Rimuovere l’estensione malevola “CumulonimbusincusPileus” da Microsoft Edge: guida completa alla rimozione della policy “Managed by your organization”

Hai un’estensione “CumulonimbusincusPileus” bloccata in Edge con la dicitura “Managed by your organization”? Questa guida pratica spiega come rimuovere la policy malevola, disattivare l’add‑on e pulire i residui (metodo manuale e via PowerShell), con consigli di hardening.

Indice

Panoramica del problema

Alcuni software indesiderati forzano l’installazione di estensioni in Microsoft Edge impostando criteri di gruppo (Group Policy) locali. In questo scenario l’utente vede in Edge la dicitura “Gestito dalla tua organizzazione / Managed by your organization”, l’estensione non offre il pulsante Rimuovi e non è gestibile dalle normali impostazioni. Gli antivirus tradizionali spesso non rilevano il problema perché l’estensione, di per sé, non esegue codice nativo: viene semplicemente “imposta” tramite registro di sistema. Il caso tipico è proprio l’estensione dal nome “CumulonimbusincusPileus”.

La soluzione consiste nell’eliminare le chiavi di registro che applicano la policy a Edge. Una volta rimossa la policy, l’estensione non viene più caricata e Edge la segnala come indesiderata/disattivata. Facoltativamente, è possibile cancellarne i file locali e ripristinare alcune impostazioni di sicurezza.

Come funziona il blocco tramite policy

Edge eredita la struttura delle policy di Chromium. Un attore malevolo può creare (a livello computer o utente) chiavi del registro che includono liste di estensioni da installare e bloccare la loro rimozione. Le posizioni più comuni sono:

HKEYLOCALMACHINE\SOFTWARE\Policies\Microsoft\Edge (tutti gli utenti)
HKEYCURRENTUSER\SOFTWARE\Policies\Microsoft\Edge (solo utente corrente)
In sistemi a 64 bit, può comparire anche: HKEYLOCALMACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge

All’interno di queste chiavi, voci come ExtensionInstallForcelist o simili impongono una o più estensioni. Finché la policy esiste, Edge non espone il pulsante Rimuovi e segnala che il browser è “gestito”.

Procedura consigliata di rimozione

Di seguito trovi la sequenza operativa consolidata. Eseguila nell’ordine indicato.

Fase	Azione	Scopo / risultato
Chiudere Edge	Chiudi tutte le finestre e schede di Microsoft Edge. In caso di dubbi, termina il processo: `taskkill /IM msedge.exe /F`	Evita che il browser blocchi le modifiche al registro o mantenga handle su file dell’estensione.
Rimuovere le policy di gruppo	Apri Regedit → attiva la barra degli indirizzi → elimina le chiavi: `HKEYLOCALMACHINE\SOFTWARE\Policies\Microsoft\Edge` `HKEYCURRENTUSER\SOFTWARE\Policies\Microsoft\Edge` Se presente su sistemi a 64 bit, elimina anche: `HKEYLOCALMACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge`	Rimuove il criterio che impone l’estensione e la dicitura “Managed by your organization”.
Riavviare il PC	Riavvia Windows normalmente.	Applica le modifiche al registro e ricarica i servizi.
Verificare in Edge	Apri Edge e digita nella barra: `edge://extensions` e `edge://policy` Controlla che l’estensione risulti disabilitata e che non ci siano policy attive.	Conferma che l’add‑on non viene più caricato; Edge può segnalarlo come indesiderato ma non può più eseguirlo.
Eliminare i file residui (facoltativo)	Apri `%LocalAppData%` → vai in `Microsoft\Edge\User Data\` → profilo interessato (`Default`, `Profile 1`, ecc.). Nelle cartelle: `...\Default\Extensions\` `...\Default\Local Extension Settings\` `...\Default\Extension State\` individua cartelle dal nome inusuale o l’ID dell’estensione (mostrabile in `edge://extensions` attivando “Modalità sviluppatore”). Elimina la cartella corrispondente. Suggerimento: cerca `manifest.json` o `*.json` per rintracciare la directory.	Pulisce completamente il disco rimuovendo cache, stato e codice dell’add‑on.
Scansione di sicurezza (facoltativa)	Esegui un’analisi completa con Microsoft Defender o altro AV affidabile.	Convalida che non restino componenti malevoli o persistenze.

Backup e sicurezza prima di toccare il registro

Qualsiasi modifica al registro dovrebbe essere preceduta da un backup. Ecco tre modi rapidi.

Esportazione mirata da Regedit

Apri regedit.
Seleziona HKEYLOCALMACHINE\SOFTWARE\Policies\Microsoft\Edge (se esiste) → File > Esporta → salva sul Desktop.
Ripeti per HKEYCURRENTUSER\SOFTWARE\Policies\Microsoft\Edge e, se presente, per WOW6432Node.

Backup da Prompt dei comandi

reg export "HKLM\SOFTWARE\Policies\Microsoft\Edge" "%USERPROFILE%\Desktop\backupEdgeHKLM.reg" /y
reg export "HKCU\SOFTWARE\Policies\Microsoft\Edge" "%USERPROFILE%\Desktop\backupEdgeHKCU.reg" /y
reg export "HKLM\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge" "%USERPROFILE%\Desktop\backupEdgeHKLM_W6432.reg" /y

Punto di ripristino di sistema

Apri “Crea un punto di ripristino” → Crea… → assegna un nome e conferma. In questo modo puoi tornare indietro se qualcosa non va.

Rimozione delle policy: metodi alternativi

Metodo veloce da Prompt dei comandi

Esegui il Prompt dei comandi come amministratore e immetti:

reg delete "HKLM\SOFTWARE\Policies\Microsoft\Edge" /f
reg delete "HKCU\SOFTWARE\Policies\Microsoft\Edge" /f
reg delete "HKLM\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge" /f

Nota: se una chiave non esiste, il comando segnalerà un errore “impossibile trovare la chiave” — è normale.

Metodo PowerShell (administratore)

Remove-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Edge" -Recurse -Force -ErrorAction SilentlyContinue
Remove-Item -Path "HKCU:\SOFTWARE\Policies\Microsoft\Edge" -Recurse -Force -ErrorAction SilentlyContinue
Remove-Item -Path "HKLM:\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge" -Recurse -Force -ErrorAction SilentlyContinue

Metodo via file .reg (un-click)

Crea un file di testo sul Desktop, incolla il contenuto qui sotto e salvalo come rimuovipolicyedge.reg. Fai doppio clic e conferma.

Windows Registry Editor Version 5.00

\[-HKEY\LOCAL\MACHINE\SOFTWARE\Policies\Microsoft\Edge]
\[-HKEY\CURRENT\USER\SOFTWARE\Policies\Microsoft\Edge]
\[-HKEY\LOCAL\MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge]

Verifica dopo il riavvio

In Edge, apri edge://policy: l’elenco deve essere vuoto o privo di voci inerenti alle estensioni.
Apri edge://extensions: l’estensione “CumulonimbusincusPileus” dovrebbe risultare disattivata. Edge potrebbe segnalarla come indesiderata/corrotta; ciò è sufficiente, perché non viene più caricata.
La dicitura “Gestito dalla tua organizzazione” dovrebbe essere sparita dalle impostazioni.

Pulizia completa dei file residui

L’eliminazione della policy basta a neutralizzare l’estensione. Se desideri una pulizia totale, rimuovi i file locali.

Apri %LocalAppData%\Microsoft\Edge\User Data\.
Identifica il profilo interessato: Default è il principale; Profile 1, Profile 2 ecc. sono profili aggiuntivi.
Controlla e, se presenti, svuota le cartelle dell’ID dell’estensione nei seguenti percorsi:
- ...<Profilo>\Extensions\ (codice dell’estensione)
- ...<Profilo>\Local Extension Settings\ (settaggi locali)
- ...<Profilo>\Extension State\ (stato persistente)
Se non conosci l’ID, in edge://extensions attiva “Modalità sviluppatore” e leggi la voce ID, oppure cerca nel profilo manifest.json per individuare la directory che contiene il nome “CumulonimbusincusPileus”.

Consiglio: ordina per “Data modifica” e ispeziona le cartelle create a ridosso dell’infezione.

Perché l’antivirus non l’ha segnalata

Molti motori AV/EDR classificano le estensioni del browser come “contenuti utente” e si attivano solo se scaricano/eseguono payload o stabiliscono persistenze evidenti. Nel tuo caso, l’estensione è apparsa “invisibile” perché la parte dannosa era la policy che ne forzava l’installazione. Eliminare la policy equivale a “disinstallarla” in modo corretto, perché impedisce a Edge di caricarla in memoria.

Hardening dopo la rimozione

Ripristinare Edge

Apri Impostazioni di Edge → Ripristina impostazioni → Ripristina le impostazioni ai valori predefiniti (oppure digita nella barra: edge://settings/reset). Questo rimuove regole, provider di ricerca e pagine di avvio modificati.

Attivare SmartScreen e protezione PUA

Apri Windows Security → Controllo app e browser.
In Protezione basata sulla reputazione, abilita SmartScreen e il blocco delle app potenzialmente indesiderate (PUA).

Abilitare la protezione stack abilitata dall’hardware

Apri Windows Security → Controllo app e browser → Impostazioni di protezione exploit.
Nella scheda Impostazioni di sistema, abilita Protezione stack abilitata dall’hardware (se supportata dall’hardware).

Mantenere Windows ed Edge aggiornati

In Windows Update, installa tutte le patch disponibili.
In Edge, vai su Informazioni su Microsoft Edge per forzare il controllo degli aggiornamenti.

Risoluzione dei problemi

La dicitura “Gestito dalla tua organizzazione” riappare

Possibili cause:

Un’attività pianificata o uno script ripristina le chiavi all’avvio.
Un servizio o un programma in esecuzione automatica riscrive le policy.
Sincronizzazione del profilo Edge che reimposta impostazioni (di solito non reimposta le policy, ma può ripristinare startup pages o estensioni legittime).

Contromisure rapide:

Attività pianificate: apri Utilità di pianificazione, ordina per Data di creazione; elimina voci sospette create di recente. Controlla anche C:\Windows\System32\Tasks\.
Esecuzioni automatiche: verifica le chiavi:
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run
- HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Rimuovi voci anomale.
Programmi installati: ordina per data in “App e funzionalità” e disinstalla software sospetti aggiunti poco prima del problema.

Edge non si apre dopo la rimozione

Rarissimo, ma può capitare se sono stati eliminati file in uso. Soluzioni:

Esegui sfc /scannow da Prompt amministratore.
Ricrea il profilo di Edge: rinomina %LocalAppData%\Microsoft\Edge\User Data\Default in Default.bak (perderai temporaneamente impostazioni locali, poi puoi reimportare i preferiti se sincronizzati).

Non trovo la cartella dell’estensione

In “...User Data<Profilo>\Extensions” le cartelle hanno nomi composti da 32 caratteri (ID). In edge://extensions attiva “Modalità sviluppatore” e copia l’ID esatto. In alternativa, cerca manifest.json e aprilo: nel campo "name" trovi la stringa che identifica l’estensione.

Checklist rapida

Chiudi Edge (e termina eventuali processi residui).
Backup delle chiavi di registro e/o punto di ripristino.
Elimina le chiavi Policies\Microsoft\Edge in HKLM, HKCU e (se presente) WOW6432Node.
Riavvia il PC.
Controlla edge://policy e edge://extensions.
Pulisci file residui in Extensions, Local Extension Settings, Extension State.
Esegui una scansione completa con Defender.
Ripristina Edge e attiva SmartScreen/PUA; verifica la protezione stack.

Domande frequenti

Un’estensione disabilitata è ancora pericolosa?

No: senza policy la estensione non viene caricata da Edge e non può eseguire codice. Eliminare i file residui è una misura igienica, non una necessità per la sicurezza immediata.

Perché Zemana o altri tool la rimuovono da Chrome ma non da Edge?

Ogni browser mantiene proprie chiavi di policy e percorsi di profilo. Un tool può conoscere le chiavi di Chrome ma non intercettare quelle di Edge. Agendo direttamente sulle policy di Edge, la rimozione è certa e duratura.

Serve reinstallare Edge?

Non è necessario. La rimozione della policy, seguita da un riavvio, è sufficiente. Il ripristino delle impostazioni di Edge è consigliato per tornare a una configurazione “pulita”.

È possibile che il PC fosse realmente gestito da un’organizzazione?

Se il dispositivo è aziendale e unito a dominio/Azure AD, la dicitura può essere legittima. In quel caso non eliminare le policy: contatta l’IT. Se il PC è personale e non gestito, la dicitura è quasi certamente indotta da una policy locale non autorizzata.

Approfondimento tecnico: chiavi e valori tipici

Se vuoi indagare prima di cancellare, cerca in HKLM/HKCU sotto Policies\Microsoft\Edge i valori che forzano le estensioni, ad esempio:

ExtensionInstallForcelist (lista di estensioni imposte)
ExtensionInstallAllowlist / ExtensionInstallBlocklist (whitelist/blacklist)
AutoLaunchProtocolsFromOrigins (raro, ma usato da attori più invadenti)

I valori della Forcelist sono spesso numerati (1, 2, …) e contengono l’ID dell’estensione e una sorgente. Non serve decifrarli per procedere: la cancellazione dell’intera chiave Edge è il modo più rapido e sicuro per tornare allo stato di default.

Script di automazione per ambienti multipli

Se devi sanare più PC, ecco uno script PowerShell idempotente che rimuove le policy e crea log locali. Eseguilo come amministratore.

$Log = "$env:PUBLIC\EdgePolicyCleanup$(Get-Date -Format yyyyMMddHHmmss).log"
"=== Edge Policy Cleanup $(Get-Date) ===" | Out-File -FilePath $Log -Encoding UTF8

\$keys = @(
"HKLM:\SOFTWARE\Policies\Microsoft\Edge",
"HKCU:\SOFTWARE\Policies\Microsoft\Edge",
"HKLM:\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge"
)

foreach (\$k in \$keys) {
if (Test-Path \$k) {
"Removing: \$k" | Tee-Object -FilePath \$Log -Append
Remove-Item -Path \$k -Recurse -Force -ErrorAction SilentlyContinue
} else {
"Not found: \$k" | Tee-Object -FilePath \$Log -Append
}
}

"Done. Please reboot the system." | Tee-Object -FilePath \$Log -Append

Segnali di compromissione da tenere d’occhio

Nuove estensioni “bloccate” che compaiono senza consenso (Edge, Chrome, altri browser).
Modifica non autorizzata della pagina iniziale, motore di ricerca, notifiche push invadenti.
Popup che invitano a “aggiornare codec/estensioni” da siti inaffidabili.
Attività pianificate create di recente, servizi con nomi pseudo‑casuali.

Buone pratiche per evitare recidive

Scarica estensioni solo dallo Store ufficiale e da sviluppatori noti.
Diffida di siti che chiedono l’installazione di componenti per poter proseguire.
Usa un account standard per la navigazione; tieni un account amministratore separato.
Abilita l’autenticazione a due fattori sull’account Microsoft per proteggere la sincronizzazione del profilo.

In sintesi

Il problema nasce da una policy di gruppo malevola che forza l’installazione di “CumulonimbusincusPileus” e impedisce la rimozione dall’interfaccia di Edge. Eliminando le chiavi di registro responsabili (in HKLM e/o HKCU), l’estensione smette di caricarsi e diventa inoffensiva. Come rifinitura, puoi cancellarne i file residui, ripristinare Edge e rafforzare il sistema con SmartScreen, PUA protection e protezione stack hardware‑assisted. Così riporti il browser a uno stato pulito e riduci la probabilità che l’incidente si ripeta.

Nota finale importante: se il tuo PC è realmente gestito da un’organizzazione (dominio aziendale, MDM, Intune), non rimuovere policy senza autorizzazione. In un contesto personale, invece, le istruzioni di questa guida sono appropriate e sicure, purché tu abbia eseguito i backup suggeriti.