Vous subissez des pop‑ups au démarrage de Windows et votre navigateur affiche le message « géré par votre organisation » ? Suivez cette procédure pas à pas pour éradiquer l’infection Ultralonen et rétablir un environnement sain sur Chrome et Edge.
Infection « Ultralonen » : comprendre la menace
L’extension repérée sous l’ID cmcmiimmhnlgiglfdolnhdnjibpapolo s’installe silencieusement dans Google Chrome et Microsoft Edge. Elle détourne vos recherches vers des moteurs publicitaires, superpose du code de suivi et empêche toute mise à jour du navigateur. Son message trompeur « Votre navigateur est géré par votre organisation » dissimule une prise de contrôle plus large : Ultralonen injecte des stratégies de registre, crée un service Windows déguisé et établit une tâche planifiée qui réinstalle l’extension à chaque démarrage.
Par défaut, l’extension ajoute ou modifie plusieurs clés dans :
HKLM\SOFTWARE\Policies\Microsoft\EdgeHKLM\SOFTWARE\Policies\Google\Chrome
Elle laisse également un exécutable dans %ProgramData% pour télécharger la dernière version de l’add‑on et réécrire les politiques supprimées. Si cette chaîne de persistance n’est pas entièrement supprimée, Ultralonen se réinstalle aussitôt après un redémarrage.
Au‑delà des nuisances publicitaires, la menace majeure réside dans l’interception de votre trafic HTTPS : l’extension peut injecter des formulaires frauduleux au‑dessus de sites légitimes, siphonnant ainsi identifiants et numéros de cartes bancaires. La vigilance et un nettoyage complet sont donc indispensables.
Procédure de désinfection pas à pas
| Étape | Outil ou action | Objectif |
|---|---|---|
| 1 | Malwarebytes – analyse complète | Neutraliser les charges actives (environ 15 détections au premier passage). |
| 2 | Suppression manuelle de la tâche planifiée (Task Scheduler) | Bloquer le script de réinstallation automatique. |
| 3 | Farbar Recovery Scan Tool (FRST) • Lancer « Scan » pour générer FRST.txt & Addition.txt.• Publier les journaux pour obtenir une Fixlist personnalisée. | Cartographier tous les services, fichiers et clés affectés. |
| 4 | Exécuter la Fixlist dans FRST (menu « Fix ») | 1ᵉ fix : supprime politiques, extension, tâches. 2ᵉ fix : élimine les reliquats ( apps.crx, DLL). |
| 5 | Nettoyage final | Supprimer FRST64.exe et C:\FRST. Vérifier que l’extension et la mention « géré » ont disparu. |
| 6 | Diagnostic « Intégrité de la mémoire » • Télécharger hvciscan_amd64.exe.• Exécuter en invite admin. | Identifier les pilotes bloquant la fonction Core Isolation. |
Détails et bonnes pratiques pour chaque étape
Malwarebytes – maximiser la détection
Avant l’analyse, mettez Malwarebytes et ses bases de signatures à jour, puis coupez brièvement Internet pour empêcher Ultralonen d’alerter son serveur C&C. Activez les options : Scan Memory Objects, Startup Objects, Registry, Rootkits et Within Archives. N’acceptez pas le redémarrage tant que l’étape 2 n’est pas réalisée ; sinon la tâche planifiée recrée l’extension au boot suivant.
Suppression de la tâche planifiée
Ouvrez taskschd.msc et recherchez une tâche déclenchée « Au démarrage / À la connexion » pointant vers un exécutable dans C:\ProgramData. Le nom est souvent aléatoire (update.exe, igfxst.exe). Supprimez la tâche puis effacez le fichier cible ; sinon l’extension reviendra.
FRST – réalisation du scan
Placez FRST64.exe à la racine de C:\ et cochez Additional Scan. Publiez ensuite les deux journaux pour qu’un helper qualifié rédige une Fixlist spécifique à votre configuration. N’exécutez jamais un script générique : un GUID ou un chemin mal ciblé peut rendre Windows instable.
Exécution de la Fixlist
Une Fixlist type pour Ultralonen contient notamment :
DeleteKey: HKLM\SOFTWARE\Policies\Google\Chrome HKLM\SOFTWARE\Policies\Microsoft\Edge DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce DeleteFile: C:\ProgramData\Ultralonen\* C:\Windows\System32\Tasks\Ultralonen
Après la première passe, redémarrez puis relancez FRST → Fix une seconde fois pour confirmer que tout résidu (apps.crx, services orphelins) a disparu.
Nettoyage et vérification manuelle
- Supprimez
C:\FRST\et videz la corbeille. - Dans Chrome, tapez
chrome://policy; aucune stratégie ne doit apparaître. - Dans Edge, tapez
edge://policy; idem. - Testez une mise à jour : Menu → Aide → À propos. Les versions devraient se télécharger normalement.
Diagnostic de l’Intégrité de la mémoire
Exécutez hvciscan_amd64.exe. Notez les pilotes listés comme Incompatible. Téléchargez une version mise à jour ou remplacez le périphérique (adaptateur Wi‑Fi USB, webcam, carte son). Ensuite, activez Sécurité Windows → Isolation du cœur → Intégrité de la mémoire.
Vérifications et mesures complémentaires utiles
Navigateur
- Mettez Chrome et Edge à jour manuellement.
- Réinitialisez les paramètres si l’URL de démarrage ou le moteur de recherche reste détourné.
- Supprimez cookies et données de site pour purger les marqueurs d’Ultralonen.
Windows Defender / Sécurité Windows
- Lancez une analyse hors ligne dès que votre clé BitLocker est sauvegardée.
- Activez la Protection contre les modifications non autorisées (Controlled Folder Access).
- Vérifiez que SmartScreen est en mode Bloquer pour Edge et applications.
Système et pilotes
Installez toutes les mises à jour cumulatives de Windows. Dans le Gestionnaire de périphériques, mettez à jour les pilotes marqués d’un triangle jaune. Si hvciscan signale un pilote sans mise à jour disponible, envisagez de remplacer le périphérique concerné.
Sauvegarde & bonnes pratiques
- Créez une image système sur un disque externe débranché hors utilisation.
- Utilisez un compte standard (non‑administrateur) pour naviguer.
- Activez l’authentification multifacteur sur vos services sensibles.
- Ne téléchargez des extensions qu’à partir des boutiques officielles et observez le nombre d’utilisateurs.
Cas particuliers rencontrés
| Cas | Solution rapide |
|---|---|
| Fixlist absente pour un autre PC | Chaque Fixlist est unique : exécutez FRST, ouvrez un nouveau fil et postez vos journaux. |
Suppression impossible de ForceInstallList | Désactivez l’héritage des autorisations, convertissez en autorisations explicites, puis supprimez les entrées et redémarrez. |
| Message « Browser is managed by your organization » persistant | Vérifiez HKLM\SOFTWARE\Policies\Microsoft\Edge et HKLM\SOFTWARE\Policies\Google\Chrome, effacez les valeurs suspectes, videz le cache, puis signalez l’extension via Edge → Aide → Envoyer des commentaires. |
FAQ
Pourquoi ne pas simplement réinitialiser Chrome / Edge ?
La réinitialisation enlève les paramètres, mais pas les stratégies de registre ni la tâche planifiée ; Ultralonen se réinstalle donc immédiatement.
La restauration du système suffit‑elle ?
Non : l’infection place des fichiers hors du périmètre de la restauration. Utilisez plutôt une image système complète ou suivez cette procédure.
Comment confirmer l’infection ?
Symptômes principaux : extension inconnue, recherches détournées vers smartsearch.inc, pop‑ups de loteries. Un scan rapide Malwarebytes valide le diagnostic.
Ultralonen revient malgré tout ; que faire ?
- Supprimez tout compte utilisateur secondaire contaminé.
- Analysez les supports amovibles (clés USB, disques externes).
- Coupez Internet le temps du nettoyage pour bloquer les serveurs de commande.
- En dernier recours, sauvegardez vos données et réinstallez Windows.
Bonnes pratiques de prévention
- Activez le canal Insider Preview pour Edge afin de bénéficier plus tôt des signatures anti‑malware.
- Mettez à jour Java, Adobe Reader et autres runtimes.
- Désactivez les protocoles obsolètes (SMBv1, TLS 1.0) dans les fonctionnalités Windows.
- Renouvelez régulièrement vos mots de passe et évitez les réutilisations.
- Réservez vos opérations bancaires à un profil de navigateur dépourvu d’extensions superflues.
Conclusion
En suivant minutieusement ces étapes, vous éliminez Ultralonen et rétablissez la pleine maîtrise de vos navigateurs. Les pop‑ups disparaissent, les mises à jour reprennent et la protection « Intégrité de la mémoire » peut être réactivée. Maintenez de bonnes habitudes de sauvegarde et de mise à jour pour éviter qu’une menace similaire ne s’installe de nouveau.