Pagina 1 di 1
Trojan o falso positivo?
Inviato: lun gen 20, 2025 11:53 am
da giuanin
Ciao,
una scansione effettuata con Malwarebytes ha riportato l'infezione di seguito riportata.
Scansioni effettuate invece con adw cleaner e microsoft defender non riscontrano nulla.
Intanto, ho messo in quarantena quanto rilevato da Malwarebytes.
Sul pc è installato windows 10 home.
Vi chiedo, cortesemente, secondo voi è un'infezione reale?
Chiave di registro: 3
Trojan.Tasker.TP, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\Google_Maintenance_Worker, Nessuna azione intrapresa, 7310, 1273521, , , , , ,
Trojan.Tasker.TP, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{15EA3331-3F38-46A8-B776-58CBBDA46925}, Nessuna azione intrapresa, 7310, 1273521, , , , , ,
Trojan.Tasker.TP, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\LOGON\{15EA3331-3F38-46A8-B776-58CBBDA46925}, Nessuna azione intrapresa, 7310, 1273521, , , , , ,
File: 1
Trojan.Tasker.TP, C:\WINDOWS\SYSTEM32\TASKS\Google_Maintenance_Worker, Nessuna azione intrapresa, 7310, 1273521, 1.0.94720, , ame, , 2568F2FE0861FC3085874534E3FEC76E, C04AE30A764B47530F146A2ACAF796C00142B6F3CC3D02C4543AA37A90F3EDAA
Re: Trojan o falso positivo?
Inviato: lun gen 20, 2025 12:28 pm
da CUB3
Difficile dirlo da queste poche righe...
Nel dubbio, fossi in te, lo tratterei come un infezione seguendo l'ottima guida preparata da crazy.cat.
Re: Trojan o falso positivo?
Inviato: lun gen 20, 2025 1:05 pm
da Zigul
Il task (azione pianificata) "Google_Maintenance_Worker" può essere associato anche (non è detto che lo sia) a malware che consentono un accesso remoto al dispositivo (RAT), come illustrato in questo approfondito articolo, in cui viene citato appunto anche "Google_Maintenance_Worker" (sono suggerite alcune azioni di verifica, al paragrafo "Detection Opportunities"). Nel dubbio, conviene lasciare i file coinvolti in quarantena e magari fare una scansione anche con altri scanner di "seconda opinione", tipo quelli resi disponibili (vado a memoria) da Emsisoft, Eset e Norton (non mi riferisco ai loro antivirus, ma ai loro strumenti di scansione di sistema).
Re: Trojan o falso positivo?
Inviato: lun gen 20, 2025 4:21 pm
da giuanin
Grazie per le pronte risposte.
proverò a rimediare gli strumenti di scansioni menzionati.
Re: Trojan o falso positivo?
Inviato: lun gen 20, 2025 4:55 pm
da Zigul
Se vuoi eseguire un ulteriore controllo potresti anche, se non lo hai già fatto, caricare il file "C:\WINDOWS\SYSTEM32\TASKS\Google_Maintenance_Worker" su VirusTotal (se non puoi caricarlo perché è già in quarantena, prova a calcolarne l'hash e cerca quello su VirusTotal). Allo stesso file corrisponde un'attività pianificata che puoi controllare cercando "Task Scheduler" ("Gestione attività" in italiano, se non sbaglio) nella barra di ricerca di Windows; cliccando due volte sulla riga della attività, potrai poi dare un'occhiata ai suoi dettagli per vedere se c'è qualcosa di losco (l'ultima volta che è stato eseguito, quando è pianificata l'esecuzione, programmi e privilegi, etc.). Lo stesso potresti fare, cercando "regedit", con le chiavi di registro indicate nel report di Malwarebytes; considera che visualizzare le chiavi di registro e le attività pianificate non innesca processi né esegue file, non ci sono rischi elevati.
Re: Trojan o falso positivo?
Inviato: lun gen 20, 2025 5:31 pm
da giuanin
Grazie Zigul, ma quelle che mi indichi sono procedure troppo avanzate per le mie conoscenze 
Re: Trojan o falso positivo?
Inviato: lun gen 20, 2025 6:43 pm
da giuanin
una domanda ancora:
è possibile che il trojan si sia installato di seguito all'apertura di una fattura che ho aperto da email pec?
In realtà, mi sono reso conto solo dopo l'apertura della fattura che il mittente era a me sconosciuto 
Re: Trojan o falso positivo?
Inviato: lun gen 20, 2025 8:01 pm
da Zigul
Non è da escludere: se la fattura era un PDF ed è stata aperta con un browser che aveva JavaScript abilitato; oppure se era un documento Office e le macro (una funzionalità di Office che esegue codice) non erano state disabilitate; sicuramente possono esserci anche altri casi. Solitamente gli allegati vengano scansionati in automatico nelle mail aperte facendo accesso nel sito web del servizio, ma potrebbero essere state applicate tecniche di offuscamento o occultamento (la più banale è inviare un archivio compresso protetto da password) che hanno consentito all'eventuale trojan di farla franca lo stesso.
Qui trovi Norton, qui Emsisoft e qui Eset (cliccare su Scansione One-time); c'è anche Hitman pro, qui, ma serve soprattutto per la diagnosi, mi sembra di ricordare che la versione gratuita non preveda anche la rimozione del malware (ma intanto potrebbe confermare o meno la presenza del trojan).
Se hai un punto di ripristino (del sistema operativo) precedente all'apertura della mail e i dati importanti hanno il loro backup altrove, forse ti conviene usarlo; per poi fare comunque un'altra scansione con Malwarebytes (o uno di quelli sopra) e vedere se ci sono ancora tracce residue.
Se, anche in futuro, vuoi scansionare file sospetti prima di aprirli, questo è il link per VirusTotal; carichi il file e al resto pensa lui.
Re: Trojan o falso positivo?
Inviato: mar gen 21, 2025 10:04 am
da giuanin
prima di ogni altra, ci tengo a ringraziare per la grande quantità di info e procedure che mi avete messo a disposizione 
Dunque, problema risolto 
.
Ho ripristinato una copia dell'immagine eseguita con Macrium Reflect, creata circa 20 gg fa.
Tenendo i dati sempre su unità esterne, anche sotto l'aspetto più rilevante mi sono salvato.
Al termine del ripristino, ho effettuato una scansione con Malwarebytes che, in questo caso, non ha individuato nessuna infezione.
Grazie ancora ragazzi