Rimozione estensione Ultralonen da Edge e Chrome: guida completa (FRST, Forcelist, HVCI)

Un’estensione malevola chiamata “Ultralonen” può forzare l’installazione su Edge e Chrome, deviare le ricerche e mostrare popup all’avvio. Questa guida spiega come rimuoverla del tutto: attività pianificata, fix mirato con FRST, pulizia delle chiavi Forcelist e verifiche finali.

Panoramica rapida e obiettivi della guida

Questa procedura passo‑passo nasce da un caso reale e porta il sistema da uno stato di browser “gestito dall’organizzazione” (senza esserlo) a un ambiente pulito e controllato. Gli obiettivi sono:

• Rimuovere Ultralonen e ogni meccanismo di persistenza (attività pianificate, file .crx, criteri via registro).
• Ripristinare gli aggiornamenti di Edge/Chrome e le ricerche non deviate.
• Rimuovere la dicitura “Il browser è gestito dalla tua organizzazione” quando causata da chiavi forzate.
• Fornire un metodo alternativo (senza FRST) e le buone pratiche post‑infezione.
• Affrontare il problema collaterale “Integrità memoria (HVCI)” con una diagnosi pulita dei driver bloccanti.

Sintomi tipici di Ultralonen

Se riconosci uno o più dei sintomi sotto, è altamente probabile che l’estensione sia stata imposta tramite criteri di sistema:

• Popup di errore all’avvio tipo “file non installato”.
• Edge e Chrome chiedono aggiornamenti ma non riescono a completarli.
• Ricerche Bing deviate verso siti casuali o pagine pubblicitarie.
• Estensione Ultralonen contrassegnata come “gestita dall’organizzazione”, non disattivabile né eliminabile.

Nota: nella vicenda da cui trae origine questa guida, una prima scansione con Malwarebytes ha rimosso 15 elementi, la seconda non ha trovato minacce. Windows Security (Scansione rapida e completa) non ha rilevato nulla. Il comportamento è tipico delle estensioni imposte via policy di registro: l’AV vede poco perché “tecnicamente” è un’estensione del browser, ma i criteri la forzano e la riportano in vita.

Prima di iniziare: raccomandazioni importanti

• Backup: crea un punto di ripristino o un’immagine del sistema. La procedura modifica il registro.
• Ambito: se il PC è davvero aziendale e gestito, contatta l’IT. Le azioni seguenti potrebbero contravvenire alle policy aziendali.
• Sincronizzazione: disattiva la sincronizzazione di Edge/Chrome prima della bonifica per evitare re‑infezioni dai dati sincronizzati.
• Account: esegui i passaggi da un account amministratore locale.

Procedura di bonifica (soluzione completa)

Eseguire una scansione preliminare

1. Malwarebytes
   • Aggiorna definizioni e avvia la scansione. Nel caso reale la prima scansione ha rimosso 15 elementi, la seconda è risultata pulita.
2. Windows Security (Defender)
   • Esegui una Scansione rapida, poi una Scansione completa. È normale che non trovi nulla se la persistenza avviene via criteri.

Perché servono: queste scansioni rimuovono dropper e componenti opportunistici. I criteri di estensione restano, perciò si prosegue con i passaggi strutturali sotto.

Eliminare l’attività pianificata malevola

1. Apri Utilità di pianificazione (Task Scheduler).
2. Nella Libreria Utilità di pianificazione, ispeziona le attività recenti: spesso hanno nomi insensati o camuffati.
3. Apri le Proprietà della voce sospetta:
   • Trigger: all’avvio, all’accesso, ogni X minuti.
   • Azioni: script .vbs/.ps1 o eseguibili che richiamano file apps.crx, oppure URL strani.
4. Disabilita l’attività, poi Eliminala.

Dopo la rimozione dell’attività, i popup all’avvio di solito scompaiono e le ricerche tornano normali. Se un’attività non si lascia eliminare, riavvia in Modalità provvisoria e riprova.

Farbar Recovery Scan Tool (FRST)

FRST è uno scanner avanzato che genera due report (FRST.txt e Addition.txt) e applica correzioni tramite un file Fixlist.txt su misura. Procedi così:

1. Scarica FRST64.exe e salvalo in una cartella dedicata (es. Desktop). Esegui come amministratore e premi Scan per generare FRST.txt e Addition.txt.
2. Condividi i log con l’helper (AW). L’helper crea un Fixlist.txt personalizzato, calibrato sulle voci rilevate.
3. Copia Fixlist.txt nella stessa cartella di FRST64.exe e premi Fix.

Cosa fa il Fix (riassunto del caso reale):

• Rimuove chiavi di registro Forcelist/ForceInstall che imponevano l’estensione.
• Elimina file apps.crx collegati all’ID cmcmiimmhnlgiglfdolnhdnjibpapolo.
• Esegue un riavvio automatico per completare la pulizia.

Importante: non usare fixlist di terzi trovati in rete. Ogni sistema è diverso; un fixlist improprio può compromettere il sistema.

Verifica e pulizia residui

1. Riesegui FRST (Scan): se emergono voci ridondanti, l’helper fornirà un secondo Fix usando lo schema Start:: … End::.
2. Quando i report sono puliti, elimina gli strumenti: cancella FRST64.exe e la cartella C:\FRST.

Controllo finale su Edge/Chrome

1. Aggiornamento manuale:
   • Edge: edge://settings/help → verifica aggiornamenti.
   • Chrome: chrome://settings/help → verifica aggiornamenti.
2. Verifica criteri:
   • Edge: edge://policy, Chrome: chrome://policy. Premi Ricarica criteri e verifica che non compaiano più voci che forzano estensioni.
   • Se persiste la dicitura “Il browser è gestito dalla tua organizzazione”, controlla le chiavi Forcelist nel registro (vedi sotto).

Individuare e rimuovere i criteri che forzano l’estensione

Ultralonen sfrutta chiavi di registro per imporre l’installazione dell’estensione. I percorsi più comuni sono:

HKLM\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist
HKLM\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist

Talvolta esistono anche le controparti per utente (HKCU). I valori della Forcelist hanno formati simili a:

1 = cmcmiimmhnlgiglfdolnhdnjibpapolo;https://clients2.google.com/service/update2/crx
2 = <AltroID>;https://edge.microsoft.com/extensionwebstorebase/v1/crx

Se trovi l’ID cmcmiimmhnlgiglfdolnhdnjibpapolo, significa che l’estensione è forzata. Per rimuoverla in sicurezza, vedi il “Metodo manuale alternativo” più avanti oppure utilizza FRST con fixlist su misura.

Pulizia delle cartelle estensioni (facoltativo, solo se necessario)

Dopo aver rimosso i criteri, se vuoi controllare residui nel profilo utente:

• Edge: %LOCALAPPDATA%\Microsoft\Edge\User Data\Default\Extensions\
• Chrome: %LOCALAPPDATA%\Google\Chrome\User Data\Default\Extensions\

Cerca eventuali cartelle che portano il nome dell’ID (cmcmiimmhnlgiglfdolnhdnjibpapolo) e, a browser chiuso, eliminale. Non toccare altre cartelle se non sei sicuro dell’origine.

Metodo manuale alternativo (senza FRST)

Usalo solo se FRST non è disponibile. Richiede cautela e diritti amministrativi.

1. Chiudi Edge e Chrome.
2. Apri regedit e vai ai percorsi: HKLM\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist HKLM\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist
3. Fai clic destro sulla chiave → Autorizzazioni → Avanzate → Disabilita ereditarietà → converti in autorizzazioni esplicite.
4. Rimuovi tutte le voci di autorizzazione che impediscono la modifica, assegna a te (amministratore) Controllo completo.
5. Elimina la chiave o il valore che contiene l’ID cmcmiimmhnlgiglfdolnhdnjibpapolo.
6. Riavvia il PC.

All’avvio, l’estensione non risulterà più installata né “gestita”. Verifica da edge://policy e chrome://policy che non vengano più caricati criteri di estensione.

Diagnosi del problema “Integrità memoria” (HVCI) su Windows Security

Può capitare che la sezione Isolamento core → Integrità memoria mostri “driver incompatibili”, ma con lista vuota. In questi casi l’helper AW suggerisce di usare il tool Microsoft hvciscan_amd64.exe per identificare con precisione i driver non conformi a HVCI.

Come usare hvciscan

1. Scarica hvciscan_amd64.exe (strumento Microsoft).
2. Apri Prompt dei comandi come amministratore nella cartella del tool.
3. Esegui: hvciscanamd64.exe /v > C:\Temp\hvciscanreport.txt
4. Apri il file hvciscan_report.txt e individua i driver segnalati come non compatibili con HVCI.

Risoluzione: aggiorna o rimuovi i driver problematici dalla fonte ufficiale del produttore. Per identificare rapidamente pacchetti e file inf associati:

pnputil /enum-drivers > C:\Temp\drivers.txt
notepad C:\Temp\drivers.txt

Trova la voce del driver, prendi nota dell’oem##.inf e, se necessario, rimuovila (valuta l’impatto prima di procedere):

pnputil /delete-driver oem##.inf /uninstall /force

Se dopo gli interventi il toggle di “Integrità memoria” continua a non attivarsi, considera l’apertura di un nuovo thread dedicato per l’analisi puntuale del tuo set di driver.

Buone pratiche post‑infezione

Passo	Motivo
Cambiare le password degli account usati sul PC (meglio da un dispositivo pulito)	Possibile furto di credenziali tramite estensione malevola
Scollegare la sincronizzazione del profilo durante la bonifica e riattivarla solo a pulizia completata	Evita la reinfezione attraverso dati sincronizzati
Eseguire Windows Defender Offline Scan (se si dispone della chiave BitLocker)	Rileva minacce che sfuggono alle scansioni online
Aggiornare Windows, browser e principali applicazioni	Chiude vulnerabilità sfruttate dal malware
Mantenere attivo SmartScreen e usare solo estensioni verificate	Prevenzione di future infezioni

Perché compariva “Il browser è gestito dalla tua organizzazione”?

Quella dicitura appare quando Edge/Chrome rilevano criteri attivi (policy) impostati via registro o GPO. Nel tuo caso non c’era alcuna organizzazione: i criteri erano introdotti dal malware per forzare l’installazione di Ultralonen. Ripulendo le chiavi ExtensionInstallForcelist (e i relativi permessi) la dicitura scompare e le opzioni tornano gestibili dall’utente.

Come riconoscere l’ID dell’estensione

Apri edge://extensions o chrome://extensions e abilita la Modalità sviluppatore per vedere l’ID delle estensioni. Se noti cmcmiimmhnlgiglfdolnhdnjibpapolo o un’estensione bloccata come “gestita”, sei davanti al caso descritto. Ricorda: se è “gestita”, le azioni di Disattiva/Elimina non funzionano finché la policy resta attiva.

Checklist di chiusura (verifica di successo)

• Nessun popup “file non installato” all’avvio.
• Edge/Chrome si aggiornano correttamente dalle pagine …/settings/help.
• Le ricerche Bing non vengono più deviate.
• edge://policy e chrome://policy non mostrano più criteri di estensioni forzate.
• In edge://extensions/chrome://extensions non compare Ultralonen.
• “Il browser è gestito dalla tua organizzazione” non è più presente (in contesti non aziendali).

Domande frequenti

Se l’estensione riappare dopo la rimozione?

Controlla di non aver riattivato la sincronizzazione prima di rimuovere le policy, verifica che non esistano attività pianificate residue e che il profilo non re‑importi l’estensione da un altro dispositivo. In ultimo, ripeti FRST e verifica i log.

Posso limitarmi a cancellare la cartella dell’estensione?

No: se la policy è attiva, il browser la reinstallerà. Serve rimuovere i criteri dal registro e l’eventuale attività pianificata.

Devo tenere FRST sul PC?

No. Una volta conclusa la bonifica e con report puliti, elimina FRST64.exe e la cartella C:\FRST.

È un falso positivo dell’antivirus?

Non proprio. Non sempre gli AV rilevano estensioni imposte via policy. La chiave sta nella rimozione dei meccanismi di persistenza, non nella “pulizia” del profilo del browser.

Che cos’è il file apps.crx?

È il pacchetto dell’estensione (formato CRX). Può essere scaricato o lasciato da uno script della minaccia e riapplicato al browser. Durante il fix viene eliminato.

Procedura completa in breve (riassunto operativo)

1. Scansioni preliminari (Malwarebytes, Windows Security).
2. Rimozione dell’attività pianificata malevola.
3. FRST: Scan → Fixlist personalizzato (AW) → Fix → riavvio.
4. FRST: nuova scansione e, se necessario, secondo Fix.
5. Pulizia strumenti (FRST64.exe e C:\FRST).
6. Controllo finale: aggiornamenti Edge/Chrome, edge://policy e chrome://policy puliti.
7. (Opzionale) Controllo cartelle estensioni nel profilo utente.
8. (Se richiesto) Diagnosi HVCI con hvciscan_amd64.exe e aggiornamento/rimozione driver incompatibili.

Conclusione

La combinazione di rimozione dell’attività pianificata, fix mirato con FRST e pulizia delle chiavi di registro Forcelist risolve completamente l’infezione Ultralonen. A bonifica conclusa, le estensioni indesiderate scompaiono e non compaiono più politiche “managed”. Per il tema “Integrità memoria”, la diagnosi con hvciscan individua con precisione i driver che bloccano HVCI; se il problema persiste, conviene aprire un thread dedicato con i dettagli del report e del parco driver.

---

Appendice: comandi utili

• Aprire rapidamente le pagine di policy:
  • Edge: digita nella barra edge://policy
  • Chrome: digita nella barra chrome://policy
• Verificare gli ID estensione:
  • Edge/Chrome: …://extensions → abilita Modalità sviluppatore → leggi l’ID.
• Individuare driver installati: pnputil /enum-drivers > C:\Temp\drivers.txt
• Generare il report HVCI: hvciscanamd64.exe /v > C:\Temp\hvciscanreport.txt

---

Disclaimer: Le operazioni su registro e driver sono delicate. Procedi solo se sai cosa stai facendo o fatti assistere da un esperto. Per ambienti gestiti (aziendali/scuola) rivolgiti all’IT.