Votre navigateur affiche « géré par votre organisation » ? L’extension Ultralonen, véritable pirate de moteur de recherche, s’incruste dans Edge et Chrome, se réinstalle après chaque suppression et verrouille les paramètres. Suivez pas à pas ce guide exhaustif pour l’éradiquer définitivement.
Extension « Ultralonen » impossible à supprimer : résumé du fil de dépannage
Problème posé
Sur un PC grand public, l’extension Ultralonen s’installe sans consentement et altère le moteur de recherche, les onglets d’ouverture et les pages d’erreur. Les navigateurs signalent qu’elle est « gérée par votre organisation », ce qui neutralise les boutons Désactiver et Supprimer. Les symptômes :
- Le moteur de recherche repasse systématiquement sur un site obscur.
- Les paramètres d’Edge/Chrome portent la mention « Certaines options sont gérées par votre organisation ».
- L’extension réapparaît après chaque redémarrage.
- Des redirections publicitaires intempestives se déclenchent sur les premiers clics de résultat.
Diagnostic synthétique
- Présence de stratégies locales : la bannière « gérée par votre organisation » indique que des clés de stratégie
HKLM\SOFTWARE\Policies\*ouHKCU\SOFTWARE\Policies\*imposent l’installation d’Ultralonen. - Infection racine plus profonde : toute suppression manuelle étant annulée, un service, une tâche planifiée ou un exécutable persistant réécrit les clés de registre à chaque démarrage.
Tableau récapitulatif des actions
| Étape | Outil / action | Objectif | Résultat |
|---|---|---|---|
| 1 | Éditeur du Registre (regedit) | Supprimer clés de stratégie Edge/Chrome | Échec : clé protégée |
| 2 | FRST – analyse | Recenser tâches, services, scripts malveillants | Journaux FRST.txt et Addition.txt générés |
| 3 | FRST – mode Fix + Fixlist.txt | Supprimer clés verrouillées, tâches, DLL suspectes | Succès : Ultralonen supprimé |
| 4 | Contrôle manuel navigateur | Vérifier disparition du message « géré… » | Navigateurs rétablis |
| 5 (optionnel) | Microsoft Safety Scanner / antivirus | Scan complémentaire | Recommandé si symptômes résiduels |
Tutoriel détaillé pas à pas
1. Préparer le terrain
Avant toute manipulation avancée :
- Créez un point de restauration système ou mieux, une image disque complète (outil « Sauvegarder et restaurer » intégré à Windows ou logiciel tiers).
- Mettez à jour Windows Update, votre antivirus et vos navigateurs. Les versions obsolètes possèdent souvent des failles plus faciles à exploiter.
- Désactivez provisoirement la connexion Internet après le téléchargement des outils ; cela empêche le malware de se mettre à jour ou de se réinstaller pendant la maintenance.
2. Identifier les clés de stratégie incriminées
Ouvrez regedit.exe (Win + R → regedit) et inspectez :
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist
HKEY\_LOCAL\_MACHINE\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist
HKEY\_CURRENT\_USER\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelistVous verrez une valeur de type REG_SZ semblable à :
1 = abcdefghijklmnoopqrstuvwxyz;https://clients2.google.com/service/update2/crxLa partie avant le point‑virgule est l’ID de l’extension. Copiez‑la ; elle servira à vérifier que la même extension se cache dans le profil.
3. Pourquoi FRST est l’outil clé
FRST (Farbar Recovery Scan Tool) récolte un instantané du système : entrées de démarrage, tâches planifiées, services, DLL injectées, clés de registre politiques et plus encore. Contrairement à un antivirus classique qui cherche des signatures connues, FRST permet une analyse structurelle. Vous gardez ainsi le contrôle sur ce qui sera supprimé.
3.1 Télécharger et exécuter FRST
- Téléchargez
FRST.exedepuis un poste sain ou une session Windows Sandbox. - Copiez‑le à la racine du disque C:\, puis lancez‑le en tant qu’administrateur.
- Cochez « Addition.txt » puis cliquez sur Scan.
- Deux fichiers apparaissent à côté de FRST :
FRST.txtetAddition.txt.
3.2 Lire les journaux
Dans FRST.txt cherchez les sections Policies, Scheduled Tasks et Services ; repérez toute mention d’un ID d’extension identique à celui récupéré plus haut ou d’un nom évoquant Ultralonen. Dans Addition.txt, consultez Chrome Extensions et Edge Extensions.
4. Écriture du script Fixlist.txt
Créez un fichier texte nommé Fixlist.txt dans le même dossier que FRST et collez‑y, pour chaque artefact suspect, l’instruction correspondante. Exemple simplifié :
HKLM\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist:1
HKCU\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist:1
Task: {GUID_DE_TÂCHE} -> Delete
C:\ProgramData\Ultralonen\*.* -> Delete
Service: UltralonenSvc -> DeleteEnregistrez, relancez FRST puis cliquez sur Fix. L’outil redémarre le PC ; au démarrage suivant, un Fixlog.txt résume les suppressions.
5. Vérifications post‑nettoyage
Reconnectez le réseau, ouvrez Edge puis Chrome et vérifiez :
- Le message « géré par votre organisation » a disparu.
- L’extension Ultralonen n’apparaît plus dans Extensions.
- Le moteur de recherche reste celui que vous choisissez.
En complément, redémarrez une deuxième fois pour confirmer qu’aucune tâche planifiée ne régénère les clés de stratégie. Scannez enfin avec Microsoft Defender ; un scan hors ligne (Windows Security → Protection contre les virus → Analyses hors ligne) détecte certains rootkits encore camouflés en mémoire.
Approche alternative pour les pros : PowerShell & Safe Mode
Démarrage en mode sans échec réseau
- Win+R → msconfig.
- Dans l’onglet Démarrer, cochez « Démarrage sécurisé » → Réseau.
- Redémarrez ; Ultralonen ne devrait pas se charger, ce qui facilite la suppression manuelle.
Audit automatisé des registres
Get-Item "HKLM:\SOFTWARE\Policies\*\*\ExtensionInstallForcelist" -Recurse |
Get-ItemProperty |
Select-Object PSPath, @{n='ExtensionID';e={($_.1).Split(';')[0]}}La commande liste en une ligne toutes les extensions forcées. Supprimez‑les :
Remove-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Edge" -Recurse -Force
Remove-Item -Path "HKCU:\SOFTWARE\Policies\Microsoft\Edge" -Recurse -ForceRelancez le PC pour constater la disparition de la bannière « gérée… ».
Questions fréquentes (FAQ)
Ultralonen revient malgré tout, que faire ?
Cela signifie qu’un exécutable tourne encore. Passez par l’onglet Démarrage du Gestionnaire des tâches, puis par Autoruns (suite Sysinternals) pour localiser les binaires inconnus. Tout fichier signé numériquement « Ultralonen » est suspect ; isolez‑le dans C:\Quarantaine.
Est‑ce qu’une réinitialisation Edge/Chrome suffit ?
Non, car la politique de groupe est prioritaire. La réinitialisation ne fait que supprimer les données de profil, tandis que les valeurs du registre sont ré‑appliquées au prochain lancement.
Peut‑on tout faire sans FRST ?
Théoriquement oui (via reg.exe, schtasks et PowerShell), mais FRST accélère la détection et évite les oublis. Si vous préférez les outils Microsoft natifs, créez un point de restauration puis combinez Autoruns, Process Explorer et Defender Offline.
Bonnes pratiques pour éviter la ré‑infection
- Installer les extensions uniquement depuis les stores officiels et vérifier la note moyenne, la date de dernière mise à jour, le nombre d’avis et la politique de confidentialité.
- Désactiver l’installation d’extensions tierces : Edge / Chrome → Paramètres → Extensions → « Autoriser les extensions en dehors du Microsoft Store/Chrome Web Store » = Désactivé.
- Mettre à jour le navigateur chaque mois : la version stable d’Edge sort toutes les quatre semaines, Chrome aussi. Les correctifs de sécurité coupent l’herbe sous le pied de nombreux adwares.
- Activer la Protection renforcée de Google (Chrome) ou Microsoft Defender SmartScreen (Edge) pour bloquer les téléchargements malveillants.
- Scanner régulièrement : Microsoft Defender planifié + Malwarebytes (version gratuite, analyse à la demande).
- Éduquer les utilisateurs : la plupart des PUA (Potentially Unwanted Applications) s’installent via de faux lecteurs vidéo, des cracks ou des générateurs de clés. Sensibilisez‑vous aux pièges fréquents.
Récapitulatif final de l’état du système
Après exécution du script Fixlist dans FRST puis redémarrage :
- L’extension Ultralonen est absente des listes Edge & Chrome.
- Les clés
ExtensionInstallForcelistont été supprimées. - Aucune tâche planifiée ni service ne réécrit les valeurs.
- Le moteur de recherche reste stable après plusieurs redémarrages.
- Les performances globales du PC reviennent à la normale ; aucun pic CPU/disk suspect dans le Gestionnaire des tâches.
Conclusion
Ultralonen exploite les mêmes mécanismes qu’une entreprise légitime : les Group Policies. D’où la mention « géré par votre organisation ». En combinant FRST, un script Fixlist.txt ciblé et des vérifications manuelles, on restaure un navigateur sain et durable. Adoptez ensuite une hygiène numérique rigoureuse pour ne plus revivre ce scénario.