Rimozione estensione Ultralonen: come eliminare le policy che forzano il motore di ricerca su Edge e Chrome

Ultralonen forza il motore di ricerca in Edge e Chrome e appare come “gestita dalla tua organizzazione”. Questa guida pratica mostra come rimuoverla eliminando le policy dal Registro di sistema oppure, in modo più semplice e sicuro, tramite FRST con un file fixlist dedicato, e come mettere in sicurezza il PC.

Indice

Panoramica del problema

Ultralonen è un’estensione che modifica le impostazioni di ricerca di Microsoft Edge e Google Chrome, spesso bloccandone la rimozione tramite criteri di gruppo (“Policies”) impostati nel Registro di sistema. Il sintomo tipico è il banner “Questa estensione è gestita dalla tua organizzazione”, l’impossibilità di disattivarla o disinstallarla e il ripristino continuo di un motore di ricerca indesiderato dopo ogni riavvio del browser.

La causa più comune è la presenza di chiavi e valori in HKLM e/o HKCU (rami “\SOFTWARE\Policies”) creati da adware/malware che impongono l’installazione o la riattivazione di estensioni via criteri come ExtensionInstallForcelist o altre impostazioni bloccanti.

Soluzione in breve (procedura consolidata)

Passo	Azione	Dettagli
A	Eliminare manualmente le chiavi Policies (facoltativo)	1) Chiudere Edge/Chrome. 2) Aprire regedit (Editor del Registro). 3) Navigare a: `HKEYLOCALMACHINE\SOFTWARE\Policies\Microsoft\Edge` `HKEYCURRENTUSER\SOFTWARE\Policies\Microsoft\Edge` `HKEYLOCALMACHINE\SOFTWARE\Policies\Google\Chrome` `HKEYCURRENTUSER\SOFTWARE\Policies\Google\Chrome` 4) Eliminare le sotto‑cartelle relative a Edge/Chrome (se presenti). 5) Riavviare il PC e verificare se l’estensione è ora rimovibile dal browser.
B	Usare Farbar Recovery Scan Tool (FRST)	1) Scaricare FRST64.exe (versione a 64 bit) e salvarlo in una cartella dedicata. 2) Eseguire Scan per generare `FRST.txt` e `Addition.txt`. 3) Ottenere o creare un file `fixlist.txt` che elenchi le chiavi/policy da eliminare. 4) Salvare `fixlist.txt` nella stessa cartella di FRST. 5) Avviare FRST → Fix (il PC verrà riavviato).
C	Verifica ed eliminazione residui	Dopo il riavvio controllare che “Ultralonen” non compaia più e che il motore di ricerca resti stabile. Se tutto è risolto, cancellare `FRST64.exe` e la cartella `C:\FRST`.
D	Scansione antivirus finale	Eseguire Microsoft Safety Scanner o una analisi completa con Microsoft Defender per verificare l’assenza di componenti malevoli residui.

Caso reale — In un thread di supporto, il Passo B (FRST + fixlist) ha rimosso con successo l’estensione: Edge e Chrome sono tornati a funzionare normalmente, con motore di ricerca stabile.

Prima di iniziare: sicurezza e preparazione

Ambiente domestico vs aziendale: se il PC è aziendale e realmente gestito dall’IT, non rimuovere le policy. Contatta l’amministratore.
Punto di ripristino: crea un Ripristino configurazione di sistema prima di modificare il Registro o di applicare fix con FRST.
Backup: considera un backup dei preferiti e delle impostazioni del browser.
Chiudi i browser: chiudi completamente Edge e Chrome prima di ogni intervento.

Passo A — Eliminare manualmente le chiavi Policies (facoltativo ma utile)

Questa via è efficace se le policy non si rigenerano automaticamente. È il metodo più “trasparente”, ma nei casi di adware attivo potrebbe non bastare.

Premi Win + R, digita regedit e premi Invio.
Controlla le seguenti posizioni e rimuovi le chiavi relative a Edge/Chrome, se presenti:
- HKEYLOCALMACHINE\SOFTWARE\Policies\Microsoft\Edge
- HKEYCURRENTUSER\SOFTWARE\Policies\Microsoft\Edge
- HKEYLOCALMACHINE\SOFTWARE\Policies\Google\Chrome
- HKEYCURRENTUSER\SOFTWARE\Policies\Google\Chrome
Consiglio: su alcuni sistemi a 64 bit può esistere anche il ramo HKEYLOCALMACHINE\SOFTWARE\WOW6432Node\Policies\.... Se trovi chiavi di Edge/Chrome qui, valuta la rimozione.
Riavvia il PC.
Apri il browser e verifica: l’estensione “Ultralonen” è rimuovibile? Il motore di ricerca resta quello impostato?

Nota: se dopo il riavvio le chiavi ritornano o l’estensione si riattiva, passa direttamente al Passo B con FRST.

Passo B — Rimozione assistita con FRST (metodo consigliato)

Farbar Recovery Scan Tool (FRST) è un’utility diagnostica e di riparazione molto usata. Il suo flusso di lavoro è semplice: esegui una scansione, analizza i log (FRST.txt e Addition.txt), poi crei un fixlist.txt con i comandi per eliminare le voci malevole.

Come usarlo in pratica

Scarica ed esegui FRST64.exe da una cartella dedicata (es. C:\FRST-Work).
Scan: genera i due report (FRST.txt e Addition.txt) nella stessa cartella.
Prepara fixlist.txt con le voci da rimuovere (vedi esempi sotto) e salvalo nella stessa cartella di FRST.
Fix: clicca il pulsante Fix. FRST applicherà il contenuto di fixlist.txt, genererà Fixlog.txt e riavvierà il PC.

Esempio di `fixlist.txt` minimale per rimuovere le policy di Edge/Chrome

CreateRestorePoint:
CloseProcesses:

DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Edge
DeleteKey: HKCU\SOFTWARE\Policies\Microsoft\Edge
DeleteKey: HKLM\SOFTWARE\Policies\Google\Chrome
DeleteKey: HKCU\SOFTWARE\Policies\Google\Chrome

Reboot:
EmptyTemp:

Questo fixlist elimina le chiavi di policy imposte ai browser a livello Computer (HKLM) e Utente (HKCU). CreateRestorePoint aggiunge una rete di sicurezza, CloseProcesses chiude processi aperti che potrebbero bloccare le modifiche, EmptyTemp pulisce le cache temporanee e Reboot forza il riavvio a fine operazione.

Come individuare cosa inserire nel fixlist

Apri FRST.txt e Addition.txt e cerca termini come:

Policies\Microsoft\Edge, Policies\Google\Chrome
ExtensionInstallForcelist, ExtensionInstallBlacklist, ExtensionInstallSources
Voci di Attività pianificate (Scheduled Tasks) o Run/RunOnce che richiamano file sospetti legati a “Ultralonen”.

Se FRST evidenzia eseguibili o attività riconducibili a Ultralonen (o ad adware correlato), aggiungi al fixlist.txt le stesse righe incriminate così come compaiono nel log: FRST è progettato per rimuoverle quando vengono inserite nel fixlist. In caso di dubbi, limita il fixlist alle policy come nell’esempio: spesso basta per sbloccare la rimozione dell’estensione.

Dopo il Fix

Controlla edge://policy e chrome://policy: su un PC domestico non gestito non dovrebbero essere presenti voci attive.
Apri le pagine delle estensioni del browser e conferma che Ultralonen non sia più presente.
Imposta il tuo motore di ricerca preferito e verifica che non venga sovrascritto dopo il riavvio.

Passo C — Verifica ed eliminazione residui

Se dopo il riavvio tutto è stabile:

Rimuovi FRST64.exe, la cartella C:\FRST e la cartella di lavoro.
Pulisci le estensioni inutilizzate in Edge/Chrome e ripristina eventuali impostazioni personalizzate.

Se invece noti che il motore di ricerca viene ancora cambiato o ricompaiono policy, passa alla sezione “Se le policy si rigenerano da sole”.

Passo D — Scansione antivirus finale

Esegui una analisi completa con Microsoft Defender o avvia Microsoft Safety Scanner per un’ulteriore verifica. Questo passaggio è importante per individuare componenti ancora presenti che potrebbero reimpostare le policy o reinstallare estensioni indesiderate.

Se le policy si rigenerano da sole

Se dopo averle eliminate ricompaiono, è probabile che un componente attivo (attività pianificata, servizio, voce di avvio) le riscriva. Ecco cosa fare:

Riesegui FRST → Scan e cerca nel log:
- Voci sotto Task che richiamano file in %AppData%, %LocalAppData% o cartelle temporanee.
- Chiavi Run/RunOnce in HKCU o HKLM con eseguibili non firmati o dal nome casuale.
- Servizi non riconosciuti o driver con percorsi insoliti.
Integra il fixlist copiando le stesse righe sospette dal log FRST nel tuo fixlist.txt (oltre alle DeleteKey delle policy).
Rilancia FRST → Fix e riavvia.

Nota: evita fixlist aggressivi se non sei certo di ciò che elimini. Procedi per passi incrementali: prima le policy, poi le attività/avvii sospetti.

Come creare un fixlist.txt autonomamente

Un fixlist ben scritto è essenziale. Ecco una metodologia semplice per costruirlo in autonomia.

Elementi da cercare nei log FRST

Policy browser: chiavi sotto HKLM\SOFTWARE\Policies\Microsoft\Edge, HKCU\SOFTWARE\Policies\Microsoft\Edge, HKLM\SOFTWARE\Policies\Google\Chrome, HKCU\SOFTWARE\Policies\Google\Chrome.
Forzature estensioni: valori come ExtensionInstallForcelist che impongono installazioni.
Persistenze:
- Attività pianificate che eseguono file in AppData/Local/Temp.
- Voci di avvio (Run/RunOnce) che richiamano eseguibili con nomi casuali.
- Servizi/driver non firmati o ricondotti a Ultralonen/adware.

Esempi di voci tipiche da inserire

Oltre alle quattro DeleteKey per Edge/Chrome, valuta di includere (copiandole dal log FRST) righe come queste (esempi generici):

HKCU\...\Run: [NomeSospetto] =&gt; C:\Users\%username%\AppData\Local\Temp\abc123.exe
HKLM\...\Run: [UpdaterXYZ] =&gt; C:\ProgramData\UpdaterXYZ\updater.exe
Task: {GUID-CASUALE} - System32\Tasks\AggiornamentoBrowser =&gt; C:\Users\%username%\AppData\Local\Temp\up.exe
C:\Users\%username%\AppData\Local\Temp\abc123.exe
C:\ProgramData\UpdaterXYZ\updater.exe

Queste righe, riportate esattamente dal log FRST, permettono allo strumento di rimuovere le corrispondenti voci/percorsi durante il Fix.

Modello di fixlist “completo ma prudente”

CreateRestorePoint:
CloseProcesses:

DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Edge
DeleteKey: HKCU\SOFTWARE\Policies\Microsoft\Edge
DeleteKey: HKLM\SOFTWARE\Policies\Google\Chrome
DeleteKey: HKCU\SOFTWARE\Policies\Google\Chrome

; --- Esempi da sostituire con le tue voci reali prese da FRST.txt ---
; HKCU...\Run / HKLM...\Run sospetti
HKCU...\Run: [NomeSospetto] => C:\Users%username%\AppData\Local\Temp\abc123.exe
HKLM...\Run: [UpdaterXYZ] => C:\ProgramData\UpdaterXYZ\updater.exe

; Attività pianificate sospette (copia da FRST.txt)
Task: {GUID-CASUALE} - System32\Tasks\AggiornamentoBrowser => C:\Users%username%\AppData\Local\Temp\up.exe

; File/Cartelle da rimuovere
C:\Users%username%\AppData\Local\Temp\abc123.exe
C:\ProgramData\UpdaterXYZ\

Reboot:
EmptyTemp:

Personalizza le voci marcate come esempio con quelle reali presenti nei tuoi log FRST. Evita di eliminare file/cartelle di cui non conosci la funzione.

Controlli rapidi e impostazioni browser

Verificare l’assenza di policy

In Chrome, digita chrome://policy nella barra degli indirizzi.
In Edge, digita edge://policy.
Su un PC domestico non gestito, non dovresti vedere policy attive per le estensioni o per il motore di ricerca.

Ripristinare e proteggere le impostazioni di ricerca

In Chrome: Impostazioni → Motore di ricerca → seleziona il tuo preferito. Valuta “Ripristina le impostazioni predefinite” se noti comportamenti anomali persistenti.
In Edge: Impostazioni → Privacy, ricerca e servizi → Barra degli indirizzi e ricerca → imposta il motore di ricerca.
Rimuovi estensioni non riconosciute o ridondanti.

Tabella diagnostica: dal sintomo all’azione

Sintomo	Possibile causa	Azione consigliata
Estensione “gestita dalla tua organizzazione”	Policy in HKLM/HKCU che forzano l’installazione	Passo B con FRST e `DeleteKey` mirate
Motore di ricerca cambia da solo al riavvio	Attività/avvio che riscrivono le policy	Nuovo Scan con FRST; integra fixlist con Task/Run sospetti
Impossibile disinstallare l’estensione	Valore `ExtensionInstallForcelist` attivo	Elimina chiavi policy Edge/Chrome (A o B)
Policy ricompaiono dopo poche ore	Eseguibile persistente in %AppData% o servizio	Rimuovi voci corrispondenti con fixlist; scansione completa Defender

Domande frequenti

Perché vedo “gestita dalla tua organizzazione” su un PC personale?

Perché sono state scritte policy nel Registro che simulano una gestione aziendale. È una tecnica comune degli adware per impedire modifiche e imporre estensioni o motori di ricerca.

È sicuro cancellare le chiavi in “Policies”?

Sì, su un PC non aziendale. Su PC gestiti dall’IT, non farlo: potresti violare policy legittime. In caso di dubbio, crea un punto di ripristino e limita il fixlist alle chiavi di Edge/Chrome.

FRST è complicato?

No: la logica è semplice. Scansione, crei il fixlist.txt con le voci da rimuovere (policy e, se necessario, persistenze), poi applichi Fix. L’interfaccia è essenziale e il Fixlog riporta cosa è stato fatto.

Posso usare solo il Passo A (regedit)?

Puoi provarci. Se le chiavi non si rigenerano, potresti risolvere subito. Se ritornano, il Passo B con FRST è il metodo più efficace e ripetibile.

L’estensione non c’è più, ma il browser resta lento

Ripulisci cache e dati di navigazione, controlla altre estensioni superflue, reimposta le impostazioni predefinite del browser e verifica con Defender che non restino altri componenti invasivi.

Prevenzione: come evitare recidive

Controlla regolarmente edge://policy e chrome://policy per assicurarti che non compaiano nuove voci.
Mantieni Defender attivo e aggiornato; esegui periodicamente una scansione completa.
Scarica software solo da fonti affidabili; evita installer “bundle” con offerte di terze parti.
Usa un account Windows standard per la navigazione quotidiana, non amministratore.
Attenzione ai falsi aggiornamenti del browser o ai siti che chiedono di installare estensioni “necessarie”.

Checklist operativa

✔ Hai creato un punto di ripristino?
✔ Edge/Chrome sono chiusi prima dell’intervento?
✔ Hai eseguito FRST e generato FRST.txt/Addition.txt?
✔ Il tuo fixlist.txt contiene le quattro DeleteKey base per Edge/Chrome?
✔ Hai aggiunto (se necessario) voci di Task/Run sospette prese dal log FRST?
✔ Dopo il Fix, edge://policy e chrome://policy risultano vuoti/ok?
✔ Hai eliminato la cartella C:\FRST e l’eseguibile?
✔ Hai effettuato una scansione completa con Defender o Safety Scanner?

Risoluzione problemi: errori comuni

FRST non applica il fix: assicurati che fixlist.txt sia nella stessa cartella di FRST64.exe e che non sia protetto da scrittura; esegui FRST come amministratore.
Le chiavi non si cancellano: i browser devono essere chiusi; riduci interferenze chiudendo altri software; prova a ripetere il Fix dopo un riavvio.
Il motore di ricerca cambia ancora: cerca attività pianificate o voci di avvio rimaste; riesegui FRST → Scan e integra il fixlist.

Riepilogo operativo

Ultralonen si rimuove con un approccio in due tempi: ripulire le policy che forzano estensioni e motori di ricerca (manuale o via FRST) e eliminare ogni meccanismo di persistenza (task/avvii/servizi sospetti) se presente. Concludi sempre con una scansione completa antivirus e verifica che edge://policy e chrome://policy siano puliti.

Appendice: Glossario rapido

HKLM/HKCU: rami del Registro per impostazioni macchina (tutti gli utenti) e utente corrente.
Policies: percorso del Registro dove si applicano criteri di gestione (Group Policy o policy locali).
ExtensionInstallForcelist: valore di policy che impone a Chrome/Edge l’installazione di una o più estensioni.
FRST: strumento diagnostico/di riparazione; rimuove ciò che indichi nel fixlist.txt.

Esempi di fixlist per casi particolari

Se in FRST.txt trovi riferimenti a Wow6432Node o a profili utente specifici, puoi aggiungere le relative chiavi:

; Aggiunte opzionali se presenti
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Policies\Google\Chrome

Ricorda: inserisci solo ciò che compare realmente nei tuoi log. Evita di indovinare.

Conclusione

Seguendo questa guida potrai rimuovere in modo strutturato l’estensione “Ultralonen” che modifica il motore di ricerca in Edge e Chrome. Il metodo più affidabile resta l’uso di FRST con un fixlist.txt mirato alle policy e ad eventuali meccanismi di persistenza. Un ultimo controllo con Defender/Safety Scanner riduce al minimo il rischio di recidive.

In sintesi: Ultralonen viene rimosso eliminando le policy di Edge/Chrome (manualmente o, più semplicemente, con un fixlist eseguito da FRST) e completando con una scansione antivirus di sicurezza.