Se Edge o Chrome ripristinano automaticamente “Criteri” indesiderati ogni poche ore, la causa non è il registro in sé ma un meccanismo che li riscrive. In questa guida spieghiamo come individuare l’origine (task e script), rimuoverla in modo sicuro con FRST o manualmente e prevenire il ripetersi del problema.
Panoramica del problema
Alcune installazioni di Microsoft Edge o Google Chrome possono manifestare una ricreazione periodica di policy (criteri) non richieste, spesso collegate a estensioni invasive o ad alterazioni della configurazione aziendale/enterprise. Il sintomo tipico è che, anche dopo avere eliminato le relative chiavi del registro e riavviato il PC, le policy tornano allo stato precedente entro 2–4 ore o al successivo avvio del browser.
Sintomi osservati
- Policy che riappaiono su
edge://policyochrome://policydopo la loro cancellazione manuale. - Reinstallazione forzata di estensioni non desiderate.
- Attività di sistema in concomitanza con il ripristino: processi come
edgeupdatemesvchost.exe (gpsvc)risultano attivi nel momento della ricreazione delle chiavi.
Perché la sola cancellazione del registro non basta
Il registro è un archivio di configurazione. Se una policy viene riscritta da un agente esterno (script, servizio, attività pianificata), la sua rimozione manuale è solo temporanea. Ogni nuova lettura dei criteri da parte del browser o del servizio Group Policy Client (gpsvc) reimporta i valori se qualcuno li rimette in coda.
| Componente | Ruolo nel problema | Segnali tipici |
|---|---|---|
| Attività pianificata | Innesca periodicamente uno script | Esecuzioni a intervallo costante (es. ogni 2–4 ore) |
| Script PowerShell | Scrive le chiavi di policy e reinstalla estensioni | Percorsi in C:\Windows\System32\*.ps1 o cartelle di sistema |
| Browser / gpsvc | Ricarica le policy dal registro | Policy che ricompaiono dopo il riavvio o il “Ricarica criteri” |
Analisi e diagnostica
Una diagnosi affidabile parte dall’osservazione di cosa riscrive le chiavi. In un caso reale, tre strumenti hanno fornito il quadro completo:
Strumenti e tracce raccolte
- Process Monitor ed Event Viewer per correlare l’istante di ricomparsa delle policy con processi attivi (
edgeupdatem,svchost.execon serviziogpsvc). - Farbar Recovery Scan Tool (FRST) per mappare attività pianificate, script e persistences, producendo i log
FRST.txteAddition.txt.
Scoperta chiave
All’interno dei log è emersa un’attività pianificata sospetta, denominata KondSerp_OptimizerV2, che avviava ciclicamente PowerShell per eseguire il file:
C:\Windows\System32\KondSerp_Optimizer.ps1
Lo script forzava l’installazione di estensioni su Edge/Chrome impostando la policy ExtensionInstallForcelist e ripristinando così, a intervalli, sia le estensioni indesiderate sia i criteri corrispondenti.
Come funziona ExtensionInstallForcelist
ExtensionInstallForcelist è una policy legittima che consente a amministratori IT di imporre estensioni specifiche. Viene implementata scrivendo valori nel registro sotto le chiavi “Policies” di Edge o Chrome, con coppie IDEstensione;URLAggiornamento. Un attore non autorizzato può abusarne per mantenere installazioni indesiderate.
| Prodotto | Chiave policy (per‑utente) | Chiave policy (per‑macchina) | Valori tipici |
|---|---|---|---|
| Microsoft Edge | HKCU\SOFTWARE\Policies\Microsoft\Edge | HKLM\SOFTWARE\Policies\Microsoft\Edge | ExtensionInstallForcelist = 1, 2, … |
| Google Chrome | HKCU\SOFTWARE\Policies\Google\Chrome | HKLM\SOFTWARE\Policies\Google\Chrome | ExtensionInstallForcelist = 1, 2, … |
Procedura di bonifica consigliata con FRST
La modalità Fix di FRST permette di rimuovere in un’unica operazione la persistenza (task), lo script e le policy correlate. Questa è la soluzione che ha risolto in modo definitivo il caso documentato.
Prerequisiti e avvertenze
- Eseguire un backup o creare un punto di ripristino.
- Usare FRST con privilegi di amministratore e la versione adatta all’architettura (x64 nella maggior parte dei casi).
- Se il PC è unito a dominio o gestito con MDM, coinvolgere l’IT: una GPO legittima potrebbe reimporre policy.
Creazione del Fixlist personalizzato
Un esperto analizza FRST.txt e Addition.txt per costruire un Fixlist.txt mirato. Gli obiettivi minimi sono:
- Disattivare ed eliminare KondSerp_OptimizerV2.
- Rimuovere
C:\Windows\System32\KondSerp_Optimizer.ps1e file correlati. - Cancellare le chiavi policy di Edge/Chrome (sia
HKLMsiaHKCU, includendo eventuali nodiWow6432Node).
Per chiarezza, ecco un esempio orientativo di contenuto che un fixlist può includere (da adattare al caso specifico). Non copiare alla lettera senza verifica dei log:
Start::
CreateRestorePoint:
CMD: schtasks /Change /TN "\KondSerp_OptimizerV2" /Disable
CMD: schtasks /Delete /TN "\KondSerp_OptimizerV2" /F
CMD: powershell -NoP -C "Get-Item 'C:\Windows\System32\KondSerpOptimizer.ps1' -EA SilentlyContinue | % { $.Attributes='Normal'; Remove-Item -LiteralPath $_.FullName -Force }"
DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Edge
DeleteKey: HKCU\SOFTWARE\Policies\Microsoft\Edge
DeleteKey: HKLM\SOFTWARE\Policies\Google\Chrome
DeleteKey: HKCU\SOFTWARE\Policies\Google\Chrome
CMD: reg delete "HKLM\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge" /f
CMD: reg delete "HKLM\SOFTWARE\WOW6432Node\Policies\Google\Chrome" /f
EmptyTemp:
End::
Salvare Fixlist.txt nella stessa cartella di FRST. Avviare FRST come amministratore, premere Fix e attendere il riavvio automatico.
Esecuzione della correzione e riavvio
FRST applica in sequenza lo script, quaratena file e chiavi, e produce un log Fixlog.txt. Il sistema verrà riavviato al termine per liberare handle ed eseguire operazioni “PendingDelete”.
Verifiche post‑fix
- Aprire
edge://policyechrome://policy, premere Reload policies: la voceExtensionInstallForcelistnon deve essere presente (o deve essere vuota). - Eseguire:
reg query "HKLM\SOFTWARE\Policies\Microsoft\Edge" reg query "HKCU\SOFTWARE\Policies\Microsoft\Edge" reg query "HKLM\SOFTWARE\Policies\Google\Chrome" reg query "HKCU\SOFTWARE\Policies\Google\Chrome"Le query devono restituire “Impossibile trovare la chiave” o comunque non contenereExtensionInstallForcelist. - Monitorare per almeno 24 ore di utilizzo normale: le policy non devono più ripresentarsi. Nel caso documentato, dopo un giorno non si è verificata alcuna ricomparsa → problema risolto.
Alternativa manuale senza FRST
Se non è possibile usare FRST, si può intervenire manualmente. Richiede attenzione e privilegi amministrativi.
Rimozione dell’attività pianificata e dello script
rem Verifica se l'attività esiste
schtasks /Query /TN "\KondSerp_OptimizerV2"
rem Disabilita ed elimina
schtasks /Change /TN "\KondSerp_OptimizerV2" /Disable
schtasks /Delete /TN "\KondSerp_OptimizerV2" /F
rem Sblocca e rimuovi lo script
takeown /F "C:\Windows\System32\KondSerp_Optimizer.ps1"
icacls "C:\Windows\System32\KondSerp_Optimizer.ps1" /grant administrators:F
del /F /Q "C:\Windows\System32\KondSerp_Optimizer.ps1" </code></pre>
<h3>Pulizia delle policy</h3>
<pre><code>reg delete "HKLM\SOFTWARE\Policies\Microsoft\Edge" /f
reg delete "HKCU\SOFTWARE\Policies\Microsoft\Edge" /f
reg delete "HKLM\SOFTWARE\Policies\Google\Chrome" /f
reg delete "HKCU\SOFTWARE\Policies\Google\Chrome" /f
reg delete "HKLM\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge" /f
reg delete "HKLM\SOFTWARE\WOW6432Node\Policies\Google\Chrome" /f
</code></pre>
<p>Chiudere e riaprire i browser, quindi ricaricare i criteri dalle pagine dedicate del browser.</p>
<h3>Ripristino dell’integrità di Edge/Chrome</h3>
<ul>
<li>Controllare ed eventualmente rimuovere le cartelle delle estensioni utente:
<pre><code>%LOCALAPPDATA%\Microsoft\Edge\User Data\Default\Extensions
%LOCALAPPDATA%\Google\Chrome\User Data\Default\Extensions
In Impostazioni → Estensioni, disattivare/rimuovere quelle non riconosciute.
Valutare un “Ripristino impostazioni” di Edge/Chrome (senza cancellare dati personali se non necessario).
Pulizia finale e housekeeping
Dopo la bonifica è consigliato rimuovere gli strumenti utilizzati e le loro cartelle di lavoro per evitare falsi positivi futuri e conservare solo quanto strettamente necessario per la documentazione.
- Eliminare
C:\FRST(contiene log e quarantena dello script rimosso). - Eliminare l’eseguibile di FRST utilizzato.
- Conservare
Fixlog.txtin un archivio sicuro, se serve una traccia di audit.
Prevenzione e buone pratiche
- Mantenere attivo e aggiornato Windows Defender con protezione in tempo reale e controllo periodico.
- Evitare “ottimizzatori” o tool non ufficiali che promettono performance miracolose: potrebbero introdurre script simili a quello descritto.
- Controllare periodicamente le Attività pianificate:
powershell -NoP -C "Get-ScheduledTask | Where-Object { $_.TaskName -match 'KondSerp|Optimizer|Update|PS1' -or ($_.Actions | Out-String) -match 'powershell|\.ps1' } | Select-Object TaskName, State, @{n='Azioni';e={ ($_.Actions | Out-String).Trim() }}" - Abilitare l’opzione “Blocco script sospetti” in Defender (Controllo accesso alle cartelle/Protezione da ransomware se disponibile) e SmartScreen.
- Se il PC è aziendale, verificare con l’IT che non siano presenti GPO intenzionali per l’installazione di estensioni.
Domande frequenti
Le policy tornano dopo la pulizia: cosa posso aver dimenticato?
Verificare la presenza di attività pianificate con nomi diversi, servizi terzi che eseguono script, o chiavi duplicate sotto Wow6432Node. Controllare anche profili utente multipli.
È normale vedere edgeupdatem o gpsvc attivi?
Sì, sono processi legittimi. Nel contesto descritto fungono da “segnaposto temporale”: quando rilevano la policy appena riscritta, il browser/servizio la ricarica. Il punto è scovare chi scrive la policy (il task e lo script).
Posso agire solo sul registro?
No. Senza rimuovere la causa (attività e script), il registro verrà nuovamente popolato. Serve un intervento alla radice.
FRST è sicuro?
È uno strumento potente, ampiamente usato in ambito forense e di supporto tecnico. Va impiegato con cautela e fixlist mirati, preferibilmente da personale esperto.
Indicatori di compromissione e check rapidi
- Task sospetti: nomi che richiamano “Optimizer”, “Serp”, “Update”, o che eseguono PowerShell/PS1.
- Script in cartelle di sistema: file
.ps1dentroC:\Windows\System32oC:\ProgramDatanon firmati. - Policy forzate: voci
ExtensionInstallForcelistin Edge/Chrome con ID sconosciuti.
Esempio di script PowerShell di sola verifica (nessuna cancellazione) per un check in 60 secondi:
powershell -NoProfile -ExecutionPolicy Bypass -Command ^
"$regPaths = @(
'HKLM:\SOFTWARE\Policies\Microsoft\Edge',
'HKCU:\SOFTWARE\Policies\Microsoft\Edge',
'HKLM:\SOFTWARE\Policies\Google\Chrome',
'HKCU:\SOFTWARE\Policies\Google\Chrome',
'HKLM:\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge',
'HKLM:\SOFTWARE\WOW6432Node\Policies\Google\Chrome'
);
Write-Host '--- Policy rilevate ---';
foreach ($p in $regPaths) {
if (Test-Path $p) {
Get-ItemProperty -Path $p |
Select-Object PSPath, InstallForce | Format-List
}
}
Write-Host '--- Attività PowerShell ---';
Get-ScheduledTask | Where-Object {
($_.Actions | Out-String) -match 'powershell|\.ps1'
} | Select-Object TaskName, State, @{n='Azioni';e={ ($_.Actions | Out-String).Trim() }} | Format-List
"
Modello operativo riutilizzabile
- Osserva: quando le policy riappaiono, prendi nota di orario e processi attivi.
- Isola: individua attività e script collegati alla riscrittura delle chiavi.
- Bonifica: rimuovi attività, script e policy con FRST o manualmente.
- Verifica: controlla le pagine policy del browser e il registro; monitora 24 ore.
- Previeni: hardening, controlli periodici delle attività e igiene del software installato.
Conclusioni
Quando Edge o Chrome ripristinano criteri indesiderati, il problema raramente è “nel browser”: è quasi sempre una persistenza che riscrive il registro. Nel caso descritto, l’attività pianificata KondSerpOptimizerV2 e lo script KondSerpOptimizer.ps1 ricreavano ExtensionInstallForcelist e reinstallavano estensioni intrusive. La rimozione definitiva richiede due mosse: eliminare la sorgente (task+script) e ripulire l’effetto (policy ed eventuali estensioni). Con FRST in modalità Fix la bonifica è rapida e affidabile; in alternativa, i passaggi manuali riportati sopra consentono comunque di chiudere l’anello. Una volta completata la pulizia e verificato il comportamento per almeno 24 ore, il sistema ritorna a uno stato stabile.
Appendice: percorsi e chiavi utili in un colpo d’occhio
| Elemento | Percorso/Chiave | Azione |
|---|---|---|
| Task sospetto | \KondSerp_OptimizerV2 | Disabilitare ed eliminare |
| Script PowerShell | C:\Windows\System32\KondSerp_Optimizer.ps1 | Rimuovere |
| Policy Edge (utente) | HKCU\SOFTWARE\Policies\Microsoft\Edge | Cancellare se contiene ExtensionInstallForcelist |
| Policy Edge (macchina) | HKLM\SOFTWARE\Policies\Microsoft\Edge | Cancellare |
| Policy Chrome (utente) | HKCU\SOFTWARE\Policies\Google\Chrome | Cancellare |
| Policy Chrome (macchina) | HKLM\SOFTWARE\Policies\Google\Chrome | Cancellare |
| Varianti 32‑bit | HKLM\SOFTWARE\WOW6432Node\Policies\... | Controllare e cancellare |
| Cartelle estensioni | %LOCALAPPDATA%\Microsoft\Edge\User Data\Default\Extensions%LOCALAPPDATA%\Google\Chrome\User Data\Default\Extensions | Rimuovere le estensioni non riconosciute |
| Cartella FRST | C:\FRST | Eliminare al termine |
Memo operativo: dopo avere completato la bonifica, ricordarsi di eliminare C:\FRST e l’eseguibile FRST per chiudere l’operazione e lasciare il sistema pulito.
Esito atteso: a distanza di 24 ore di utilizzo normale, le policy non devono ripresentarsi; Edge e Chrome devono mostrare pagine policy senza voci forzate non autorizzate.