Rimuovere estensioni Edge/Chrome “Installed by your organization” (CelestialQuasaror/RegCyanica): guida completa e definitiva

Un’estensione sospetta in Edge/Chrome contrassegnata “Installed by your organization” (es. CelestialQuasaror/RegCyanica) si disinstalla da sola? Probabile abuso delle Policies. In questa guida trovi diagnosi, rimozione completa con Regedit/PowerShell e FRST, verifiche finali e prevenzione.

Indice

Contesto e cosa sta succedendo davvero

Quando Edge o Chrome mostrano un’estensione con l’etichetta Installed by your organization significa che il browser sta obbedendo a un criterio di gruppo (Policy) definito nel Registro di sistema. È la stessa meccanica usata dalle aziende per distribuire estensioni affidabili su tutti i PC. I malware, però, possono sfruttarla per forzare l’installazione di un componente che:

  • non si può rimuovere dal pannello delle Estensioni;
  • resta “disabilitato ma presente” anche dopo la disattivazione;
  • si reinstalla con nuovi nomi/ID quando crei o usi un altro profilo;
  • chiede permessi eccessivi (lettura/modifica di tutti i dati sui siti, gestione di app/temi, lettura cronologia, ecc.).

Nel caso reale affrontato qui, l’estensione appariva con nomi diversi (CelestialQuasaror e poi RegCyanica) e si reinstallava aggrappandosi a chiavi Policy macchina/utente. In molti log è stato individuato anche un updater residente in C:\Program Files (x86)\Web Browser Solutions\Web Browser\UniversalUpdater.exe che aiutava la persistenza.

Sintomi e indicatori di compromissione

IndicatoreDettagliDove controllare
Etichetta “Installed by your organization”Estensione non rimovibile dall’interfacciaedge://extensions o chrome://extensions (attiva “Dettagli”)
Policy che spingono estensioniExtensionInstallForcelist o ExtensionSettings con installationmode = forceinstallededge://policy / chrome://policy → “Reload policies”
Updater sospettoEseguibile “UniversalUpdater.exe” e cartella “Web Browser Solutions”C:\Program Files (x86)\Web Browser Solutions\Web Browser
Attività pianificateTask che riavviano updater o reiniettano chiaviUtilità di pianificazione / Task Scheduler
Permessi invasiviLettura/modifica di tutti i dati, gestione temi/appDettagli dell’estensione

Diagnosi e tentativi preliminari

Rimozione rapida delle Policies con Regedit/PowerShell

In prima battuta puoi azzerare le Policies per Edge/Chrome all’utente/calore macchina. Apri PowerShell come Amministratore e lancia:

reg delete HKCU\SOFTWARE\Policies\Microsoft\Edge /f
reg delete HKLM\SOFTWARE\Policies\Microsoft\Edge /f

Dopo l’eliminazione, vai su edge://policy e clicca Reload Policies. Se l’estensione è ancora visibile (magari disabilitata ma non rimovibile) significa che:

  • esistono altre chiavi (es. lato Chrome o sotto WOW6432Node);
  • un updater ripristina le Policies ad ogni avvio;
  • è presente una forcelist configurata su chiavi diverse (ExtensionSettings).

Raccolta dei log con Farbar Recovery Scan Tool (FRST)

FRST crea due report fondamentali (FRST.txt e Addition.txt) che elencano servizi, task, eseguibili sospetti e chiavi di registro interessate. Sono utilissimi per costruire un fixlist mirato e rimuovere residui (scheduled task, file, Policies e altre persistenze).

Soluzione completa, passo per passo

PassoAzioneScopo
ARimozione manuale delle chiavi ExtensionInstallForcelist / ExtensionSettings (valida anche per Edge)Disattiva il criterio che reinstalla l’estensione
BCreazione di un fixlist personalizzato FRSTElimina chiavi residue, file di supporto, task e job schedulati
CRiavvio automatico tramite FRSTRende permanenti le modifiche
DControllo finale e caricamento di Fixlog.txtVerifica che tutto sia stato effettivamente rimosso
EPulizia manualeRimuove l’updater e gli strumenti usati

Rimozione manuale delle forcelist (metodo veloce e mirato)

Prima di toccare il Registro, crea un punto di ripristino e un backup delle chiavi interessate (tasto destro → Esporta in Regedit).

Percorsi da controllare

  • Edge: HKLM\SOFTWARE\Policies\Microsoft\Edge e HKCU\SOFTWARE\Policies\Microsoft\Edge
  • Chrome: HKLM\SOFTWARE\Policies\Google\Chrome e HKCU\SOFTWARE\Policies\Google\Chrome
  • 32 bit/WOW6432Node: HKLM\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge e HKLM\SOFTWARE\WOW6432Node\Policies\Google\Chrome

Chiavi e valori da eliminare

All’interno dei percorsi sopra, rimuovi in particolare:

  • ExtensionInstallForcelist: contiene valori tipo “1”, “2”, ciascuno con <extensionid>;<updateurl>.
  • ExtensionSettings: sotto forma di valori (uno per <extensionid>) con JSON; elimina quelli dove installationmode è forceinstalled o normalinstalled con update_url sospette.

Comandi PowerShell pronti all’uso

Esegui PowerShell come Amministratore e incolla i comandi. Questi comandi eliminano le Policies di Edge e Chrome sia per l’utente corrente che a livello macchina, includendo le varianti WOW6432Node.

# Edge - utente e macchina
reg delete "HKCU\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist" /f
reg delete "HKCU\SOFTWARE\Policies\Microsoft\Edge\ExtensionSettings" /f
reg delete "HKLM\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist" /f
reg delete "HKLM\SOFTWARE\Policies\Microsoft\Edge\ExtensionSettings" /f
reg delete "HKLM\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge\ExtensionInstallForcelist" /f
reg delete "HKLM\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge\ExtensionSettings" /f

Chrome - utente e macchina

reg delete "HKCU\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist" /f
reg delete "HKCU\SOFTWARE\Policies\Google\Chrome\ExtensionSettings" /f
reg delete "HKLM\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist" /f
reg delete "HKLM\SOFTWARE\Policies\Google\Chrome\ExtensionSettings" /f
reg delete "HKLM\SOFTWARE\WOW6432Node\Policies\Google\Chrome\ExtensionInstallForcelist" /f
reg delete "HKLM\SOFTWARE\WOW6432Node\Policies\Google\Chrome\ExtensionSettings" /f

Ricarica rapida delle policy (chiudi e riapri i browser dopo)

Questa rimozione è “chirurgica”: colpisce solo le liste che forzano l’installazione delle estensioni. Dopo l’operazione, apri edge://policy o chrome://policy e usa Reload policies. Se il problema persiste, passa al blocco successivo.

Pulizia con FRST: come preparare un fixlist efficace

Se il ripristino delle sole Policies non basta, serve rimuovere anche persistenze come file, attività pianificate, servizi e chiavi Run/RunOnce. Ecco un metodo pratico basato su FRST:

Analisi dei log

  1. Avvia FRST come Amministratore e genera i log (FRST.txt e Addition.txt).
  2. Cerca stringhe come ExtensionInstallForcelist, ExtensionSettings, Web Browser Solutions, UniversalUpdater.exe, nomi/ID dell’estensione sospetta.
  3. Annota task pianificati, servizi e percorsi file collegati.

Linee guida per il fixlist

  • Concentra la rimozione su chiavi e valori che riattivano l’estensione (Policies) e su componenti di persistenza (file/Task/servizi).
  • Inserisci sempre CloseProcesses e un punto di ripristino prima delle cancellazioni.
  • Riavvio automatico alla fine per consolidare le modifiche.

Esempio orientativo di fixlist

Nota: adatta percorsi e ID ai tuoi log. Usa l’esatta sintassi di FRST per la tua versione; l’esempio seguente illustra i blocchi tipici da includere.

Start::
CloseProcesses:
CreateRestorePoint:

Policies Edge/Chrome (utente e macchina, incl. WOW6432Node)

DeleteKey: HKCU\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist
DeleteKey: HKCU\SOFTWARE\Policies\Microsoft\Edge\ExtensionSettings
DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist
DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Edge\ExtensionSettings
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge\ExtensionInstallForcelist
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge\ExtensionSettings
DeleteKey: HKCU\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist
DeleteKey: HKCU\SOFTWARE\Policies\Google\Chrome\ExtensionSettings
DeleteKey: HKLM\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist
DeleteKey: HKLM\SOFTWARE\Policies\Google\Chrome\ExtensionSettings
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Policies\Google\Chrome\ExtensionInstallForcelist
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Policies\Google\Chrome\ExtensionSettings

Rimozione estensione per ID (se presente in profilo)

DeleteKey: HKCU\Software\Microsoft\Edge\Extensions<IDestensionesospetta>
DeleteKey: HKCU\Software\Google\Chrome\Extensions<IDestensionesospetta>

Attività pianificate/servizi collegati (sostituisci con quelli rilevati nei log)

Task: 

File e cartelle di persistenza

DeleteFile: C:\Program Files (x86)\Web Browser Solutions\Web Browser\UniversalUpdater.exe
DeleteFolder: C:\Program Files (x86)\Web Browser Solutions

Pulizie di contorno (cache/temp)

EmptyTemp:
Reboot:
End:: 

Salva il file come fixlist.txt nella stessa cartella di FRST64.exe, avvia FRST come Amministratore e premi Fix. Al termine, FRST genererà Fixlog.txt con l’esito delle operazioni.

Controlli finali e pulizia residua

  1. Verifica Policies: apri edge://policy e chrome://policy, clicca Reload policies e controlla che non compaiano più voci relative a ExtensionInstallForcelist/ExtensionSettings.
  2. Controlla Estensioni: in edge://extensions e chrome://extensions l’estensione sospetta deve essere sparita e non più forzata.
  3. Elimina l’updater rimasto: cancella manualmente: C:\Program Files (x86)\Web Browser Solutions\Web Browser\UniversalUpdater.exe se presente, insieme all’intera cartella Web Browser Solutions.
  4. Rimuovi gli strumenti: elimina FRST64.exe e la cartella C:\FRST dopo aver conservato i log per eventuale audit.

Script di verifica e bonifica aggiuntiva (PowerShell avanzato)

Per chi preferisce uno script unico di bonifica delle aree più comuni (Policies, Task e file noti), ecco un esempio best effort. Eseguilo in PowerShell come Amministratore:

$ErrorActionPreference = 'SilentlyContinue'

1) Mappa dei percorsi Policies (Edge/Chrome, utente/machine, 32bit/64bit)

$policyPaths = @(
"HKCU:\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist",
"HKCU:\SOFTWARE\Policies\Microsoft\Edge\ExtensionSettings",
"HKLM:\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist",
"HKLM:\SOFTWARE\Policies\Microsoft\Edge\ExtensionSettings",
"HKLM:\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge\ExtensionInstallForcelist",
"HKLM:\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge\ExtensionSettings",
"HKCU:\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist",
"HKCU:\SOFTWARE\Policies\Google\Chrome\ExtensionSettings",
"HKLM:\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist",
"HKLM:\SOFTWARE\Policies\Google\Chrome\ExtensionSettings",
"HKLM:\SOFTWARE\WOW6432Node\Policies\Google\Chrome\ExtensionInstallForcelist",
"HKLM:\SOFTWARE\WOW6432Node\Policies\Google\Chrome\ExtensionSettings"
)

Write-Host ">>> Rimozione Policies forzate per Edge/Chrome..."
foreach ($p in $policyPaths) {
if (Test-Path $p) {
Remove-Item -Path $p -Recurse -Force
Write-Host " - Eliminato: $p"
}
}

2) Disattiva ed elimina task noti o sospetti

Write-Host ">>> Ricerca ed eliminazione Task sospetti..."
$taskPatterns = @("Web Browser Solutions","UniversalUpdater","RegCyanica","CelestialQuasaror")
schtasks /Query /FO LIST /V | Out-Null # forza inizializzazione
Get-ScheduledTask | Where-Object {
$n = $.TaskName + " " + $.TaskPath
$taskPatterns | ForEach-Object { $n -match $ } | Where-Object { $ -eq $true }
} | ForEach-Object {
try { Disable-ScheduledTask -TaskName $.TaskName -TaskPath $.TaskPath -ErrorAction SilentlyContinue } catch {}
try { Unregister-ScheduledTask -TaskName $.TaskName -TaskPath $.TaskPath -Confirm:$false } catch {}
Write-Host " - Rimosso task: $($.TaskPath)$($.TaskName)"
}

3) Termina e rimuovi l'updater e relative cartelle

Write-Host ">>> Terminazione e rimozione updater..."
$exe = "C:\Program Files (x86)\Web Browser Solutions\Web Browser\UniversalUpdater.exe"
$dir = Split-Path $exe -Parent
Get-Process | Where-Object { $.Path -eq $exe } | ForEach-Object { Stop-Process -Id $.Id -Force }
if (Test-Path $exe) { Remove-Item $exe -Force }
if (Test-Path $dir) { Remove-Item $dir -Recurse -Force }

Write-Host ">>> Bonifica terminata. Riavvia i browser e verifica edge://policy e chrome://policy." 

Perché l’estensione “riappare” con nomi/ID diversi

Se una Policy è scritta sotto HKLM (macchina) o HKCU (utente), il browser tenterà di installare l’estensione indicata ogni volta che:

  • crei un nuovo profilo utente del browser;
  • cancelli la cartella del profilo e la ricrei;
  • esegui un aggiornamento del browser o dell’estensione;
  • avvii con parametri “puliti”.

È per questo che la disinstallazione dall’interfaccia non basta: finché resta anche una sola chiave (ExtensionInstallForcelist/ExtensionSettings) l’estensione tornerà, magari con un nome diverso ma con permessi identici.

Verifiche post-bonifica

  • Policy zero-based: nessuna voce relativa a ExtensionInstallForcelist o ExtensionSettings in edge://policy/chrome://policy.
  • Estensioni pulite: la scheda Estensioni non deve mostrare elementi “installati dall’organizzazione”.
  • Scheduled task/servizi: nessun task che richiami updater o script di ripristino delle Policies.
  • File residui: la cartella “Web Browser Solutions” dev’essere assente; l’eseguibile UniversalUpdater.exe cancellato.
  • Log FRST: Fixlog.txt deve confermare la rimozione delle chiavi/file individuati.

Raccomandazioni di sicurezza e prevenzione

  1. Antivirus/Antimalware: esegui una scansione completa (Microsoft Defender, Malwarebytes o equivalente) per intercettare eventuali payload rimasti.
  2. Aggiornamenti costanti: mantieni Windows, Edge/Chrome e i componenti di sicurezza sempre aggiornati. Gli aggiornamenti tappano vulnerabilità usate per la persistenza.
  3. Verifiche periodiche: una volta al mese controlla edge://policy / chrome://policy e dai uno sguardo a C:\Program Files (x86) alla ricerca di cartelle anomale.
  4. Principio del minimo privilegio: naviga con un account standard. Usa l’amministratore solo quando serve davvero. Riduci così la superficie di abuso delle Policies macchina.
  5. Backup e punti di ripristino: tieni sempre un backup offline. Prima di modificare il Registro o usare tool di pulizia crea un punto di ripristino.

Domande frequenti

E se il PC è aziendale?

In ambienti gestiti, l’etichetta “Installed by your organization” può essere legittima. Se il dispositivo è vincolato a criteri di dominio/MDM, non rimuovere le Policies senza autorizzazione: potresti violare policy aziendali. Questa guida è pensata per PC personali o scenari in cui l’origine è chiaramente malevola.

Non trovo ExtensionInstallForcelist, ma l’estensione è ancora lì

Controlla ExtensionSettings: molte campagne recenti usano questa chiave con valori JSON per forzare l’installazione. Elimina i valori che impongono force_installed. Ricontrolla anche la branch WOW6432Node.

Ho cancellato le chiavi ma dopo il riavvio tornano

Quasi sempre è un scheduled task o un eseguibile updater (come UniversalUpdater.exe) a ripristinarle. Scansiona con FRST, rimuovi task/file e ripeti la bonifica Policies.

Posso limitare in modo proattivo le estensioni?

Sì. Su PC personali puoi usare le Blocklist/Allowlist delle estensioni (Edge/Chrome) per consentire solo ID noti. È un’ottima tecnica di hardening, ma richiede la gestione consapevole degli ID.

Riepilogo operativo

  1. Diagnostica: individua le Policies in edge://policy/chrome://policy e recupera gli ID estensione.
  2. Bonifica rapida: cancella ExtensionInstallForcelist e ExtensionSettings (Edge/Chrome, HKCU/HKLM, incl. WOW6432Node).
  3. Bonifica profonda: crea un fixlist FRST per rimuovere updater, task e residui; applica il fix e riavvia.
  4. Verifica: nessuna Policy forzata, nessuna estensione “dell’organizzazione”, nessun file residuo (UniversalUpdater.exe).
  5. Prevenzione: scansioni AV, aggiornamenti, account standard, controlli periodici, backup.

Checklist pratica

  • Backup & punto di ripristino creati.
  • Policies Edge/Chrome rimosse (HKCU/HKLM + WOW6432Node).
  • ExtensionSettings ripulito da voci force_installed.
  • Task pianificati sospetti rimossi.
  • UniversalUpdater.exe e cartella “Web Browser Solutions” eliminati.
  • FRST eseguito con fixlist personalizzato e Fixlog.txt controllato.
  • Estensioni pulite in tutti i profili browser.
  • Scansione antimalware completa eseguita.

Conclusioni

Il punto chiave è rimuovere la causa (Policies che forzano l’estensione) e la persistenza (updater, task). La combinazione di rimozione manuale mirata, fixlist FRST e controlli post-bonifica elimina la ricomparsa dell’estensione in Edge/Chrome e chiude la strada a payload collegati. Applicando le raccomandazioni finali, riduci drasticamente le possibilità di reinfezione.


Risultato atteso: le estensioni malevole in Edge/Chrome scompaiono e non si reinstallano più, anche creando nuovi profili.


Indice