado tras la limpieza | Protección del sistema |
Conclusión
Lo que viste tras desinstalar Web Companion y Pinaview coincide con restos inactivos. El estado Not Measured y las opciones en gris apuntan a entradas de Inicio sin ejecutable. Con los análisis de Microsoft Defender limpios y la eliminación de esas entradas con Autoruns y del Registro, puedes dar el caso por resuelto. Si completas la lista de verificación anterior y mantienes activada la protección contra aplicaciones potencialmente no deseadas, reducirás al mínimo la posibilidad de recurrencias. Solo actúa si aparecen nuevos indicios como redirecciones, tareas que se regeneran o procesos desconocidos persistentes.