Un’estensione sospetta in Edge/Chrome contrassegnata “Installed by your organization” (es. CelestialQuasaror/RegCyanica) si disinstalla da sola? Probabile abuso delle Policies. In questa guida trovi diagnosi, rimozione completa con Regedit/PowerShell e FRST, verifiche finali e prevenzione.
Contesto e cosa sta succedendo davvero
Quando Edge o Chrome mostrano un’estensione con l’etichetta Installed by your organization significa che il browser sta obbedendo a un criterio di gruppo (Policy) definito nel Registro di sistema. È la stessa meccanica usata dalle aziende per distribuire estensioni affidabili su tutti i PC. I malware, però, possono sfruttarla per forzare l’installazione di un componente che:
- non si può rimuovere dal pannello delle Estensioni;
- resta “disabilitato ma presente” anche dopo la disattivazione;
- si reinstalla con nuovi nomi/ID quando crei o usi un altro profilo;
- chiede permessi eccessivi (lettura/modifica di tutti i dati sui siti, gestione di app/temi, lettura cronologia, ecc.).
Nel caso reale affrontato qui, l’estensione appariva con nomi diversi (CelestialQuasaror e poi RegCyanica) e si reinstallava aggrappandosi a chiavi Policy macchina/utente. In molti log è stato individuato anche un updater residente in C:\Program Files (x86)\Web Browser Solutions\Web Browser\UniversalUpdater.exe
che aiutava la persistenza.
Sintomi e indicatori di compromissione
Indicatore | Dettagli | Dove controllare |
---|---|---|
Etichetta “Installed by your organization” | Estensione non rimovibile dall’interfaccia | edge://extensions o chrome://extensions (attiva “Dettagli”) |
Policy che spingono estensioni | ExtensionInstallForcelist o ExtensionSettings con installationmode = forceinstalled | edge://policy / chrome://policy → “Reload policies” |
Updater sospetto | Eseguibile “UniversalUpdater.exe” e cartella “Web Browser Solutions” | C:\Program Files (x86)\Web Browser Solutions\Web Browser |
Attività pianificate | Task che riavviano updater o reiniettano chiavi | Utilità di pianificazione / Task Scheduler |
Permessi invasivi | Lettura/modifica di tutti i dati, gestione temi/app | Dettagli dell’estensione |
Diagnosi e tentativi preliminari
Rimozione rapida delle Policies con Regedit/PowerShell
In prima battuta puoi azzerare le Policies per Edge/Chrome all’utente/calore macchina. Apri PowerShell come Amministratore e lancia:
reg delete HKCU\SOFTWARE\Policies\Microsoft\Edge /f
reg delete HKLM\SOFTWARE\Policies\Microsoft\Edge /f
Dopo l’eliminazione, vai su edge://policy
e clicca Reload Policies. Se l’estensione è ancora visibile (magari disabilitata ma non rimovibile) significa che:
- esistono altre chiavi (es. lato Chrome o sotto WOW6432Node);
- un updater ripristina le Policies ad ogni avvio;
- è presente una forcelist configurata su chiavi diverse (
ExtensionSettings
).
Raccolta dei log con Farbar Recovery Scan Tool (FRST)
FRST crea due report fondamentali (FRST.txt
e Addition.txt
) che elencano servizi, task, eseguibili sospetti e chiavi di registro interessate. Sono utilissimi per costruire un fixlist mirato e rimuovere residui (scheduled task, file, Policies e altre persistenze).
Soluzione completa, passo per passo
Passo | Azione | Scopo |
---|---|---|
A | Rimozione manuale delle chiavi ExtensionInstallForcelist / ExtensionSettings (valida anche per Edge) | Disattiva il criterio che reinstalla l’estensione |
B | Creazione di un fixlist personalizzato FRST | Elimina chiavi residue, file di supporto, task e job schedulati |
C | Riavvio automatico tramite FRST | Rende permanenti le modifiche |
D | Controllo finale e caricamento di Fixlog.txt | Verifica che tutto sia stato effettivamente rimosso |
E | Pulizia manuale | Rimuove l’updater e gli strumenti usati |
Rimozione manuale delle forcelist (metodo veloce e mirato)
Prima di toccare il Registro, crea un punto di ripristino e un backup delle chiavi interessate (tasto destro → Esporta in Regedit).
Percorsi da controllare
- Edge:
HKLM\SOFTWARE\Policies\Microsoft\Edge
eHKCU\SOFTWARE\Policies\Microsoft\Edge
- Chrome:
HKLM\SOFTWARE\Policies\Google\Chrome
eHKCU\SOFTWARE\Policies\Google\Chrome
- 32 bit/WOW6432Node:
HKLM\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge
eHKLM\SOFTWARE\WOW6432Node\Policies\Google\Chrome
Chiavi e valori da eliminare
All’interno dei percorsi sopra, rimuovi in particolare:
ExtensionInstallForcelist
: contiene valori tipo “1”, “2”, ciascuno con<extensionid>;<updateurl>
.ExtensionSettings
: sotto forma di valori (uno per<extensionid>
) con JSON; elimina quelli doveinstallationmode
èforceinstalled
onormalinstalled
conupdate_url
sospette.
Comandi PowerShell pronti all’uso
Esegui PowerShell come Amministratore e incolla i comandi. Questi comandi eliminano le Policies di Edge e Chrome sia per l’utente corrente che a livello macchina, includendo le varianti WOW6432Node.
# Edge - utente e macchina
reg delete "HKCU\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist" /f
reg delete "HKCU\SOFTWARE\Policies\Microsoft\Edge\ExtensionSettings" /f
reg delete "HKLM\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist" /f
reg delete "HKLM\SOFTWARE\Policies\Microsoft\Edge\ExtensionSettings" /f
reg delete "HKLM\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge\ExtensionInstallForcelist" /f
reg delete "HKLM\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge\ExtensionSettings" /f
Chrome - utente e macchina
reg delete "HKCU\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist" /f
reg delete "HKCU\SOFTWARE\Policies\Google\Chrome\ExtensionSettings" /f
reg delete "HKLM\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist" /f
reg delete "HKLM\SOFTWARE\Policies\Google\Chrome\ExtensionSettings" /f
reg delete "HKLM\SOFTWARE\WOW6432Node\Policies\Google\Chrome\ExtensionInstallForcelist" /f
reg delete "HKLM\SOFTWARE\WOW6432Node\Policies\Google\Chrome\ExtensionSettings" /f
Ricarica rapida delle policy (chiudi e riapri i browser dopo)
Questa rimozione è “chirurgica”: colpisce solo le liste che forzano l’installazione delle estensioni. Dopo l’operazione, apri edge://policy
o chrome://policy
e usa Reload policies. Se il problema persiste, passa al blocco successivo.
Pulizia con FRST: come preparare un fixlist efficace
Se il ripristino delle sole Policies non basta, serve rimuovere anche persistenze come file, attività pianificate, servizi e chiavi Run/RunOnce. Ecco un metodo pratico basato su FRST:
Analisi dei log
- Avvia FRST come Amministratore e genera i log (
FRST.txt
eAddition.txt
). - Cerca stringhe come
ExtensionInstallForcelist
,ExtensionSettings
,Web Browser Solutions
,UniversalUpdater.exe
, nomi/ID dell’estensione sospetta. - Annota task pianificati, servizi e percorsi file collegati.
Linee guida per il fixlist
- Concentra la rimozione su chiavi e valori che riattivano l’estensione (Policies) e su componenti di persistenza (file/Task/servizi).
- Inserisci sempre CloseProcesses e un punto di ripristino prima delle cancellazioni.
- Riavvio automatico alla fine per consolidare le modifiche.
Esempio orientativo di fixlist
Nota: adatta percorsi e ID ai tuoi log. Usa l’esatta sintassi di FRST per la tua versione; l’esempio seguente illustra i blocchi tipici da includere.
Start::
CloseProcesses:
CreateRestorePoint:
Policies Edge/Chrome (utente e macchina, incl. WOW6432Node)
DeleteKey: HKCU\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist
DeleteKey: HKCU\SOFTWARE\Policies\Microsoft\Edge\ExtensionSettings
DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist
DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Edge\ExtensionSettings
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge\ExtensionInstallForcelist
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge\ExtensionSettings
DeleteKey: HKCU\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist
DeleteKey: HKCU\SOFTWARE\Policies\Google\Chrome\ExtensionSettings
DeleteKey: HKLM\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist
DeleteKey: HKLM\SOFTWARE\Policies\Google\Chrome\ExtensionSettings
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Policies\Google\Chrome\ExtensionInstallForcelist
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Policies\Google\Chrome\ExtensionSettings
Rimozione estensione per ID (se presente in profilo)
DeleteKey: HKCU\Software\Microsoft\Edge\Extensions<IDestensionesospetta>
DeleteKey: HKCU\Software\Google\Chrome\Extensions<IDestensionesospetta>
Attività pianificate/servizi collegati (sostituisci con quelli rilevati nei log)
Task:
File e cartelle di persistenza
DeleteFile: C:\Program Files (x86)\Web Browser Solutions\Web Browser\UniversalUpdater.exe
DeleteFolder: C:\Program Files (x86)\Web Browser Solutions
Pulizie di contorno (cache/temp)
EmptyTemp:
Reboot:
End::
Salva il file come fixlist.txt
nella stessa cartella di FRST64.exe
, avvia FRST come Amministratore e premi Fix. Al termine, FRST genererà Fixlog.txt
con l’esito delle operazioni.
Controlli finali e pulizia residua
- Verifica Policies: apri
edge://policy
echrome://policy
, clicca Reload policies e controlla che non compaiano più voci relative aExtensionInstallForcelist/ExtensionSettings
. - Controlla Estensioni: in
edge://extensions
echrome://extensions
l’estensione sospetta deve essere sparita e non più forzata. - Elimina l’updater rimasto: cancella manualmente:
C:\Program Files (x86)\Web Browser Solutions\Web Browser\UniversalUpdater.exe
se presente, insieme all’intera cartellaWeb Browser Solutions
. - Rimuovi gli strumenti: elimina
FRST64.exe
e la cartellaC:\FRST
dopo aver conservato i log per eventuale audit.
Script di verifica e bonifica aggiuntiva (PowerShell avanzato)
Per chi preferisce uno script unico di bonifica delle aree più comuni (Policies, Task e file noti), ecco un esempio best effort. Eseguilo in PowerShell come Amministratore:
$ErrorActionPreference = 'SilentlyContinue'
1) Mappa dei percorsi Policies (Edge/Chrome, utente/machine, 32bit/64bit)
$policyPaths = @(
"HKCU:\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist",
"HKCU:\SOFTWARE\Policies\Microsoft\Edge\ExtensionSettings",
"HKLM:\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist",
"HKLM:\SOFTWARE\Policies\Microsoft\Edge\ExtensionSettings",
"HKLM:\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge\ExtensionInstallForcelist",
"HKLM:\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge\ExtensionSettings",
"HKCU:\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist",
"HKCU:\SOFTWARE\Policies\Google\Chrome\ExtensionSettings",
"HKLM:\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist",
"HKLM:\SOFTWARE\Policies\Google\Chrome\ExtensionSettings",
"HKLM:\SOFTWARE\WOW6432Node\Policies\Google\Chrome\ExtensionInstallForcelist",
"HKLM:\SOFTWARE\WOW6432Node\Policies\Google\Chrome\ExtensionSettings"
)
Write-Host ">>> Rimozione Policies forzate per Edge/Chrome..."
foreach ($p in $policyPaths) {
if (Test-Path $p) {
Remove-Item -Path $p -Recurse -Force
Write-Host " - Eliminato: $p"
}
}
2) Disattiva ed elimina task noti o sospetti
Write-Host ">>> Ricerca ed eliminazione Task sospetti..."
$taskPatterns = @("Web Browser Solutions","UniversalUpdater","RegCyanica","CelestialQuasaror")
schtasks /Query /FO LIST /V | Out-Null # forza inizializzazione
Get-ScheduledTask | Where-Object {
$n = $.TaskName + " " + $.TaskPath
$taskPatterns | ForEach-Object { $n -match $ } | Where-Object { $ -eq $true }
} | ForEach-Object {
try { Disable-ScheduledTask -TaskName $.TaskName -TaskPath $.TaskPath -ErrorAction SilentlyContinue } catch {}
try { Unregister-ScheduledTask -TaskName $.TaskName -TaskPath $.TaskPath -Confirm:$false } catch {}
Write-Host " - Rimosso task: $($.TaskPath)$($.TaskName)"
}
3) Termina e rimuovi l'updater e relative cartelle
Write-Host ">>> Terminazione e rimozione updater..."
$exe = "C:\Program Files (x86)\Web Browser Solutions\Web Browser\UniversalUpdater.exe"
$dir = Split-Path $exe -Parent
Get-Process | Where-Object { $.Path -eq $exe } | ForEach-Object { Stop-Process -Id $.Id -Force }
if (Test-Path $exe) { Remove-Item $exe -Force }
if (Test-Path $dir) { Remove-Item $dir -Recurse -Force }
Write-Host ">>> Bonifica terminata. Riavvia i browser e verifica edge://policy e chrome://policy."
Perché l’estensione “riappare” con nomi/ID diversi
Se una Policy è scritta sotto HKLM
(macchina) o HKCU
(utente), il browser tenterà di installare l’estensione indicata ogni volta che:
- crei un nuovo profilo utente del browser;
- cancelli la cartella del profilo e la ricrei;
- esegui un aggiornamento del browser o dell’estensione;
- avvii con parametri “puliti”.
È per questo che la disinstallazione dall’interfaccia non basta: finché resta anche una sola chiave (ExtensionInstallForcelist
/ExtensionSettings
) l’estensione tornerà, magari con un nome diverso ma con permessi identici.
Verifiche post-bonifica
- Policy zero-based: nessuna voce relativa a
ExtensionInstallForcelist
oExtensionSettings
inedge://policy
/chrome://policy
. - Estensioni pulite: la scheda Estensioni non deve mostrare elementi “installati dall’organizzazione”.
- Scheduled task/servizi: nessun task che richiami updater o script di ripristino delle Policies.
- File residui: la cartella “Web Browser Solutions” dev’essere assente; l’eseguibile
UniversalUpdater.exe
cancellato. - Log FRST:
Fixlog.txt
deve confermare la rimozione delle chiavi/file individuati.
Raccomandazioni di sicurezza e prevenzione
- Antivirus/Antimalware: esegui una scansione completa (Microsoft Defender, Malwarebytes o equivalente) per intercettare eventuali payload rimasti.
- Aggiornamenti costanti: mantieni Windows, Edge/Chrome e i componenti di sicurezza sempre aggiornati. Gli aggiornamenti tappano vulnerabilità usate per la persistenza.
- Verifiche periodiche: una volta al mese controlla
edge://policy
/chrome://policy
e dai uno sguardo aC:\Program Files (x86)
alla ricerca di cartelle anomale. - Principio del minimo privilegio: naviga con un account standard. Usa l’amministratore solo quando serve davvero. Riduci così la superficie di abuso delle Policies macchina.
- Backup e punti di ripristino: tieni sempre un backup offline. Prima di modificare il Registro o usare tool di pulizia crea un punto di ripristino.
Domande frequenti
E se il PC è aziendale?
In ambienti gestiti, l’etichetta “Installed by your organization” può essere legittima. Se il dispositivo è vincolato a criteri di dominio/MDM, non rimuovere le Policies senza autorizzazione: potresti violare policy aziendali. Questa guida è pensata per PC personali o scenari in cui l’origine è chiaramente malevola.
Non trovo ExtensionInstallForcelist
, ma l’estensione è ancora lì
Controlla ExtensionSettings
: molte campagne recenti usano questa chiave con valori JSON per forzare l’installazione. Elimina i valori che impongono force_installed
. Ricontrolla anche la branch WOW6432Node
.
Ho cancellato le chiavi ma dopo il riavvio tornano
Quasi sempre è un scheduled task o un eseguibile updater (come UniversalUpdater.exe
) a ripristinarle. Scansiona con FRST, rimuovi task/file e ripeti la bonifica Policies.
Posso limitare in modo proattivo le estensioni?
Sì. Su PC personali puoi usare le Blocklist/Allowlist delle estensioni (Edge/Chrome) per consentire solo ID noti. È un’ottima tecnica di hardening, ma richiede la gestione consapevole degli ID.
Riepilogo operativo
- Diagnostica: individua le Policies in
edge://policy
/chrome://policy
e recupera gli ID estensione. - Bonifica rapida: cancella
ExtensionInstallForcelist
eExtensionSettings
(Edge/Chrome, HKCU/HKLM, incl. WOW6432Node). - Bonifica profonda: crea un fixlist FRST per rimuovere updater, task e residui; applica il fix e riavvia.
- Verifica: nessuna Policy forzata, nessuna estensione “dell’organizzazione”, nessun file residuo (
UniversalUpdater.exe
). - Prevenzione: scansioni AV, aggiornamenti, account standard, controlli periodici, backup.
Checklist pratica
- Backup & punto di ripristino creati.
- Policies Edge/Chrome rimosse (HKCU/HKLM + WOW6432Node).
ExtensionSettings
ripulito da vociforce_installed
.- Task pianificati sospetti rimossi.
UniversalUpdater.exe
e cartella “Web Browser Solutions” eliminati.- FRST eseguito con fixlist personalizzato e
Fixlog.txt
controllato. - Estensioni pulite in tutti i profili browser.
- Scansione antimalware completa eseguita.
Conclusioni
Il punto chiave è rimuovere la causa (Policies che forzano l’estensione) e la persistenza (updater, task). La combinazione di rimozione manuale mirata, fixlist FRST e controlli post-bonifica elimina la ricomparsa dell’estensione in Edge/Chrome e chiude la strada a payload collegati. Applicando le raccomandazioni finali, riduci drasticamente le possibilità di reinfezione.
Risultato atteso: le estensioni malevole in Edge/Chrome scompaiono e non si reinstallano più, anche creando nuovi profili.