Ultralonen forza il motore di ricerca in Edge e Chrome e appare come “gestita dalla tua organizzazione”. Questa guida pratica mostra come rimuoverla eliminando le policy dal Registro di sistema oppure, in modo più semplice e sicuro, tramite FRST con un file fixlist dedicato, e come mettere in sicurezza il PC.
Panoramica del problema
Ultralonen è un’estensione che modifica le impostazioni di ricerca di Microsoft Edge e Google Chrome, spesso bloccandone la rimozione tramite criteri di gruppo (“Policies”) impostati nel Registro di sistema. Il sintomo tipico è il banner “Questa estensione è gestita dalla tua organizzazione”, l’impossibilità di disattivarla o disinstallarla e il ripristino continuo di un motore di ricerca indesiderato dopo ogni riavvio del browser.
La causa più comune è la presenza di chiavi e valori in HKLM e/o HKCU (rami “\SOFTWARE\Policies”) creati da adware/malware che impongono l’installazione o la riattivazione di estensioni via criteri come ExtensionInstallForcelist o altre impostazioni bloccanti.
Soluzione in breve (procedura consolidata)
| Passo | Azione | Dettagli |
|---|---|---|
| A | Eliminare manualmente le chiavi Policies (facoltativo) | 1) Chiudere Edge/Chrome. 2) Aprire regedit (Editor del Registro). 3) Navigare a: HKEYLOCALMACHINE\SOFTWARE\Policies\Microsoft\EdgeHKEYCURRENTUSER\SOFTWARE\Policies\Microsoft\EdgeHKEYLOCALMACHINE\SOFTWARE\Policies\Google\ChromeHKEYCURRENTUSER\SOFTWARE\Policies\Google\Chrome4) Eliminare le sotto‑cartelle relative a Edge/Chrome (se presenti). 5) Riavviare il PC e verificare se l’estensione è ora rimovibile dal browser. |
| B | Usare Farbar Recovery Scan Tool (FRST) | 1) Scaricare FRST64.exe (versione a 64 bit) e salvarlo in una cartella dedicata. 2) Eseguire Scan per generare FRST.txt e Addition.txt.3) Ottenere o creare un file fixlist.txt che elenchi le chiavi/policy da eliminare.4) Salvare fixlist.txt nella stessa cartella di FRST.5) Avviare FRST → Fix (il PC verrà riavviato). |
| C | Verifica ed eliminazione residui | Dopo il riavvio controllare che “Ultralonen” non compaia più e che il motore di ricerca resti stabile. Se tutto è risolto, cancellare FRST64.exe e la cartella C:\FRST. |
| D | Scansione antivirus finale | Eseguire Microsoft Safety Scanner o una analisi completa con Microsoft Defender per verificare l’assenza di componenti malevoli residui. |
Caso reale — In un thread di supporto, il Passo B (FRST + fixlist) ha rimosso con successo l’estensione: Edge e Chrome sono tornati a funzionare normalmente, con motore di ricerca stabile.
Prima di iniziare: sicurezza e preparazione
- Ambiente domestico vs aziendale: se il PC è aziendale e realmente gestito dall’IT, non rimuovere le policy. Contatta l’amministratore.
- Punto di ripristino: crea un Ripristino configurazione di sistema prima di modificare il Registro o di applicare fix con FRST.
- Backup: considera un backup dei preferiti e delle impostazioni del browser.
- Chiudi i browser: chiudi completamente Edge e Chrome prima di ogni intervento.
Passo A — Eliminare manualmente le chiavi Policies (facoltativo ma utile)
Questa via è efficace se le policy non si rigenerano automaticamente. È il metodo più “trasparente”, ma nei casi di adware attivo potrebbe non bastare.
- Premi Win + R, digita
regedite premi Invio. - Controlla le seguenti posizioni e rimuovi le chiavi relative a Edge/Chrome, se presenti:
HKEYLOCALMACHINE\SOFTWARE\Policies\Microsoft\EdgeHKEYCURRENTUSER\SOFTWARE\Policies\Microsoft\EdgeHKEYLOCALMACHINE\SOFTWARE\Policies\Google\ChromeHKEYCURRENTUSER\SOFTWARE\Policies\Google\Chrome
- Consiglio: su alcuni sistemi a 64 bit può esistere anche il ramo
HKEYLOCALMACHINE\SOFTWARE\WOW6432Node\Policies\.... Se trovi chiavi di Edge/Chrome qui, valuta la rimozione. - Riavvia il PC.
- Apri il browser e verifica: l’estensione “Ultralonen” è rimuovibile? Il motore di ricerca resta quello impostato?
Nota: se dopo il riavvio le chiavi ritornano o l’estensione si riattiva, passa direttamente al Passo B con FRST.
Passo B — Rimozione assistita con FRST (metodo consigliato)
Farbar Recovery Scan Tool (FRST) è un’utility diagnostica e di riparazione molto usata. Il suo flusso di lavoro è semplice: esegui una scansione, analizza i log (FRST.txt e Addition.txt), poi crei un fixlist.txt con i comandi per eliminare le voci malevole.
Come usarlo in pratica
- Scarica ed esegui FRST64.exe da una cartella dedicata (es.
C:\FRST-Work). - Scan: genera i due report (
FRST.txteAddition.txt) nella stessa cartella. - Prepara
fixlist.txtcon le voci da rimuovere (vedi esempi sotto) e salvalo nella stessa cartella di FRST. - Fix: clicca il pulsante Fix. FRST applicherà il contenuto di
fixlist.txt, genereràFixlog.txte riavvierà il PC.
Esempio di fixlist.txt minimale per rimuovere le policy di Edge/Chrome
CreateRestorePoint:
CloseProcesses:
DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Edge
DeleteKey: HKCU\SOFTWARE\Policies\Microsoft\Edge
DeleteKey: HKLM\SOFTWARE\Policies\Google\Chrome
DeleteKey: HKCU\SOFTWARE\Policies\Google\Chrome
Reboot:
EmptyTemp: Questo fixlist elimina le chiavi di policy imposte ai browser a livello Computer (HKLM) e Utente (HKCU). CreateRestorePoint aggiunge una rete di sicurezza, CloseProcesses chiude processi aperti che potrebbero bloccare le modifiche, EmptyTemp pulisce le cache temporanee e Reboot forza il riavvio a fine operazione.
Come individuare cosa inserire nel fixlist
Apri FRST.txt e Addition.txt e cerca termini come:
Policies\Microsoft\Edge,Policies\Google\ChromeExtensionInstallForcelist,ExtensionInstallBlacklist,ExtensionInstallSources- Voci di Attività pianificate (Scheduled Tasks) o Run/RunOnce che richiamano file sospetti legati a “Ultralonen”.
Se FRST evidenzia eseguibili o attività riconducibili a Ultralonen (o ad adware correlato), aggiungi al fixlist.txt le stesse righe incriminate così come compaiono nel log: FRST è progettato per rimuoverle quando vengono inserite nel fixlist. In caso di dubbi, limita il fixlist alle policy come nell’esempio: spesso basta per sbloccare la rimozione dell’estensione.
Dopo il Fix
- Controlla edge://policy e chrome://policy: su un PC domestico non gestito non dovrebbero essere presenti voci attive.
- Apri le pagine delle estensioni del browser e conferma che Ultralonen non sia più presente.
- Imposta il tuo motore di ricerca preferito e verifica che non venga sovrascritto dopo il riavvio.
Passo C — Verifica ed eliminazione residui
Se dopo il riavvio tutto è stabile:
- Rimuovi
FRST64.exe, la cartellaC:\FRSTe la cartella di lavoro. - Pulisci le estensioni inutilizzate in Edge/Chrome e ripristina eventuali impostazioni personalizzate.
Se invece noti che il motore di ricerca viene ancora cambiato o ricompaiono policy, passa alla sezione “Se le policy si rigenerano da sole”.
Passo D — Scansione antivirus finale
Esegui una analisi completa con Microsoft Defender o avvia Microsoft Safety Scanner per un’ulteriore verifica. Questo passaggio è importante per individuare componenti ancora presenti che potrebbero reimpostare le policy o reinstallare estensioni indesiderate.
Se le policy si rigenerano da sole
Se dopo averle eliminate ricompaiono, è probabile che un componente attivo (attività pianificata, servizio, voce di avvio) le riscriva. Ecco cosa fare:
- Riesegui FRST → Scan e cerca nel log:
- Voci sotto Task che richiamano file in
%AppData%,%LocalAppData%o cartelle temporanee. - Chiavi Run/RunOnce in
HKCUoHKLMcon eseguibili non firmati o dal nome casuale. - Servizi non riconosciuti o driver con percorsi insoliti.
- Voci sotto Task che richiamano file in
- Integra il fixlist copiando le stesse righe sospette dal log FRST nel tuo
fixlist.txt(oltre alleDeleteKeydelle policy). - Rilancia FRST → Fix e riavvia.
Nota: evita fixlist aggressivi se non sei certo di ciò che elimini. Procedi per passi incrementali: prima le policy, poi le attività/avvii sospetti.
Come creare un fixlist.txt autonomamente
Un fixlist ben scritto è essenziale. Ecco una metodologia semplice per costruirlo in autonomia.
Elementi da cercare nei log FRST
- Policy browser: chiavi sotto
HKLM\SOFTWARE\Policies\Microsoft\Edge,HKCU\SOFTWARE\Policies\Microsoft\Edge,HKLM\SOFTWARE\Policies\Google\Chrome,HKCU\SOFTWARE\Policies\Google\Chrome. - Forzature estensioni: valori come
ExtensionInstallForcelistche impongono installazioni. - Persistenze:
- Attività pianificate che eseguono file in
AppData/Local/Temp. - Voci di avvio (
Run/RunOnce) che richiamano eseguibili con nomi casuali. - Servizi/driver non firmati o ricondotti a Ultralonen/adware.
- Attività pianificate che eseguono file in
Esempi di voci tipiche da inserire
Oltre alle quattro DeleteKey per Edge/Chrome, valuta di includere (copiandole dal log FRST) righe come queste (esempi generici):
HKCU\...\Run: [NomeSospetto] => C:\Users\%username%\AppData\Local\Temp\abc123.exe
HKLM\...\Run: [UpdaterXYZ] => C:\ProgramData\UpdaterXYZ\updater.exe
Task: {GUID-CASUALE} - System32\Tasks\AggiornamentoBrowser => C:\Users\%username%\AppData\Local\Temp\up.exe
C:\Users\%username%\AppData\Local\Temp\abc123.exe
C:\ProgramData\UpdaterXYZ\updater.exe
Queste righe, riportate esattamente dal log FRST, permettono allo strumento di rimuovere le corrispondenti voci/percorsi durante il Fix.
Modello di fixlist “completo ma prudente”
CreateRestorePoint:
CloseProcesses:
DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Edge
DeleteKey: HKCU\SOFTWARE\Policies\Microsoft\Edge
DeleteKey: HKLM\SOFTWARE\Policies\Google\Chrome
DeleteKey: HKCU\SOFTWARE\Policies\Google\Chrome
; --- Esempi da sostituire con le tue voci reali prese da FRST.txt ---
; HKCU...\Run / HKLM...\Run sospetti
HKCU...\Run: [NomeSospetto] => C:\Users%username%\AppData\Local\Temp\abc123.exe
HKLM...\Run: [UpdaterXYZ] => C:\ProgramData\UpdaterXYZ\updater.exe
; Attività pianificate sospette (copia da FRST.txt)
Task: {GUID-CASUALE} - System32\Tasks\AggiornamentoBrowser => C:\Users%username%\AppData\Local\Temp\up.exe
; File/Cartelle da rimuovere
C:\Users%username%\AppData\Local\Temp\abc123.exe
C:\ProgramData\UpdaterXYZ\
Reboot:
EmptyTemp: Personalizza le voci marcate come esempio con quelle reali presenti nei tuoi log FRST. Evita di eliminare file/cartelle di cui non conosci la funzione.
Controlli rapidi e impostazioni browser
Verificare l’assenza di policy
- In Chrome, digita chrome://policy nella barra degli indirizzi.
- In Edge, digita edge://policy.
- Su un PC domestico non gestito, non dovresti vedere policy attive per le estensioni o per il motore di ricerca.
Ripristinare e proteggere le impostazioni di ricerca
- In Chrome: Impostazioni → Motore di ricerca → seleziona il tuo preferito. Valuta “Ripristina le impostazioni predefinite” se noti comportamenti anomali persistenti.
- In Edge: Impostazioni → Privacy, ricerca e servizi → Barra degli indirizzi e ricerca → imposta il motore di ricerca.
- Rimuovi estensioni non riconosciute o ridondanti.
Tabella diagnostica: dal sintomo all’azione
| Sintomo | Possibile causa | Azione consigliata |
|---|---|---|
| Estensione “gestita dalla tua organizzazione” | Policy in HKLM/HKCU che forzano l’installazione | Passo B con FRST e DeleteKey mirate |
| Motore di ricerca cambia da solo al riavvio | Attività/avvio che riscrivono le policy | Nuovo Scan con FRST; integra fixlist con Task/Run sospetti |
| Impossibile disinstallare l’estensione | Valore ExtensionInstallForcelist attivo | Elimina chiavi policy Edge/Chrome (A o B) |
| Policy ricompaiono dopo poche ore | Eseguibile persistente in %AppData% o servizio | Rimuovi voci corrispondenti con fixlist; scansione completa Defender |
Domande frequenti
Perché vedo “gestita dalla tua organizzazione” su un PC personale?
Perché sono state scritte policy nel Registro che simulano una gestione aziendale. È una tecnica comune degli adware per impedire modifiche e imporre estensioni o motori di ricerca.
È sicuro cancellare le chiavi in “Policies”?
Sì, su un PC non aziendale. Su PC gestiti dall’IT, non farlo: potresti violare policy legittime. In caso di dubbio, crea un punto di ripristino e limita il fixlist alle chiavi di Edge/Chrome.
FRST è complicato?
No: la logica è semplice. Scansione, crei il fixlist.txt con le voci da rimuovere (policy e, se necessario, persistenze), poi applichi Fix. L’interfaccia è essenziale e il Fixlog riporta cosa è stato fatto.
Posso usare solo il Passo A (regedit)?
Puoi provarci. Se le chiavi non si rigenerano, potresti risolvere subito. Se ritornano, il Passo B con FRST è il metodo più efficace e ripetibile.
L’estensione non c’è più, ma il browser resta lento
Ripulisci cache e dati di navigazione, controlla altre estensioni superflue, reimposta le impostazioni predefinite del browser e verifica con Defender che non restino altri componenti invasivi.
Prevenzione: come evitare recidive
- Controlla regolarmente edge://policy e chrome://policy per assicurarti che non compaiano nuove voci.
- Mantieni Defender attivo e aggiornato; esegui periodicamente una scansione completa.
- Scarica software solo da fonti affidabili; evita installer “bundle” con offerte di terze parti.
- Usa un account Windows standard per la navigazione quotidiana, non amministratore.
- Attenzione ai falsi aggiornamenti del browser o ai siti che chiedono di installare estensioni “necessarie”.
Checklist operativa
- ✔ Hai creato un punto di ripristino?
- ✔ Edge/Chrome sono chiusi prima dell’intervento?
- ✔ Hai eseguito FRST e generato
FRST.txt/Addition.txt? - ✔ Il tuo
fixlist.txtcontiene le quattroDeleteKeybase per Edge/Chrome? - ✔ Hai aggiunto (se necessario) voci di Task/Run sospette prese dal log FRST?
- ✔ Dopo il Fix, edge://policy e chrome://policy risultano vuoti/ok?
- ✔ Hai eliminato la cartella
C:\FRSTe l’eseguibile? - ✔ Hai effettuato una scansione completa con Defender o Safety Scanner?
Risoluzione problemi: errori comuni
- FRST non applica il fix: assicurati che
fixlist.txtsia nella stessa cartella diFRST64.exee che non sia protetto da scrittura; esegui FRST come amministratore. - Le chiavi non si cancellano: i browser devono essere chiusi; riduci interferenze chiudendo altri software; prova a ripetere il Fix dopo un riavvio.
- Il motore di ricerca cambia ancora: cerca attività pianificate o voci di avvio rimaste; riesegui FRST → Scan e integra il fixlist.
Riepilogo operativo
Ultralonen si rimuove con un approccio in due tempi: ripulire le policy che forzano estensioni e motori di ricerca (manuale o via FRST) e eliminare ogni meccanismo di persistenza (task/avvii/servizi sospetti) se presente. Concludi sempre con una scansione completa antivirus e verifica che edge://policy e chrome://policy siano puliti.
Appendice: Glossario rapido
- HKLM/HKCU: rami del Registro per impostazioni macchina (tutti gli utenti) e utente corrente.
- Policies: percorso del Registro dove si applicano criteri di gestione (Group Policy o policy locali).
- ExtensionInstallForcelist: valore di policy che impone a Chrome/Edge l’installazione di una o più estensioni.
- FRST: strumento diagnostico/di riparazione; rimuove ciò che indichi nel
fixlist.txt.
Esempi di fixlist per casi particolari
Se in FRST.txt trovi riferimenti a Wow6432Node o a profili utente specifici, puoi aggiungere le relative chiavi:
; Aggiunte opzionali se presenti
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Policies\Google\Chrome
Ricorda: inserisci solo ciò che compare realmente nei tuoi log. Evita di indovinare.
Conclusione
Seguendo questa guida potrai rimuovere in modo strutturato l’estensione “Ultralonen” che modifica il motore di ricerca in Edge e Chrome. Il metodo più affidabile resta l’uso di FRST con un fixlist.txt mirato alle policy e ad eventuali meccanismi di persistenza. Un ultimo controllo con Defender/Safety Scanner riduce al minimo il rischio di recidive.
In sintesi: Ultralonen viene rimosso eliminando le policy di Edge/Chrome (manualmente o, più semplicemente, con un fixlist eseguito da FRST) e completando con una scansione antivirus di sicurezza.