Rilevamenti PUA e Trojan in Microsoft Edge: come interpretarli e verificare la sicurezza con Microsoft Defender

Hai visto due avvisi in Microsoft Edge/Defender dopo il download dell’installer di BitComet: un PUA (bundleware) e un “Trojan:Win32/Malgent” nella cache. Qui trovi una guida pratica per capire cosa è accaduto, verificare se il PC è pulito e adottare misure di prevenzione efficaci.

Panoramica del problema

Dopo aver scaricato dal sito ufficiale l’installer di BitComet identificato come PUABundler:Win32/BitComet_BundleInstaller, l’utente ha visto due notifiche:

• PUABundler – avvisa che il programma di installazione include componenti aggiuntivi non richiesti (bundleware).
• Trojan:Win32/Malgent – rilevato in un file temporaneo all’interno della cache di Edge la sera stessa.

L’utente ha disinstallato il bundleware, eliminato il file segnalato e avviato scansioni complete e offline con Microsoft Defender. Oggi non risultano ulteriori minacce. La domanda è: il PC è davvero pulito?

Risposta breve e chiara

Sì, il PC può considerarsi molto probabilmente sicuro, perché:

1. Il rilevamento PUA riguarda software indesiderato, non necessariamente dannoso. È stato rimosso.
2. Il file “Malgent” era nella cache del browser (contenuto inattivo finché non eseguito). Defender lo ha già eliminato.
3. Le scansioni complete e offline di Microsoft Defender sono risultate pulite: forte indicatore di assenza di infezione attiva o persistenza.

Resta sempre utile eseguire qualche controllo aggiuntivo e applicare buone pratiche di prevenzione, come spiegato nei capitoli seguenti.

Che cosa significa un rilevamento PUA

PUA (Potentially Unwanted Application) indica software che, pur non essendo per forza malevolo, non è desiderato dall’utente. Tipici esempi: barre degli strumenti, cambi non richiesti della pagina iniziale o del motore di ricerca, programmi promozionali e installer che propongono “offerte” pre-selezionate.

Nel caso specifico, l’installer di BitComet è stato classificato come PUABundler perché distribuisce componenti aggiuntivi. Questo non equivale a un trojan o a un ransomware: è una categoria di rischio più bassa, orientata alla nuisance (seccatura) e non alla compromissione del sistema.

Caratteristica	PUA/Bundleware	Malware (es. trojan)
Obiettivo	Promozione, modifiche non richieste, software aggiuntivo	Compromissione, furto dati, controllo remoto, danni
Gravità	Bassa/Media	Alta
Rimovibilità	Generalmente semplice (disinstallazione, ripristini)	Talvolta complessa (persitenza, rootkit, backdoor)
Reazione consigliata	Disinstallare, annullare le modifiche, bloccare PUA	Isolare, bonificare con scansioni approfondite, analisi

Capire “Trojan:Win32/Malgent” nella cache di Edge

“Malgent” è una famiglia di rilevamento generico che Microsoft Defender usa per etichettare contenuti potenzialmente pericolosi. Il file è stato individuato nella cache di Edge, cioè in un’area di archiviazione temporanea usata dal browser per velocizzare la navigazione (immagini, script, pacchetti scaricati o parzialmente scaricati).

Punti chiave:

• Un file nella cache è inattivo finché non viene eseguito o caricato come script attivo in una pagina. Se Defender lo ha rimosso e non compaiono altri alert, l’impatto è nullo.
• Il rilevamento in cache non implica che il sistema sia stato compromesso. Significa che Edge ha memorizzato temporaneamente un artefatto che poteva essere malevolo, prontamente neutralizzato.
• Se si fosse trattato di una minaccia attiva, le scansioni offline avrebbero quasi certamente trovato indicatori residui (file di persistenza, voci di avvio, attività programmate sospette, driver anomali, ecc.).

Valutazione del rischio residuo

Un metodo semplice per valutare la situazione è usare tre domande:

1. Defender è aggiornato e con Protezione in tempo reale attiva? Se sì, la copertura è adeguata.
2. Le scansioni personalizzata/complete e offline sono pulite? Se sì, bassa probabilità di infezione.
3. Ci sono anomalie di sistema (processi ignoti in avvio, popup strani, reindirizzamenti, CPU anomala, rete satura)? Se no, ulteriore conferma di assenza di compromissione.

Nel caso descritto, la risposta è tre volte “sì/no” nella direzione giusta. Dunque la conclusione è PC probabilmente pulito. Prosegui comunque con la checklist rapida sotto.

Checklist rapida di verifica

• Aggiornamenti: esegui Windows Update e verifica che Defender abbia le definizioni più recenti.
• Cronologia protezione: apri Sicurezza di Windows > Protezione da virus e minacce > Cronologia protezione. Assicurati che i rilevamenti risultino in quarantena o rimossi.
• Cache di Edge: svuota dati di navigazione (vedi istruzioni dettagliate più avanti).
• Avvio automatico: in Gestione attività > Avvio disabilita elementi sospetti aggiunti dal bundleware.
• Attività pianificate: apri Utilità di pianificazione e controlla la Libreria Utilità di pianificazione per voci appena create e non riconosciute.
• Rete: osserva per qualche giorno eventuali comportamenti anomali (pubblicità intrusive, reindirizzamenti, traffico insolito).

Soluzione fornita (con integrazioni)

Passaggio	Spiegazione	Stato attuale
Comprendere la natura dell’avviso PUA	Il rilevamento Potentially Unwanted Application è previsto: l’installer di BitComet distribuisce componenti aggiuntivi non richiesti.	Il bundleware è stato disinstallato: nessun impatto residuo.
Valutare il “Trojan” nella cache	Il file “Malgent” era memorizzato nei dati temporanei del browser. Finché resta nella cache e non viene eseguito, non può infettare il sistema. Defender lo ha già eliminato.	Rischio nullo dopo la rimozione; svuotare la cache avrebbe lo stesso effetto.
Eseguire scansioni post‑evento	Le scansioni complete e quelle offline di Microsoft Defender sono le verifiche più approfondite disponibili senza strumenti di terze parti. Risultati puliti indicano che non esistono file o processi malevoli attivi.	Confermato: “Il PC è probabilmente sicuro”.
Ulteriore hardening consigliato	Mantieni Microsoft Defender ed Edge aggiornati. Lascia SmartScreen e il blocco “Potentially unwanted app” attivi. Scarica software da fonti ufficiali, preferendo installer “clean”. Considera controlli periodici con strumenti a richiesta (es. Microsoft Safety Scanner, Malwarebytes Free).	Misure preventive facoltative ma raccomandate.

Procedura dettagliata passo‑passo

Disinstallare bundleware e ripristinare modifiche

1. Apri Impostazioni > App > App installate (o Programmi e funzionalità su versioni precedenti).
2. Ordina per Data di installazione e rimuovi componenti che non riconosci e che si sono aggiunti insieme all’installer.
3. In Edge, vai su Impostazioni > Pagina iniziale, nuova scheda e verifica che Home page e Motore di ricerca non siano stati cambiati.

Svuotare la cache di Edge

1. Nella barra degli indirizzi digita edge://settings/clearBrowserData.
2. Seleziona Immagini e file memorizzati nella cache e Cookie e altri dati dei siti (se accettabile per te), intervallo Tutto.
3. Conferma con Pulisci ora. In alternativa, chiudi Edge e cancella manualmente la cartella Cache del profilo utente (operazione per utenti esperti).

Scansioni con Microsoft Defender

1. Apri Sicurezza di Windows > Protezione da virus e minacce.
2. Clic su Opzioni di analisi e avvia una Analisi completa.
3. Ripeti con Analisi Microsoft Defender Offline (riavvio e scansione prima del caricamento di Windows, più efficace contro persistenze ostinate).

Per chi preferisce la riga di comando (PowerShell/CMD come amministratore):

MpCmdRun.exe -SignatureUpdate
MpCmdRun.exe -Scan -ScanType 2      (analisi completa)
MpCmdRun.exe -Scan -ScanType 1      (analisi rapida)

Attivare SmartScreen e il blocco PUA

1. Apri Sicurezza di Windows > Controllo delle app e del browser.
2. In Protezione basata sulla reputazione, attiva SmartScreen e Blocco app potenzialmente indesiderate.
3. In Edge: Impostazioni > Privacy, ricerca e servizi > Sicurezza → attiva Blocca app potenzialmente indesiderate.

Controlli di avvio e attività

• Startup: Gestione attività > Avvio → disabilita ciò che non riconosci o che non ti serve.
• Attività pianificate: apri Utilità di pianificazione e verifica voci nuove o sospette; disabilita o elimina ciò che è riconducibile al bundle.

Indicatori che suggeriscono che il sistema è pulito

• La Cronologia protezione mostra i rilevamenti come rimossi o in quarantena, senza ripresentazioni.
• Nessun nuovo avviso dopo diverse ore/giorni di utilizzo normale.
• Prestazioni stabili, nessun reindirizzamento del browser, nessuna pubblicità anomala, nessuna finestra sospetta in avvio.
• La scansione offline non trova minacce.

Domande frequenti

Un file malevolo nella cache può infettare il PC?

Da solo, no. La cache è memoria temporanea; serve un’esecuzione o un caricamento attivo (ad esempio come script in una pagina). Se Defender ha già rimosso il file e hai pulito la cache, il rischio pratico è trascurabile.

Devo reinstallare Windows?

Con scansioni offline e complete pulite, non è necessario. La reinstallazione è misura estrema, riservata a infezioni persistenti o sistemi gravemente instabili.

BitComet è un trojan?

No. In questo caso è stato classificato come PUA/Bundler, cioè un installer che propone software non richiesto. Non è la stessa cosa di un trojan. L’importante è rimuovere i componenti indesiderati e assicurarsi che non restino modifiche al browser.

Ha senso usare anche uno strumento di terze parti?

Puoi eseguire, ogni tanto, uno scanner on‑demand (ad esempio Microsoft Safety Scanner o un antimalware gratuito noto) come second opinion. È facoltativo se Defender è aggiornato e non segnala più nulla.

Perché l’avviso è comparso “la sera stessa” e non subito?

È normale che alcuni rilevamenti avvengano al momento dell’accesso a un file in cache o durante attività di manutenzione/indicizzazione. Non indica di per sé un’infezione in corso.

Buone pratiche di hardening (consigliate)

• Defender aggiornato: lascia attive protezione in tempo reale, protezione cloud, invio campioni.
• Tamper Protection: impedisce la disattivazione non autorizzata di Defender.
• SmartScreen e Blocco PUA: riducono drasticamente i download sgraditi.
• Account standard per l’uso quotidiano, UAC su livello predefinito o superiore.
• Browser: mantieni pochi estensioni, solo quelle necessarie e da fonti affidabili.
• Download: preferisci installer “clean” o versioni “portable” quando disponibili.
• Backup: pianifica backup periodici su unità esterna o cloud; testali.
• Windows Update: installa patch di sicurezza con regolarità.

Come riconoscere un installer “clean”

1. Niente caselle preselezionate per software terzi durante l’installazione.
2. Firma digitale valida: tasto destro > Proprietà > Firme digitali e verifica che la firma sia valida.
3. Dimensioni e hash coerenti con quanto dichiarato dal produttore (quando disponibile).
4. Pagina di download ufficiale: evita mirror sconosciuti e portali che ripacchettizzano installer.

Verifiche “forensi leggere” (facoltative)

Se vuoi un ulteriore livello di tranquillità, puoi cercare tracce residue con strumenti integrati:

• Event Viewer: apri Visualizzatore eventi e naviga in Registri applicazioni e servizi > Microsoft > Windows > Windows Defender > Operational per gli ID evento relativi a rilevamenti e rimozioni.
• Defender status via PowerShell (come amministratore):

Get-MpComputerStatus | Select-Object AMServiceEnabled,AntivirusEnabled,IoavProtectionEnabled,AntispywareEnabled,RealTimeProtectionEnabled,IsTamperProtected
Get-MpThreat

Questi comandi ti permettono di confermare che i moduli principali di Defender sono attivi e che non esistono minacce correnti in elenco.

Segnali di allarme da non ignorare

• Rilevamenti che si ripresentano dopo la rimozione.
• Reindirizzamenti del browser anche dopo il ripristino delle impostazioni.
• Nuovi processi in avvio che tornano dopo la disabilitazione.
• Consumo anomalo di CPU/RAM o rete senza motivo.

Se riscontri uno o più di questi indicatori, ripeti l’analisi offline, esegui uno scanner on‑demand aggiuntivo e, se necessario, valuta assistenza tecnica.

Conclusioni

Tutto fa pensare a un incidente a basso rischio ben gestito: il bundleware è stato disinstallato, il file sospetto in cache è stato rimosso e le scansioni di Microsoft Defender – inclusa quella offline – sono pulite. In questo contesto, il portatile può considerarsi sicuro. Mantieni SmartScreen e il blocco PUA attivi, aggiorna regolarmente il sistema e prediligi installer “puliti”. In questo modo situazioni simili non diventeranno problemi reali.

---

Appendice: flusso decisionale rapido

1. Rilevamento PUA? Disinstalla gli elementi aggiuntivi, ripristina le impostazioni del browser, attiva il blocco PUA.
2. File malevolo in cache? Pulisci la cache di Edge; verifica che Defender lo abbia rimosso/quarantenato.
3. Scansioni Defender: esegui completa + offline. Se pulite, considerare il sistema sicuro.
4. Monitoraggio: controlla avvio, attività pianificate e comportamento del browser per qualche giorno.
5. Second opinion (facoltativa): esegui uno scanner on‑demand.

---

Riepilogo operativo

• La voce PUABundler:Win32/BitComet_BundleInstaller indica bundleware: rimuovi e previeni.
• Trojan:Win32/Malgent in cache ≠ infezione: rimozione riuscita = rischio chiuso.
• Scansioni offline/complete pulite = alto livello di confidenza che il sistema sia integro.
• Abilita PUA blocking e SmartScreen, mantieni aggiornamenti, fai backup regolari.