Políticas do Edge/Chrome que voltam sozinhas (2024): solução definitiva para ExtensionInstallForcelist (KondSerp)

Se, após apagar no Regedit as chaves de política do Edge/Chrome, elas insistem em reaparecer horas depois, este guia mostra a causa real — uma tarefa agendada que repõe as políticas via PowerShell — e a solução definitiva, passo a passo, com validações e prevenção.

Índice

Resumo rápido (TL;DR)

O que acontecia: você removia as chaves no Registro, mas as políticas voltavam em 2–4 horas; os logs citavam edgeupdatem e svchost.exe (gpsvc).
Causa raiz: uma tarefa agendada maliciosa — KondSerpOptimizerV2 — executava o PowerShell C:\Windows\System32\KondSerpOptimizer.ps1 para recriar políticas (principalmente ExtensionInstallForcelist) e forçar extensões no Edge/Chrome.
Solução efetiva: usar FRST (Farbar Recovery Scan Tool) com fixlist apropriado ou remover manualmente a tarefa e o script; só então limpar as chaves de política.
Resultado: depois de eliminar a persistência (tarefa + script), as políticas deixam de reaparecer.
Higiene final: remover o FRST e a pasta C:\FRST (quarentena e logs).

Visão geral do problema

Casos como “políticas do Edge/Chrome voltam sozinhas” costumam confundir porque, à primeira vista, parecem ser culpa do Edge Updater ou do serviço de Políticas de Grupo (gpsvc). Na realidade, esses processos apenas refletem atividade normal do sistema ou são “pano de fundo” de algo maior: um adware/PUA que injeta políticas a partir do Registro numa cadência programada.

Sintomas que costumam enganar

Reaparecimento periódico: chaves reaparecem de 2 em 2 horas ou em janelas de 2–4 horas.
Política de extensões: presença de ExtensionInstallForcelist em Edge/Chrome, com reinstalação automática de extensões.
Logs “barulhentos”: entradas envolvendo edgeupdatem e svchost.exe (gpsvc) próximas ao horário em que as chaves reaparecem.

Elemento	O que você vê	Por que acontece
`edge://policy` / `chrome://policy`	Itens “Ativado por política” (ex.: `ExtensionInstallForcelist`)	O navegador lê chaves de política no Registro e aplica as restrições/instalações.
Regedit	Chaves sob `...Policies\Microsoft\Edge` e/ou `...Policies\Google\Chrome`	São criadas/recriadas por um script em execução periódica.
Agendador de Tarefas	Tarefa com nome genérico (ex.: `KondSerp_OptimizerV2`)	Persistência do adware, que agendeia um PowerShell para repor as chaves.

O que realmente faz as políticas voltarem

A peça-chave é a tarefa agendada KondSerpOptimizerV2, que chama um script PowerShell localizado em C:\Windows\System32\KondSerpOptimizer.ps1. Esse script recria chaves e valores em:

HKEYLOCALMACHINE\SOFTWARE\Policies\Microsoft\Edge e/ou HKEYCURRENTUSER\SOFTWARE\Policies\Microsoft\Edge
HKEYLOCALMACHINE\SOFTWARE\Policies\Google\Chrome e/ou HKEYCURRENTUSER\SOFTWARE\Policies\Google\Chrome

O alvo mais frequente é ExtensionInstallForcelist, que faz o navegador instalar (e manter) extensões específicas sem a permissão do usuário, inclusive reinstalando-as se removidas.

Por que `edgeupdatem` e `gpsvc` aparecem nos logs?

edgeupdatem é parte do mecanismo de atualização do Edge/Chromium; svchost.exe (gpsvc) hospeda o serviço Group Policy Client. Ambos podem aparecer nos horários em que políticas são recarregadas, mas não são a causa do reaparecimento. A verdadeira causa é a execução programada do PowerShell malicioso, que escreve no Registro e dispara a leitura de políticas pelo navegador.

Solução completa e reproduzível

Antes de começar

Aviso importante: se o computador é corporativo/estudantil, valide com o TI: políticas podem ser legítimas. Em PC pessoal, crie ponto de restauração e exporte as chaves que pretende alterar.

Passo a passo seguro

Confirmar políticas ativas
- No Edge, abra edge://policy; no Chrome, abra chrome://policy.
- Se aparecer ExtensionInstallForcelist ou itens “Ativado por política”, há gestão via Registro/Política.
Remover as chaves (limpeza temporária) Abra o Regedit e examine/remova entradas relacionadas (depois reinicie): HKEYLOCALMACHINE\SOFTWARE\Policies\Microsoft\Edge HKEYCURRENTUSER\SOFTWARE\Policies\Microsoft\Edge HKEYLOCALMACHINE\SOFTWARE\Policies\Google\Chrome HKEYCURRENTUSER\SOFTWARE\Policies\Google\Chrome Apague subchaves como ExtensionInstallForcelist e quaisquer valores suspeitos. Reinicie o Windows.
Eliminar a persistência (o essencial)
- Agendador de Tarefas → Biblioteca → localize e exclua tarefas suspeitas, especialmente KondSerp_OptimizerV2.
- Verifique e exclua C:\Windows\System32\KondSerp_Optimizer.ps1 se existir.
- Opcional (recomendado): usar FRST com um fixlist adequado para automatizar a remoção da tarefa, do script e das chaves impostas.
Higienização do navegador
- Edge/Chrome → remova extensões desconhecidas ou que voltam sozinhas.
- Volte a edge://policy / chrome://policy e clique em Recarregar políticas; o ideal é ficar vazio ou conter apenas políticas legítimas.
Reforço de segurança
- Execute verificação completa com o Microsoft Defender.
- Ative a detecção de Aplicações Potencialmente Indesejadas (PUA/PUA).
- Mantenha Windows e navegadores atualizados.

Executando o FRST com um fixlist (abordagem guiada)

O FRST permite remover de forma atômica a tarefa agendada, o script PowerShell e as chaves impostas. A lógica é:

Gerar logs com o FRST para identificar Tasks, Files e chaves afetadas.
Montar um fixlist.txt que:
- exclui a tarefa KondSerp_OptimizerV2 e seus Triggers/Actions;
- remove o arquivo KondSerp_Optimizer.ps1;
- limpa chaves em ...Policies\Microsoft\Edge e/ou ...Policies\Google\Chrome.
Executar o Fix no FRST (como Administrador).

Exemplo ilustrativo de fixlist (ajuste aos seus logs; nomes e caminhos podem variar):

Start::
CreateRestorePoint:
CloseProcesses:

Task: {Remover tarefa KondSerp}
C:\Windows\System32\Tasks\KondSerp\_OptimizerV2

CMD: schtasks /Delete /TN "KondSerp\_OptimizerV2" /F
DeleteFile: C:\Windows\System32\KondSerp\_Optimizer.ps1
DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist
DeleteKey: HKCU\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist
DeleteKey: HKLM\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist
DeleteKey: HKCU\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist
Reg: reg delete "HKLM\SOFTWARE\Policies\Microsoft\Edge" /f
Reg: reg delete "HKCU\SOFTWARE\Policies\Microsoft\Edge" /f
Reg: reg delete "HKLM\SOFTWARE\Policies\Google\Chrome" /f
Reg: reg delete "HKCU\SOFTWARE\Policies\Google\Chrome" /f

EmptyTemp:
End::

Dicas de uso seguro: execute o FRST a partir da sua pasta de usuário ou da área de trabalho; revise o fixlist antes de aplicar; após a correção, remova o executável do FRST e a pasta C:\FRST (quarentina, backups e logs).

Validação pós-correção

Reinicie o Windows.
Abra edge://policy / chrome://policy e clique em Recarregar políticas.
Confira o Agendador de Tarefas: não deve existir a tarefa KondSerp_OptimizerV2 (ou variantes).
Monitore por 24–48 horas: se nada reaparecer, a persistência foi eliminada.

Diagnóstico rápido: descubra quem impõe as políticas

Se o problema voltar ou se quiser confirmar de onde vem a imposição, estes comandos ajudam (execute no PowerShell como Administrador):

Objetivo	Comando	O que observar
Listar tarefas suspeitas	`Get-ScheduledTask \| Sort-Object NextRunTime \| Where-Object { $_.TaskName -match 'Kond\|Serp\|Optimize\|Update\|Service' } \| Select TaskName, State, Author, @{n='Action';e={(Get-ScheduledTaskInfo $_).LastRunTime}}`	Nomes genéricos com “Optimizer”, “Update”, “Service”, autor estranho, rodando de 2 em 2 horas.
Ver ação da tarefa	`schtasks /Query /TN "KondSerp_OptimizerV2" /V /FO LIST`	Procure chamada ao PowerShell com caminho do script em `System32`.
Checar políticas no Registro (Edge)	`reg query "HKLM\SOFTWARE\Policies\Microsoft\Edge" reg query "HKCU\SOFTWARE\Policies\Microsoft\Edge"`	Veja se `ExtensionInstallForcelist` ou chaves estranhas retornam sozinhas.
Checar políticas no Registro (Chrome)	`reg query "HKLM\SOFTWARE\Policies\Google\Chrome" reg query "HKCU\SOFTWARE\Policies\Google\Chrome"`	Mesma lógica para o Chrome.
Eventos do PowerShell	`# Ativar log operacional (se necessário) e consultar eventos recentes Get-WinEvent -LogName "Microsoft-Windows-PowerShell/Operational" -MaxEvents 100 \| Select TimeCreated, Id, Message`	Execuções periódicas de scripts na faixa horária em que as políticas reaparecem.

Políticas mais comuns e seus efeitos

Estas são as mais associadas a adware/PUA em Edge/Chrome:

Chave/Política	Caminho	Efeito prático
`ExtensionInstallForcelist`	`...\Policies\Microsoft\Edge` ou `...\Policies\Google\Chrome`	Força a instalação de extensões por ID/URL e impede remoção persistente.
`ExtensionInstallBlocklist`	Idem	Bloqueia instalação de extensões específicas (às vezes usado para mascarar).
`RestoreOnStartup` / `HomepageLocation`	Idem	Fixa páginas iniciais e de inicialização, útil a sequestradores de busca.
`URLAllowlist` / `URLBlocklist`	Idem	Permite/bloqueia URLs, pode redirecionar fluxo de navegação.
`DefaultSearchProvider*`	Idem	Impõe provedor de busca (host e query); usado para “trocar o buscador”.

Diferenças entre política legítima e adware

Ambiente gerido: PC associado a domínio/MDM (ex.: conta de trabalho/escola, “Este dispositivo é gerido”). Políticas tendem a ter autores e descrições corporativas. Procure o ícone de building no navegador e a origem “Cloud/ADMX”.
PC pessoal: não há MDM/AD; aparece uma tarefa “otimizadora”, scripts em System32 com nomes genéricos e chaves ressurgindo sem intervenção do utilizador.

Prevenção e endurecimento

Defender (PUA): ative a proteção contra aplicativos potencialmente indesejados. PowerShell (Admin): Set-MpPreference -PUAProtection 1 # 1 = Enabled
SmartScreen e Atualizações: mantenha SmartScreen ligado e aplique updates do Windows e dos navegadores.
Extensões: instale apenas o necessário; revise permissões e remova o que não usa.
Monitoramento: de tempos em tempos, revise o Agendador por tarefas novas e a pasta System32 por scripts fora do padrão.
PowerShell seguro: se não desenvolve scripts, considerar AllSigned em ambientes pessoais mais rígidos (sujeito a impacto em ferramentas legítimas).

Perguntas frequentes

Por que apagar no Regedit não resolveu?

Porque o Regedit remove o efeito, não a causa. A tarefa KondSerp_OptimizerV2 roda periodicamente um script que recria as chaves — portanto elas “voltam sozinhas”.

Posso simplesmente desativar o serviço `gpsvc` ou o `edgeupdatem`?

Não. São componentes legítimos do Windows/Edge. Desativá-los cria problemas e não remove a persistência. O foco deve ser eliminar a tarefa e o script que mexem no Registro.

O FRST é obrigatório?

Não. É possível remover manualmente (Agendador + arquivo + Registro). O FRST apenas automatiza e dá segurança (ponto de restauração, quarentena). Se optar por FRST, revise cuidadosamente o fixlist.

Chrome também é afetado?

Sim. O mesmo mecanismo de políticas forçadas existe no Chrome. Se o adware apontar para as chaves de Chrome, o efeito será idêntico.

E se a tarefa retornar após alguns dias?

Indica reinfecção (instalador/PUA ainda presente) ou uma segunda rotina de persistência. Revise instalações recentes, startups, tarefas e agende uma verificação offline do Defender.

Apaguei o script, mas não consigo excluir a tarefa

Abra o Agendador como Administrador e use também schtasks /Delete /TN "KondSerp_OptimizerV2" /F. Se houver erro de permissões, verifique se não está a correr sob outra conta; finalize processos do PowerShell e tente de novo.

Checklist final

Confirmou políticas em edge://policy / chrome://policy?
Removeu tarefa e script (KondSerpOptimizerV2 / KondSerpOptimizer.ps1)?
Limpou as chaves do Registro (Edge/Chrome) e reiniciou?
Políticas deixaram de aparecer após recarregar e aguardar 24–48h?
Executou verificação completa com o Defender e ativou PUAProtection?
Fez higiene de extensões e removeu o diretório C:\FRST após o conserto?

Conclusão

Quando políticas do Edge/Chrome “voltam sozinhas”, não é mágica — é persistência. O combo “tarefa agendada + script PowerShell” (KondSerpOptimizerV2 e KondSerpOptimizer.ps1) reimpõe chaves como ExtensionInstallForcelist ciclicamente. A correção de fato exige extirpar a persistência e só então limpar as políticas. Seguindo o passo a passo acima (manual ou via FRST), o reaparecimento cessa e o navegador volta ao controle do utilizador.