Se Microsoft Edge reindirizza costantemente le ricerche verso “Search‑great.com”, qui trovi una procedura chiara e sicura per rimuovere l’hijacker con FRST (Farbar Recovery Scan Tool), oltre a consigli pratici di prevenzione. Guida testata su un caso reale con esito positivo.
Panoramica: cos’è Search‑great.com e perché dirotta Edge
Search‑great.com è un browser hijacker: un componente indesiderato che modifica le preferenze del browser (motore di ricerca, pagina iniziale, impostazioni di avvio) e spesso impone policy o attività pianificate per ripristinare tali modifiche anche dopo un reset manuale. Può arrivare tramite installer “bundle”, estensioni di dubbia provenienza o modifiche al registro di sistema.
- Sintomo tipico: digitando nella barra degli indirizzi di Edge vieni reindirizzato a Search‑great.com.
- Persistenza: dopo la pulizia del PC e il ripristino del browser, l’hijacker ricompare al riavvio.
- Perché l’antivirus non basta: gli hijacker spesso sfruttano policy di gruppo, chiavi di registro e attività pianificate lecite; non sempre sono classificati come malware “classico”.
Soluzione provata: rimozione con FRST (Farbar Recovery Scan Tool)
Nel caso reale che presentiamo, Google Chrome era già stato ripulito, mentre Edge continuava a reindirizzare verso Search‑great.com. La soluzione definitiva è arrivata con FRST e uno script di correzione personalizzato. Dopo l’esecuzione del fix (passo 3), il dirottamento è scomparso e non si è ripresentato.
Quando usare FRST
FRST è un analizzatore/strumento di correzione mirato. È molto efficace contro policy forzate, chiavi di registro anomale e attività che ripristinano l’hijacker ad ogni avvio. La correzione avviene tramite un file fixlist.txt su misura per il tuo sistema. Evita fixlist “universali” trovati online: ogni PC ha voci diverse e un fix errato può rimuovere più del necessario.
Procedura step‑by‑step
Segui i passaggi in tabella. Serve un account con privilegi di amministratore. Chiudi Edge prima di iniziare.
| Fase | Cosa fare | Scopo |
|---|---|---|
| Analisi | Scarica Farbar Recovery Scan Tool (versione a 64 bit nella maggior parte dei PC moderni, file FRST64.exe). Avvia la scansione con le impostazioni di default: alla fine otterrai FRST.txt e Addition.txt. | Inventario completo di registro, servizi, attività pianificate, estensioni e policy di browser che possono contenere l’hijacker. |
| Condivisione log | Carica i due log su un cloud (OneDrive / Google Drive) e condividi il link a chi ti supporta (forum/tecnico). Non pubblicare informazioni sensibili se non necessario. | Permette a chi fornisce supporto di generare uno fixlist.txt personalizzato e sicuro per il tuo sistema. |
| Correzione | Salva fixlist.txt (fornito dall’helper) nella stessa cartella di FRST. Apri FRST e premi Fix. Il PC si riavvierà e verrà creato Fixlog.txt. | Elimina chiavi di registro, eseguibili, attività pianificate e policy che impongono Search‑great.com come motore di ricerca o reimpostano Edge. |
| Verifica | Apri Microsoft Edge e prova una ricerca dalla barra degli indirizzi: il reindirizzamento non deve più comparire. | Conferma che l’hijacker è stato rimosso con successo. |
| Pulizia finale (facoltativa) | Rinomina FRST64.exe in uninstall.exe ed eseguilo per rimuovere FRST e i file temporanei rimasti. | Ripristina lo stato del sistema evitando residui di strumenti diagnostici. |
Esito del caso reale: il richiedente ha confermato che dopo il passaggio 3 (Fix con FRST) il dirottamento su Search‑great.com è scomparso definitivamente.
Perché questa procedura funziona
Gli hijacker persistenti puntano a tre aree:
- Policy di Edge (
edge://policy): voci comeDefaultSearchProvider*,ExtensionInstallForcelist,RestoreOnStartup,HomepageLocationpossono forzare motore di ricerca, estensioni e pagine iniziali. - Attività pianificate: script ed eseguibili che reimpostano chiavi o riscrivono file ad ogni avvio o login.
- Chiavi di registro e cartelle app: valori in
HKCU/HKLM, cartelle in%AppData%o%ProgramData%che rilanciano l’hijacker.
FRST individua queste persistenze e, con un fixlist mirato, le rimuove tutte in un’unica operazione (lasciando un backup nella propria quarantena per sicurezza).
Controlli rapidi prima e dopo il fix
- edge://policy — dopo il fix deve risultare vuoto o privo di policy sospette.
- edge://settings/search — verifica che il motore di ricerca predefinito sia quello desiderato.
- edge://extensions — rimuovi estensioni sconosciute o non necessarie (disattivale e poi “Rimuovi”).
- Avvio (Gestione Attività → Avvio) — disabilita voci non riconosciute.
Raccomandazioni aggiuntive
- Ripristino impostazioni di Edge
Digitaedge://settings/resete scegli “Ripristina le impostazioni ai valori predefiniti”. Utile se sospetti siano rimaste policy o preferenze corrotte. - Controllo estensioni
Rimuovi estensioni che non riconosci. Se l’hijacker tornava dopo il riavvio, è possibile che un’estensione fosse installata tramite forcelist (policy): dopo FRST, non deve più ricomparire. - DNS e file hosts
ControllaC:\Windows\System32\drivers\etc\hostse verifica che non ci siano voci anomale. In Impostazioni → Rete e Internet → Proprietà, verifica DNS manuali: se non li hai impostati tu, ripristina su automatico o su DNS affidabili. - Aggiornamenti di sicurezza
Mantieni Windows e Edge aggiornati. Programma scansioni periodiche con Windows Defender e Malwarebytes. - Prevenzione futura
Scarica software solo dai siti ufficiali. Durante le installazioni custom, deseleziona componenti extra (barre/estensioni). Diffida di “acceleratori” o “ottimizzatori” sconosciuti.
Diagnostica avanzata: dove si nascondono gli hijacker
| Area | Dove guardare | Cosa cercare |
|---|---|---|
| Policy Edge | edge://policy e Registro: HKCU\Software\Policies\Microsoft\Edge, HKLM\Software\Policies\Microsoft\Edge | Chiavi DefaultSearchProvider*, ExtensionInstallForcelist, RestoreOnStartup, HomepageLocation con URL sospetti. |
| Estensioni | edge://extensions | Estensioni senza autore noto, ID casuali, richieste di permessi estesi (lettura dati su tutti i siti, gestione download). |
| Attività pianificate | Utilità di pianificazione → Libreria Utilità di pianificazione | Task che richiamano eseguibili/scritte in %AppData% o %Temp%, al login/avvio. Nomi generici o imitazioni di processi Microsoft. |
| Avvio | Gestione Attività → Avvio | Voci appena comparse o sconosciute, impatto “Alto”. |
| Servizi/Driver | services.msc | Servizi non firmati, descrizioni vaghe, percorso non in C:\Windows\System32 o C:\Program Files. |
Comandi di rete utili (opzionali)
Se dopo la rimozione noti anomalie di rete (DNS, proxy), puoi eseguire questi comandi da Prompt dei comandi (Amministratore). Evita in ambienti aziendali con proxy gestiti.
ipconfig /flushdns
netsh winsock reset
netsh int ip reset
Riavvia il PC al termine.
Buone pratiche per l’uso di FRST
- Backup automatico: FRST crea una quarantena dei file/chiavi rimossi. Se necessario, un tecnico può ripristinarli.
- Fixlist personalizzato: non usare fixlist generici. Ogni sistema ha voci e percorsi diversi.
- Posizione dei file:
fixlist.txtdeve essere nella stessa cartella del file FRST. In caso contrario, FRST non applicherà la correzione. - Log di uscita: conserva
Fixlog.txtper la verifica post-intervento.
Verifica completa dopo il fix
- Apri Edge → Impostazioni > Privacy, ricerca e servizi → Barra degli indirizzi e ricerca. Assicurati che il motore di ricerca predefinito sia quello desiderato.
- Digita nella barra degli indirizzi una query rapida (es. “test ricerca”). Nessun reindirizzamento deve portare a Search‑great.com.
- Controlla
edge://policy: assenza di policy imposte non volute. - Riapri
edge://extensionse verifica che non compaiano estensioni sconosciute dopo un nuovo riavvio. - Controlla l’avvio del sistema e le attività pianificate per assicurarti che non si rigenerino voci sospette.
Alternative e misure complementari (senza FRST)
Se non puoi usare FRST subito, prova queste azioni (possono non bastare su hijacker persistenti, ma aiutano a limitare i danni):
- Reimposta Edge:
edge://settings/reset→ “Ripristina le impostazioni ai valori predefiniti”. - Rimuovi estensioni: elimina le estensioni non essenziali, riavvia Edge.
- Controlla le app: Impostazioni Windows → App → App installate → ordina per data e disinstalla software sospetto installato di recente.
- Windows Defender: esegui una Analisi completa e poi una Analisi offline se necessario.
- Malwarebytes: una scansione aggiuntiva può intercettare PUP/estensioni indesiderate (in questo caso ha ripulito Chrome, ma Edge restava bloccato da policy persistenti).
Checklist di sicurezza e privacy
- Prima di condividere i log: rimuovi o oscura seriali/licenze se compaiono in chiaro (raro, ma verifica).
- Account amministratore: esegui FRST e il fix con un account con privilegi adeguati.
- Punto di ripristino: facoltativo, ma consigliato se non hai esperienza. FRST ha già una propria quarantena.
- Ambiente aziendale: se il PC è gestito dall’IT, potrebbero esistere policy legittime. Coordinati con l’amministratore prima di rimuoverle.
Domande frequenti (FAQ)
FRST è sicuro?
Sì, è ampiamente usato in contesti di assistenza malware. La chiave è usare fixlist mirati. L’analisi da sola non modifica nulla. Il fix crea backup.
Perché Malwarebytes/antivirus non hanno risolto?
Molti hijacker sfruttano policy, attività pianificate e modifiche al registro non sempre classificate come malware. Serve un intervento mirato che rimuova alla radice i meccanismi di persistenza.
Serve disinstallare e reinstallare Edge?
In genere no. Un reset delle impostazioni, combinato con la rimozione delle policy tramite FRST, è sufficiente.
Posso creare da solo il fixlist?
È sconsigliato. Il fixlist è cucito sul tuo sistema: un errore può eliminare voci legittime. Meglio farlo generare da un helper esperto sulla base dei log.
Quanto dura il fix?
Se tutte le persistenze sono rimosse, il problema non si ripresenta. Mantieni aggiornati sistema e browser, e cura le abitudini di installazione.
Esempio di piano d’azione sintetico
- Esegui FRST (
FRST64.exe) e creaFRST.txt+Addition.txt. - Condividi i log con l’helper e attendi
fixlist.txtpersonalizzato. - Applica il fix con FRST (il PC si riavvia).
- Verifica con Edge: nessun reindirizzamento a Search‑great.com.
- Ripristina Edge (opzionale), controlla estensioni, DNS e file hosts.
- Programma scansioni di routine e aggiorna regolarmente Windows/Edge.
Note tecniche utili per gli esperti
- Registry hive coinvolti più spesso:
HKCU\Software\Policies\Microsoft\Edge\DefaultSearchProvider*HKLM\Software\Policies\Microsoft\Edge\ExtensionInstallForcelistHKCU\Software\Microsoft\Windows\CurrentVersion\Run(persistenze utente)HKLM\Software\Microsoft\Windows\CurrentVersion\Run(persistenze macchina)
- Scheduled Tasks: spesso con trigger “At logon” o “On idle” che ricreano chiavi/estensioni; path mirati a
%AppData%,%LocalAppData%,%ProgramData%. - Edge Settings Reset: utile post-fix per rigenerare preferenze pulite (
edge://settings/reset). - Proxy: controlla
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings(valoriProxyEnable,ProxyServer). Gli hijacker talvolta instradano il traffico tramite proxy locali.
Conclusioni
Il reindirizzamento di Microsoft Edge a Search‑great.com non è solo un fastidio: indica la presenza di modifiche persistenti al sistema. La combinazione Analisi FRST → Fix mirato → Verifiche e igiene post‑intervento consente di ripristinare il controllo del browser in modo stabile. Nel caso reale, il problema è stato risolto immediatamente dopo il passaggio 3. Con le raccomandazioni finali su reset, estensioni, DNS/hosts e aggiornamenti, riduci al minimo il rischio di ricadute.
Appendice: guida rapida con immagini mentali
Immagina Edge come una casa: l’hijacker non solo cambia la serratura (motore di ricerca), ma piazza anche una chiave maestra (policy) e un custode (attività pianificata) che ogni notte rimette tutto com’era. FRST individua e rimuove tutte e tre le cose in un colpo solo. Dopo, dai una rinfrescata alle stanze (reset Edge), controlli chi ha le copie delle chiavi (estensioni) e verifichi che non ci siano porte secondarie verso l’esterno (DNS/hosts/proxy). È per questo che funziona.
Riepilogo operativo compatto
| Strumento | FRST (Farbar Recovery Scan Tool) |
| Log richiesti | FRST.txt, Addition.txt |
| Output fix | Fixlog.txt |
| Verifica | Nessun reindirizzamento su Search‑great.com; edge://policy pulito; motore predefinito corretto. |
| Pulizia | Rinominare FRST64.exe in uninstall.exe per rimuovere tool e residui. |
Suggerimento finale: crea un promemoria mensile per controllare estensioni e aggiornamenti di Edge. Bastano pochi secondi per prevenire future seccature.