Rimozione definitiva delle policy indesiderate in Microsoft Edge e Google Chrome: guida completa con FRST, attività pianificate e PowerShell

Se Edge o Chrome ripristinano automaticamente “Criteri” indesiderati ogni poche ore, la causa non è il registro in sé ma un meccanismo che li riscrive. In questa guida spieghiamo come individuare l’origine (task e script), rimuoverla in modo sicuro con FRST o manualmente e prevenire il ripetersi del problema.

Indice

Panoramica del problema

Alcune installazioni di Microsoft Edge o Google Chrome possono manifestare una ricreazione periodica di policy (criteri) non richieste, spesso collegate a estensioni invasive o ad alterazioni della configurazione aziendale/enterprise. Il sintomo tipico è che, anche dopo avere eliminato le relative chiavi del registro e riavviato il PC, le policy tornano allo stato precedente entro 2–4 ore o al successivo avvio del browser.

Sintomi osservati

Policy che riappaiono su edge://policy o chrome://policy dopo la loro cancellazione manuale.
Reinstallazione forzata di estensioni non desiderate.
Attività di sistema in concomitanza con il ripristino: processi come edgeupdatem e svchost.exe (gpsvc) risultano attivi nel momento della ricreazione delle chiavi.

Perché la sola cancellazione del registro non basta

Il registro è un archivio di configurazione. Se una policy viene riscritta da un agente esterno (script, servizio, attività pianificata), la sua rimozione manuale è solo temporanea. Ogni nuova lettura dei criteri da parte del browser o del servizio Group Policy Client (gpsvc) reimporta i valori se qualcuno li rimette in coda.

Componente	Ruolo nel problema	Segnali tipici
Attività pianificata	Innesca periodicamente uno script	Esecuzioni a intervallo costante (es. ogni 2–4 ore)
Script PowerShell	Scrive le chiavi di policy e reinstalla estensioni	Percorsi in `C:\Windows\System32\*.ps1` o cartelle di sistema
Browser / gpsvc	Ricarica le policy dal registro	Policy che ricompaiono dopo il riavvio o il “Ricarica criteri”

Analisi e diagnostica

Una diagnosi affidabile parte dall’osservazione di cosa riscrive le chiavi. In un caso reale, tre strumenti hanno fornito il quadro completo:

Strumenti e tracce raccolte

Process Monitor ed Event Viewer per correlare l’istante di ricomparsa delle policy con processi attivi (edgeupdatem, svchost.exe con servizio gpsvc).
Farbar Recovery Scan Tool (FRST) per mappare attività pianificate, script e persistences, producendo i log FRST.txt e Addition.txt.

Scoperta chiave

All’interno dei log è emersa un’attività pianificata sospetta, denominata KondSerp_OptimizerV2, che avviava ciclicamente PowerShell per eseguire il file:

C:\Windows\System32\KondSerp_Optimizer.ps1

Lo script forzava l’installazione di estensioni su Edge/Chrome impostando la policy ExtensionInstallForcelist e ripristinando così, a intervalli, sia le estensioni indesiderate sia i criteri corrispondenti.

Come funziona ExtensionInstallForcelist

ExtensionInstallForcelist è una policy legittima che consente a amministratori IT di imporre estensioni specifiche. Viene implementata scrivendo valori nel registro sotto le chiavi “Policies” di Edge o Chrome, con coppie IDEstensione;URLAggiornamento. Un attore non autorizzato può abusarne per mantenere installazioni indesiderate.

Prodotto	Chiave policy (per‑utente)	Chiave policy (per‑macchina)	Valori tipici
Microsoft Edge	`HKCU\SOFTWARE\Policies\Microsoft\Edge`	`HKLM\SOFTWARE\Policies\Microsoft\Edge`	`ExtensionInstallForcelist` = `1`, `2`, …
Google Chrome	`HKCU\SOFTWARE\Policies\Google\Chrome`	`HKLM\SOFTWARE\Policies\Google\Chrome`	`ExtensionInstallForcelist` = `1`, `2`, …

Procedura di bonifica consigliata con FRST

La modalità Fix di FRST permette di rimuovere in un’unica operazione la persistenza (task), lo script e le policy correlate. Questa è la soluzione che ha risolto in modo definitivo il caso documentato.

Prerequisiti e avvertenze

Eseguire un backup o creare un punto di ripristino.
Usare FRST con privilegi di amministratore e la versione adatta all’architettura (x64 nella maggior parte dei casi).
Se il PC è unito a dominio o gestito con MDM, coinvolgere l’IT: una GPO legittima potrebbe reimporre policy.

Creazione del Fixlist personalizzato

Un esperto analizza FRST.txt e Addition.txt per costruire un Fixlist.txt mirato. Gli obiettivi minimi sono:

Disattivare ed eliminare KondSerp_OptimizerV2.
Rimuovere C:\Windows\System32\KondSerp_Optimizer.ps1 e file correlati.
Cancellare le chiavi policy di Edge/Chrome (sia HKLM sia HKCU, includendo eventuali nodi Wow6432Node).

Per chiarezza, ecco un esempio orientativo di contenuto che un fixlist può includere (da adattare al caso specifico). Non copiare alla lettera senza verifica dei log:

Start::
CreateRestorePoint:
CMD: schtasks /Change /TN "\KondSerp_OptimizerV2" /Disable
CMD: schtasks /Delete /TN "\KondSerp_OptimizerV2" /F
CMD: powershell -NoP -C "Get-Item 'C:\Windows\System32\KondSerpOptimizer.ps1' -EA SilentlyContinue | % { $.Attributes='Normal'; Remove-Item -LiteralPath $_.FullName -Force }"
DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Edge
DeleteKey: HKCU\SOFTWARE\Policies\Microsoft\Edge
DeleteKey: HKLM\SOFTWARE\Policies\Google\Chrome
DeleteKey: HKCU\SOFTWARE\Policies\Google\Chrome
CMD: reg delete "HKLM\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge" /f
CMD: reg delete "HKLM\SOFTWARE\WOW6432Node\Policies\Google\Chrome" /f
EmptyTemp:
End::

Salvare Fixlist.txt nella stessa cartella di FRST. Avviare FRST come amministratore, premere Fix e attendere il riavvio automatico.

Esecuzione della correzione e riavvio

FRST applica in sequenza lo script, quaratena file e chiavi, e produce un log Fixlog.txt. Il sistema verrà riavviato al termine per liberare handle ed eseguire operazioni “PendingDelete”.

Verifiche post‑fix

Aprire edge://policy e chrome://policy, premere Reload policies: la voce ExtensionInstallForcelist non deve essere presente (o deve essere vuota).
Eseguire: reg query "HKLM\SOFTWARE\Policies\Microsoft\Edge" reg query "HKCU\SOFTWARE\Policies\Microsoft\Edge" reg query "HKLM\SOFTWARE\Policies\Google\Chrome" reg query "HKCU\SOFTWARE\Policies\Google\Chrome" Le query devono restituire “Impossibile trovare la chiave” o comunque non contenere ExtensionInstallForcelist.
Monitorare per almeno 24 ore di utilizzo normale: le policy non devono più ripresentarsi. Nel caso documentato, dopo un giorno non si è verificata alcuna ricomparsa → problema risolto.

Alternativa manuale senza FRST

Se non è possibile usare FRST, si può intervenire manualmente. Richiede attenzione e privilegi amministrativi.

Rimozione dell’attività pianificata e dello script

rem Verifica se l'attività esiste
schtasks /Query /TN "\KondSerp_OptimizerV2"

rem Disabilita ed elimina
schtasks /Change /TN "\KondSerp_OptimizerV2" /Disable
schtasks /Delete /TN "\KondSerp_OptimizerV2" /F

rem Sblocca e rimuovi lo script
takeown /F "C:\Windows\System32\KondSerp_Optimizer.ps1"
icacls "C:\Windows\System32\KondSerp_Optimizer.ps1" /grant administrators:F
del /F /Q "C:\Windows\System32\KondSerp_Optimizer.ps1" </code></pre>

<h3>Pulizia delle policy</h3>
<pre><code>reg delete "HKLM\SOFTWARE\Policies\Microsoft\Edge" /f
reg delete "HKCU\SOFTWARE\Policies\Microsoft\Edge" /f
reg delete "HKLM\SOFTWARE\Policies\Google\Chrome" /f
reg delete "HKCU\SOFTWARE\Policies\Google\Chrome" /f
reg delete "HKLM\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge" /f
reg delete "HKLM\SOFTWARE\WOW6432Node\Policies\Google\Chrome" /f
</code></pre>
<p>Chiudere e riaprire i browser, quindi ricaricare i criteri dalle pagine dedicate del browser.</p>

<h3>Ripristino dell’integrità di Edge/Chrome</h3>
<ul>
  <li>Controllare ed eventualmente rimuovere le cartelle delle estensioni utente:
    <pre><code>%LOCALAPPDATA%\Microsoft\Edge\User Data\Default\Extensions
%LOCALAPPDATA%\Google\Chrome\User Data\Default\Extensions

In Impostazioni → Estensioni, disattivare/rimuovere quelle non riconosciute.
Valutare un “Ripristino impostazioni” di Edge/Chrome (senza cancellare dati personali se non necessario).

Pulizia finale e housekeeping

Dopo la bonifica è consigliato rimuovere gli strumenti utilizzati e le loro cartelle di lavoro per evitare falsi positivi futuri e conservare solo quanto strettamente necessario per la documentazione.

Eliminare C:\FRST (contiene log e quarantena dello script rimosso).
Eliminare l’eseguibile di FRST utilizzato.
Conservare Fixlog.txt in un archivio sicuro, se serve una traccia di audit.

Prevenzione e buone pratiche

Mantenere attivo e aggiornato Windows Defender con protezione in tempo reale e controllo periodico.
Evitare “ottimizzatori” o tool non ufficiali che promettono performance miracolose: potrebbero introdurre script simili a quello descritto.
Controllare periodicamente le Attività pianificate: powershell -NoP -C "Get-ScheduledTask | Where-Object { $_.TaskName -match 'KondSerp|Optimizer|Update|PS1' -or ($_.Actions | Out-String) -match 'powershell|\.ps1' } | Select-Object TaskName, State, @{n='Azioni';e={ ($_.Actions | Out-String).Trim() }}"
Abilitare l’opzione “Blocco script sospetti” in Defender (Controllo accesso alle cartelle/Protezione da ransomware se disponibile) e SmartScreen.
Se il PC è aziendale, verificare con l’IT che non siano presenti GPO intenzionali per l’installazione di estensioni.

Domande frequenti

Le policy tornano dopo la pulizia: cosa posso aver dimenticato?

Verificare la presenza di attività pianificate con nomi diversi, servizi terzi che eseguono script, o chiavi duplicate sotto Wow6432Node. Controllare anche profili utente multipli.

È normale vedere `edgeupdatem` o `gpsvc` attivi?

Sì, sono processi legittimi. Nel contesto descritto fungono da “segnaposto temporale”: quando rilevano la policy appena riscritta, il browser/servizio la ricarica. Il punto è scovare chi scrive la policy (il task e lo script).

Posso agire solo sul registro?

No. Senza rimuovere la causa (attività e script), il registro verrà nuovamente popolato. Serve un intervento alla radice.

FRST è sicuro?

È uno strumento potente, ampiamente usato in ambito forense e di supporto tecnico. Va impiegato con cautela e fixlist mirati, preferibilmente da personale esperto.

Indicatori di compromissione e check rapidi

Task sospetti: nomi che richiamano “Optimizer”, “Serp”, “Update”, o che eseguono PowerShell/PS1.
Script in cartelle di sistema: file .ps1 dentro C:\Windows\System32 o C:\ProgramData non firmati.
Policy forzate: voci ExtensionInstallForcelist in Edge/Chrome con ID sconosciuti.

Esempio di script PowerShell di sola verifica (nessuna cancellazione) per un check in 60 secondi:

powershell -NoProfile -ExecutionPolicy Bypass -Command ^
  "$regPaths = @(
    'HKLM:\SOFTWARE\Policies\Microsoft\Edge',
    'HKCU:\SOFTWARE\Policies\Microsoft\Edge',
    'HKLM:\SOFTWARE\Policies\Google\Chrome',
    'HKCU:\SOFTWARE\Policies\Google\Chrome',
    'HKLM:\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge',
    'HKLM:\SOFTWARE\WOW6432Node\Policies\Google\Chrome'
  );
  Write-Host '--- Policy rilevate ---';
  foreach ($p in $regPaths) {
    if (Test-Path $p) {
      Get-ItemProperty -Path $p | 
        Select-Object PSPath, InstallForce | Format-List
    }
  }
  Write-Host '--- Attività PowerShell ---';
  Get-ScheduledTask | Where-Object {
    ($_.Actions | Out-String) -match 'powershell|\.ps1'
  } | Select-Object TaskName, State, @{n='Azioni';e={ ($_.Actions | Out-String).Trim() }} | Format-List
"

Modello operativo riutilizzabile

Osserva: quando le policy riappaiono, prendi nota di orario e processi attivi.
Isola: individua attività e script collegati alla riscrittura delle chiavi.
Bonifica: rimuovi attività, script e policy con FRST o manualmente.
Verifica: controlla le pagine policy del browser e il registro; monitora 24 ore.
Previeni: hardening, controlli periodici delle attività e igiene del software installato.

Conclusioni

Quando Edge o Chrome ripristinano criteri indesiderati, il problema raramente è “nel browser”: è quasi sempre una persistenza che riscrive il registro. Nel caso descritto, l’attività pianificata KondSerpOptimizerV2 e lo script KondSerpOptimizer.ps1 ricreavano ExtensionInstallForcelist e reinstallavano estensioni intrusive. La rimozione definitiva richiede due mosse: eliminare la sorgente (task+script) e ripulire l’effetto (policy ed eventuali estensioni). Con FRST in modalità Fix la bonifica è rapida e affidabile; in alternativa, i passaggi manuali riportati sopra consentono comunque di chiudere l’anello. Una volta completata la pulizia e verificato il comportamento per almeno 24 ore, il sistema ritorna a uno stato stabile.

Appendice: percorsi e chiavi utili in un colpo d’occhio

Elemento	Percorso/Chiave	Azione
Task sospetto	`\KondSerp_OptimizerV2`	Disabilitare ed eliminare
Script PowerShell	`C:\Windows\System32\KondSerp_Optimizer.ps1`	Rimuovere
Policy Edge (utente)	`HKCU\SOFTWARE\Policies\Microsoft\Edge`	Cancellare se contiene `ExtensionInstallForcelist`
Policy Edge (macchina)	`HKLM\SOFTWARE\Policies\Microsoft\Edge`	Cancellare
Policy Chrome (utente)	`HKCU\SOFTWARE\Policies\Google\Chrome`	Cancellare
Policy Chrome (macchina)	`HKLM\SOFTWARE\Policies\Google\Chrome`	Cancellare
Varianti 32‑bit	`HKLM\SOFTWARE\WOW6432Node\Policies\...`	Controllare e cancellare
Cartelle estensioni	`%LOCALAPPDATA%\Microsoft\Edge\User Data\Default\Extensions` `%LOCALAPPDATA%\Google\Chrome\User Data\Default\Extensions`	Rimuovere le estensioni non riconosciute
Cartella FRST	`C:\FRST`	Eliminare al termine

Memo operativo: dopo avere completato la bonifica, ricordarsi di eliminare C:\FRST e l’eseguibile FRST per chiudere l’operazione e lasciare il sistema pulito.

Esito atteso: a distanza di 24 ore di utilizzo normale, le policy non devono ripresentarsi; Edge e Chrome devono mostrare pagine policy senza voci forzate non autorizzate.