Un redémarrage plus tard vos clés Policies restent toujours vides ? Découvrez comment identifier et éradiquer la tâche malveillante « KondSerp » qui recrée silencieusement les stratégies Chrome/Edge, puis verrouillez votre poste pour qu’elles ne reviennent plus jamais.
Contexte : pourquoi les stratégies forcent-elles leur retour ?
Les navigateurs Chromium (Edge et Chrome) s’appuient sur le Registre Windows pour appliquer des stratégies d’entreprise : elles résident dans HKLM\SOFTWARE\Policies\Microsoft\Edge ou Chrome, ainsi que dans leurs équivalents HKCU. Supprimer ces clés « à la main » n’est qu’un pansement ; si un service, une tâche planifiée ou un script PowerShell les réécrit à intervalles réguliers, elles réapparaîtront inlassablement. C’est exactement ce qu’a fait l’optimiseur douteux KondSerp.
Symptômes observés
- Clés
Policieseffacées le matin, de nouveau présentes l’après‑midi. - État des stratégies (
edge://policy/chrome://policy) indiquant ExtensionInstallForceList avec des ID inconnus. - Extensions non souhaitées impossible à désinstaller car « gérées par votre administrateur ».
- Journaux Process Monitor montrant que
edgeupdatem.exeetsvchost.exe ‑ gpsvctouchent au Registre juste avant la recréation.
Analyse détaillée avec FRST
La FRST dresse un inventaire complet du système, tâches et scripts compris. Après exécution, deux rapports (FRST.txt & Addition.txt) sont générés dans C:\FRST\Logs.
Script d’analyse
# Condensé des lignes pertinentes
==================== Scheduled Tasks (Whitelisted) =============
Task: {8C4691E8-D5BC-4856-BDB5-8634A733967F} - System32\Tasks\KondSerp_OptimizerV2
\==================== Services (Whitelisted) ====================
No malicious service detected
\==================== Registry (Whitelisted) ====================
HKCU\Software\Policies\Microsoft\Edge: ExtensionInstallForceList => ... Découverte décisive
La tâche planifiée KondSerp_OptimizerV2 exécute toutes les 2 h :
powershell.exe -File "C:\Windows\System32\KondSerp_Optimizer.ps1"Le script PowerShell, minifié puis obfusqué, réécrit la liste forcée d’extensions et télécharge les binaires s’ils ont été retirés.
Éradication pas à pas
- Créer le fichier Fixlist.txt au même endroit que FRST.exe contenant :
# Fixlist.txt
Task: {8C4691E8-D5BC-4856-BDB5-8634A733967F} # Supprimer la tâche KondSerp
C:\Windows\System32\KondSerp_Optimizer.ps1 # Supprimer le script
DeleteKey: HKCU\SOFTWARE\Policies\Microsoft\Edge
DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Edge
DeleteKey: HKCU\SOFTWARE\Policies\Google\Chrome
DeleteKey: HKLM\SOFTWARE\Policies\Google\Chrome
EmptyTemp:
- Lancer FRST. Cliquez Fix. L’outil supprime la tâche, le script et nettoie les clés.
- Redémarrer Windows. Surveillez pendant au moins 24 h : aucune recréation ne doit survenir.
- Valider dans le navigateur : edge://policy ou chrome://policy affiche désormais « Aucune stratégie définie ».
- Supprimer FRST : effacez
C:\FRSTet l’exécutable pour terminer.
Bonnes pratiques préventives
| Étape | Description concrète |
|---|---|
| Contrôler les tâches planifiées | Ouvrez taskschd.msc, puis Bibliothèque du Planificateur. Triez par colonne Auteur : toute entrée sans éditeur connu ou au nom aléatoire (OptimizerV2, UpdateTask{GUID}) doit être inspectée puis supprimée. |
| Auditer les scripts PowerShell | Activez la journalisation via stratégie de groupe (Turn on PowerShell Script Block Logging). Les événements 4104 apparaîtront dans Event Viewer > Windows Logs > Microsoft‑Windows‑PowerShell/Operational. |
| Vérifier les Extensions forcées | Tapez edge://policy (chrome://policy) ; localisez ExtensionInstallForceList. Une liste doit rester vide hors contexte d’entreprise. |
| Maintenir l’antivirus à jour | Autorisez la protection en temps réel Windows Defender. Lancez une analyse complète mensuellement ; complétez par Microsoft Safety Scanner ou Malwarebytes si un doute subsiste. |
| Surveiller les mises à jour logicielles | Appliquez uniquement les mises à jour via les canaux natifs Edge/Chrome (Help > About). Bannissez les prétendus « boosters » de navigateur. |
Comment KondSerp s’est‑il installé ?
Dans plus de 80 % des cas, KondSerp arrive en même temps qu’un utilitaire tiers téléchargé depuis un miroir non officiel (convertisseur PDF, faux installateur Flash, etc.). L’utilitaire légitime est empaqueté avec un downloader qui dépose la tâche planifiée, puis récupère le script sur un CDN éphémère. Tant que la tâche subsiste, elle remettra les politiques même si l’extension est manuellement supprimée.
Renforcer définitivement votre poste
1. Activer la restriction d’exécution de scripts
Set-ExecutionPolicy -ExecutionPolicy AllSigned -Scope LocalMachineExigez désormais qu’un script soit signé numériquement avant de s’exécuter.
2. Désactiver la création de tâches non autorisées
Dans la stratégie de groupe (gpedit.msc) :
- Naviguez vers Configuration ordinateur > Modèles d’administration > Système > Tâches planifiées.
- Activez Ne pas autoriser la création de tâches planifiées par les utilisateurs standard.
3. Protéger la clé Policies par ACL
Si votre environnement le permet, définissez les ACE de HKLM\SOFTWARE\Policies et HKCU\SOFTWARE\Policies en lecture seule pour le compte SYSTEM. Un service malicieux n’ayant pas de privilège « TrustedInstaller » échouera.
4. Contrôler les navigateurs via GPP ou Intune
Si vous administrez un parc : appliquez vous‑même les stratégies nécessaires par GPO/Intune, évitant ainsi le risque qu’un logiciel prenne le contrôle de l’espace de noms Policies.
Tests post‑remédiation indispensables
- Reboot à froid deux fois : certaines charges se déclenchent au premier puis au second démarrage.
- Veille prolongée / sortie S3 : surveillez si les stratégies reviennent après 3‑4 h de mise en veille.
- Analyse antivirus hors‑ligne : démarrez sur un support WinPE Defender ; confirmez qu’aucun binaire KondSerp ne subsiste.
- Audit programme de démarrage via Autoruns. Aucun élément inconnu ne doit pointer vers
%windir%\System32\KondSerp_Optimizer.ps1.
FAQ
Pourquoi ne pas simplement supprimer l’extension imposée ?
Dès la prochaine exécution de la tâche, l’ID sera réécrit dans ExtensionInstallForceList et l’extension se réinstallera au lancement du navigateur.
FRST est‑il sûr ? Peut‑on garder l’outil ?
Oui, FRST est réputé dans la communauté de désinfection, mais il est conçu pour un usage ponctuel. Garder son exécutable n’apporte aucun bénéfice, c’est pourquoi il est conseillé de supprimer C:\FRST une fois l’incident clos.
Comment interpréter les GUID dans le Planificateur de tâches ?
Un GUID long et sans nom humainement lisible est un bon indicateur de tâche suspecte. Les tâches système légitimes mentionnent Microsoft ou une fonction claire (WindowsUpdate).
Conclusion
La présence récurrente de stratégies Edge/Chrome est souvent le symptôme d’une persistence Windows savamment implantée. En combinant FRST pour l’audit, un Fixlist ciblé et la suppression de la tâche planifiée KondSerp, vous neutralisez la mécanique de recréation. En verrouillant ensuite l’exécution des scripts, les tâches planifiées et les ACL du Registre, vous empêchez tout logiciel malveillant de reprendre la main.