Estrarre le operazioni pianificate per trovare quelle sospette o inutili (aggiornato: giugno 2026)

Da qualche giorno notavo uno strano aumento dell'attività della ventola del mio computer, non giustificata né dal caldo o da operazioni particolarmente pesanti nel sistema operativo. Mentre provavo uno script per la rilevazione delle operazioni pianificate, o task, ne vedo due particolarmente strane, di cui una RemoveAI-UpdateCleanupChecker che rimaneva sempre attiva.

Andando poi a vedere meglio i dettagli dei due task sospetti, li riesco ad associare a un programma che avevo provato in precedenza, mentre quelli relativi a OneDrive si erano creati quando ho usato l'account "Pippo" per fare delle prove. Li posso quindi selezionare tutti e cancellare senza grossi problemi.

L'attività della ventola è tornata normale dopo il riavvio del computer.

Ricordo che i file che avviano le operazioni pianificate si trovano nella cartella C:\Windows\System32\Tasks e nelle varie sotto cartelle presenti.

Risolto il problema della mia ventola, ho voluto approfondire, e cercare di migliorare, sempre con l'aiuto di ChatGPT e Grok, lo script PowerShell che stavo provando.

Il report finale rileva: Il nome dell'operazione pianificata, la cartella dove si trova il task, da quale utente è stato avviato, il percorso e il programma con eventuali argomenti, la categoria e la motivazione, lo stato del task se attivo o disabled.

Vediamo di spiegare meglio alcune delle voci mostrate nel report:

Suspicious, è sospetto perché il programma si trova il un percorso non standard Windows (NonMicrosoftPath) oppure perché viene eseguito in modalità invisibile (Hidden) all'utente.Questa rilevazione non è un sintomo di un malware nascosto nel sistema che sta facendo qualcosa di strano, può essere qualcosa di assolutamente legittimo come l'aggiornamento di Chrome che si vede nella penultima riga dell'immagine.

Non va trascurato, ma analizzato meglio per capire di cosa si tratta.

Se invece trovate un task dal nome strano, avviato da un utente che non riconoscete e un eseguibile, magari con un nome sicuro, ma che si trova in una cartella non standard, allora si che bisogna preoccuparsi e cercare di risolvere il problema.

Il SuspiciousLolbin compare invece quando trova l'uso di un Lolbin (Living Off the Land Binary) cioè un legittimo programma Microsoft (come cmd.exe, powershell.exe, mshta.exe, rundll32.exe) facente parte del sistema operativo, ma che spesso viene sfruttati dai malware per diffondersi nel sistema operativo e sfuggire così agli antivirus.

Il task Firefox Backuground Update è doppio, solo che uno è avviato dalla mia utenza e l'altro da "Pippo" che abbiamo visto in precedenza. Visto che l'account "Pippo" l'avevo già eliminato, il secondo task non serve più a niente e lo si può cancellare.

Se trovate degli strani account, che iniziano per S-1-5-21, che avviano il processo è il loro SID, va identificato a chi appartiene.