Su Windows 10 Home possono comparire estensioni sospette come “NebulaNanoel” e “MetaEllipel” su Edge o Chrome, con rimozione bloccata e dicitura «gestito da un’organizzazione». Di seguito una guida completa per eliminare le policy imposte, bonificare il sistema e prevenire recidive.

Panoramica del problema

Alcuni utenti Windows 10 Home segnalano l’installazione forzata di estensioni sconosciute su Microsoft Edge e Google Chrome. In edge://policy (e chrome://policy, se presente) compaiono criteri come ExtensionInstallAllowlist o ExtensionInstallForcelist che:

• impongono l’installazione e il ripristino automatico dell’estensione ad ogni avvio;
• disabilitano la rimozione dall’interfaccia grafica (“Rimossa dall’amministratore” o pulsante disattivato);
• attivano il banner “Questo browser è gestito da un’organizzazione” anche su PC non aziendali.

Il comportamento è tipico di PUP/PUA o di malware che inietta policy nel Registro di sistema per garantirsi persistenza.

Sintomi e verifiche rapide

Sintomo	Causa probabile	Dove verificare
Estensione NebulaNanoel o MetaEllipel non rimovibile	Criteri forzati: Forcelist/Allowlist	edge://policy, chrome://policy
Messaggio “gestito da un’organizzazione”	Qualsiasi policy attiva in Edge/Chrome	Pagina policy del browser
Estensione che ricompare dopo la rimozione manuale	Script/attività pianificate che reimpostano le chiavi	Utilità FRST, Utilità “Utilità di pianificazione”
Windows Defender non segnala nulla	Esclusioni impostate dal malware	Impostazioni Defender, Get-MpPreference

Perché compare “gestito da un’organizzazione” su Windows 10 Home

Edge e Chrome mostrano questa dicitura quando qualunque criterio (policy) è presente nel Registro di sistema, anche su PC domestici. I percorsi tipici sono:

• HKCU\SOFTWARE\Policies\Microsoft\Edge e HKLM\SOFTWARE\Policies\Microsoft\Edge
• HKCU\SOFTWARE\Policies\Google\Chrome e HKLM\SOFTWARE\Policies\Google\Chrome
• (Talvolta) HKLM\SOFTWARE\WOW6432Node\Policies\... su sistemi a 64 bit

La sola presenza delle chiavi è sufficiente per attivare l’etichetta. Rimuovere le policy ripristina il controllo all’utente.

Procedura rapida di rimozione (funziona nella maggior parte dei casi)

1. Cancellare le policy dal Registro con PowerShell Aprire PowerShell come amministratore e incollare in una singola riga: reg delete HKCU\SOFTWARE\Policies\Microsoft\Edge /f; reg delete HKLM\SOFTWARE\Policies\Microsoft\Edge /f; reg delete HKCU\SOFTWARE\Policies\Google\Chrome /f; reg delete HKLM\SOFTWARE\Policies\Google\Chrome /f; Se appare “impossibile trovare la chiave”, significa che quella chiave non esiste: è normale. Opzionale (sistemi a 64 bit): reg delete HKLM\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge /f reg delete HKLM\SOFTWARE\WOW6432Node\Policies\Google\Chrome /f Nota: l’eliminazione riguarda solo policy del browser e non rimuove dati personali o preferiti.
2. Riavviare Edge/Chrome (o l’intero PC) Dopo il riavvio, controllare che:
   • l’estensione sia scomparsa da edge://extensions / chrome://extensions;
   • edge://policy sia vuoto;
   • la dicitura “gestito da un’organizzazione” non compaia più nelle impostazioni.
3. Eseguire scansioni antimalware Questo step rimuove eventuali residui e previene la ricomparsa.
   • Microsoft Safety Scanner (MSERT): eseguibile stand‑alone, avviare una Scansione completa. Eliminare i rilevamenti e riavviare.
   • Malwarebytes Free: effettuare Scansione completa, spostare in quarantena e riavviare.
   • (Facoltativo) ESET Online Scanner: una scansione aggiuntiva può scovare ciò che sfugge ad altri motori.
   Durante le scansioni chiudere tutti i browser.
4. Controllare e ripulire le esclusioni di Windows Defender Le esclusioni sono spesso usate per disattivare la protezione su cartelle o processi del malware.
   • Interfaccia: Sicurezza di Windows → Protezione da virus e minacce → Impostazioni di protezione → Gestisci impostazioni → Esclusioni.
   • PowerShell (amministratore):
   Get-MpPreference | Format-List Excl, ThreatID Rimuovere qualsiasi esclusione non impostata dall’utente.
5. Analisi avanzata se l’estensione riappare Scaricare ed eseguire Farbar Recovery Scan Tool (FRST) per generare i log FRST.txt e Addition.txt. Esaminarli (o farli analizzare su forum specializzati) per trovare:
   • chiavi Run/RunOnce nei profili utente e in HKLM;
   • attività pianificate sospette (Utilità di pianificazione);
   • servizi, driver o WMI Event Consumer che ripristinano le policy.

Comandi rapidi (copia e incolla)

Rimozione policy (una riga):

reg delete HKCU\SOFTWARE\Policies\Microsoft\Edge /f; reg delete HKLM\SOFTWARE\Policies\Microsoft\Edge /f; reg delete HKCU\SOFTWARE\Policies\Google\Chrome /f; reg delete HKLM\SOFTWARE\Policies\Google\Chrome /f;

Inventario policy attive (facoltativo):

reg query HKCU\SOFTWARE\Policies\Microsoft\Edge /s
reg query HKLM\SOFTWARE\Policies\Microsoft\Edge /s
reg query HKCU\SOFTWARE\Policies\Google\Chrome /s
reg query HKLM\SOFTWARE\Policies\Google\Chrome /s

Controllo esecuzioni automatiche e attività pianificate:

Get-ScheduledTask | Where-Object {$_.TaskName -match 'Edge|Chrome|Nebula|Meta'} | Format-Table TaskName,State,LastRunTime
Get-ItemProperty 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Run'
Get-ItemProperty 'HKLM:\Software\Microsoft\Windows\CurrentVersion\Run'

Esito tipico dopo la bonifica

• L’estensione NebulaNanoel/MetaEllipel non è più presente in Edge/Chrome.
• edge://policy e chrome://policy non mostrano criteri attivi.
• La dicitura “gestito da un’organizzazione” scompare.
• Una nuova installazione di Chrome rimane pulita e non eredita policy.

Cos’è ExtensionInstallAllowlist/Forcelist (in parole semplici)

Policy	Funzione	Effetto pratico
ExtensionInstallAllowlist	Consente l’installazione solo delle estensioni con ID in lista	Blocca tutte le altre estensioni
ExtensionInstallForcelist	Installa/impone una o più estensioni specifiche	Ricomparsa automatica e rimozione disabilitata

Se queste policy sono impostate dal malware, l’estensione torna anche dopo la rimozione manuale. Eliminare le chiavi di policy interrompe il ciclo.

Passi aggiuntivi in caso di persistenza

Verifica delle cartelle delle estensioni

Dopo aver rimosso le policy, è possibile pulire residui locali (facoltativo):

• %LOCALAPPDATA%\Microsoft\Edge\User Data\Default\Extensions\
• %LOCALAPPDATA%\Google\Chrome\User Data\Default\Extensions\

Se si riconosce la cartella associata alla estensione (di solito il nome è l’ID dell’estensione), rinominarla o eliminarla a browser chiuso.

Controlli su persistenza avanzata

• Attività pianificate: cercare voci che avviano script PowerShell, file .bat o eseguibili da percorsi insoliti (es. %AppData%, %Temp%).
• Servizi e driver: servizi con descrizioni vaghe o editor recente coincidente con l’infezione.
• WMI e script: Event Consumers che lanciano comandi su trigger di login/avvio.
• Esclusioni antivirus: rimuoverle come descritto sopra.

Domande frequenti

È sicuro eliminare le chiavi di policy dal Registro?

Sì, se il PC è domestico e non gestito da un’azienda. Le chiavi indicate riguardano solo la configurazione delle policy del browser. In caso di PC aziendale, rivolgersi all’IT.

Perché Windows 10 Home mostra policy come se fosse un PC aziendale?

Perché il browser rileva la presenza di chiavi in HKCU/HKLM\SOFTWARE\Policies\.... Non è richiesta l’edizione Pro/Enterprise per applicare tali chiavi.

Posso limitarmi a rimuovere l’estensione dall’interfaccia?

No: con Forcelist l’estensione verrà reinstallata. Bisogna rimuovere le policy e poi bonificare.

Quale ordine seguire per le scansioni?

Prima Microsoft Safety Scanner (completa), poi Malwarebytes (completa), facoltativo ESET come ulteriore verifica.

Serve ripristinare o reinstallare il browser?

Di solito non è necessario. Se i profili sono corrotti, si può creare un nuovo profilo o reinstallare il browser solo dopo aver eliminato le policy.

Buone pratiche preventive

• Mantenere Edge/Chrome e Windows Defender sempre aggiornati.
• Abilitare SmartScreen e la protezione PUP/PUA.
• Installare estensioni solo da fonti attendibili e rivedere periodicamente quelle presenti.
• Creare un punto di ripristino prima di modifiche al Registro o attività di rimozione malware.
• Evitare software pirata, crack e “installer” di dubbia provenienza (veicoli frequenti di PUP/PUA).
• Non ignorare gli avvisi del browser su estensioni in modalità Sviluppatore non verificate.
• Usare account Windows con privilegi standard per l’uso quotidiano, riservando l’amministratore alle manutenzioni.

Checklist finale

• Ho eseguito il comando di rimozione policy in PowerShell come amministratore.
• Ho riavviato il browser/PC e verificato che edge://policy sia vuoto.
• Ho eseguito almeno una scansione completa con Microsoft Safety Scanner e una con Malwarebytes.
• Ho rimosso le esclusioni sospette in Windows Defender.
• Non vi sono attività pianificate/servizi sospetti che ripristinano le chiavi.
• L’etichetta “gestito da un’organizzazione” è scomparsa.

Note di sicurezza

• Backup e punto di ripristino: se possibile, creare un punto di ripristino prima degli interventi (Checkpoint-Computer -Description "Pre-cleanup" -RestorePointType "MODIFY_SETTINGS" in PowerShell, se la Protezione sistema è attiva).
• PC aziendali: se il dispositivo è gestito da un’organizzazione reale, non rimuovere policy: contattare l’amministratore IT.

Conclusione

Le estensioni “NebulaNanoel” e “MetaEllipel” sfruttano criteri del browser per insediarsi e resistere alla rimozione. Eliminando le policy dal Registro, riavviando e completando le scansioni antimalware, si ripristina l’integrità di Edge/Chrome e scompare la dicitura “gestito da un’organizzazione”. In caso di persistenza, l’analisi con FRST e il controllo di attività pianificate e esclusioni antivirus individuano l’elemento che reimpone i criteri. Con buone pratiche preventive (aggiornamenti, SmartScreen, installazioni selettive) il rischio di recidiva resta basso.

---

Riepilogo operativo espresso

1. Apri PowerShell (amministratore) e incolla:
   reg delete HKCU\SOFTWARE\Policies\Microsoft\Edge /f; reg delete HKLM\SOFTWARE\Policies\Microsoft\Edge /f; reg delete HKCU\SOFTWARE\Policies\Google\Chrome /f; reg delete HKLM\SOFTWARE\Policies\Google\Chrome /f;
2. Riavvia Edge/Chrome (o il PC).
3. Esegui Microsoft Safety Scanner e Malwarebytes; opzionale ESET per verifica.
4. Rimuovi eventuali esclusioni sospette in Windows Defender: Get-MpPreference | Format-List Excl, ThreatID
5. Se l’estensione riappare: genera log con FRST e verifica attività pianificate/Run/WMI.

Dopo questi passaggi, nella grande maggioranza dei casi l’estensione non torna, la pagina policy è vuota e il browser non risulta più “gestito da un’organizzazione”.