Una infección con el adware Ultralonen —o cualquier extensión marcada como “Managed by your organization” cuando tu PC no pertenece a ninguna organización— puede secuestrar los navegadores, abrir pop‑ups indeseados y reinstalarse tras cada reinicio. En esta guía aprenderás a eliminar Ultralonen por completo sin dañar archivos legítimos, restaurando Edge y Chrome a su estado normal.

Diagnóstico rápido — señales inequívocas de la infección

• Ventana emergente al arrancar Windows que avisa de la instalación fallida de un archivo X.msi o X.tmp.
• Edge y Chrome muestran un cartel diciendo “controlado por tu organización” y una extensión desconocida imposible de quitar.
• Actualizaciones de ambos navegadores fallan sin explicación o quedan en bucle.
• Búsquedas en Bing/Google redirigen a dominios dudosos.
• Malwarebytes detecta múltiples objetos; Windows Defender, en cambio, no reporta nada.
• Al borrar manualmente las claves de registro, aparece “Unable to delete all specified values”.

Antes de empezar — seguridad y respaldo

1) Copia tus documentos críticos en otra unidad o en la nube.
2) Actualiza las firmas de Malwarebytes y Windows Defender.
3) Si tu disco está cifrado con BitLocker, asegura la clave de recuperación; algunos pasos requieren reinicios fuera de línea.

Detener el mecanismo de reinstalación del adware

1. Abre Programador de tareas (taskschd.msc) y expande Biblioteca del Programador → Microsoft → Windows. Busca tareas creadas el mismo día que comenzaron los síntomas o con un nombre alfanumérico sospechoso.
2. Doble clic → “Deshabilitar” y luego “Eliminar”. Anota la ruta al ejecutable para localizarlo después.
3. Reinicia el equipo y verifica que ya no aparece la ventana emergente ni se lanzan redirecciones.

Crear un diagnóstico exhaustivo con FRST

Para detectar todos los puntos de anclaje de Ultralonen utilizaremos Farbar Recovery Scan Tool (FRST64.exe):

1. Descarga la versión de 64 bits desde el sitio oficial de su autor o de BleepingComputer (sin instalar nada extra).
2. Ejecútalo como Administrador y pulsa Scan. Se generarán FRST.txt y Addition.txt en la misma carpeta.
3. Estos informes muestran las claves ForceInstallList y las políticas de Edge/Chrome responsables de la extensión.
4. En foros especializados, un analista creará un archivo Fixlist.txt específico basado en esos reportes.

Aplicar la corrección automática con Fixlist

1. Copia Fixlist.txt junto a FRST64.exe.
2. Ejecuta FRST de nuevo y pulsa Fix. El sistema se reiniciará; durante el proceso, FRST:
   • Elimina la política SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist y su equivalencia en Chrome.
   • Borra los archivos apps.crx o carpetas con UUID de extensión en %ProgramFiles%\Google\Chrome\Application\Extensions.
   • Suprime tareas programadas, servicios, rutas persistentes y DLL incrustadas que rehacen la infección.
3. Al arrancar, FRST mostrará un registro Fixlog.txt; desplázate hasta el final y confirma que todas las rutas críticas figuran como Successfully deleted.

Repetir la limpieza para restos menores

En raras ocasiones FRST deja una o dos entradas repetidas:

1. Selecciona en el Fixlog las líneas que comiencen por Pending... o Could not delete....
2. Pega esos paths entre las etiquetas start:: y end:: en un nuevo Fixlist.txt.
3. Ejecuta “Fix” de nuevo. Esta segunda pasada suele dejar el sistema limpio al 100 %.

Eliminar una clave de directiva bloqueada manualmente (opcional)

Si persiste la carpeta ForceInstallList en el registro:

1. En regedit.exe, clic derecho sobre la clave → Permisos.
2. Avanzadas → Deshabilitar herencia → Convertir permisos existentes en explícitos.
3. Quita todos los permisos excepto los de tu usuario Administrador.
4. Borra la clave; sal del Editor del Registro.

Verificar y actualizar los navegadores

Comprobación	Ruta de acceso
Marca “Gestionado por tu organización”	Menú → Ayuda → Acerca de Microsoft Edge/Google Chrome
Extensiones desconocidas	edge://extensions   |   chrome://extensions
Actualización forzada	Ayuda → Información. Esperar descarga y reinicio

Si todo va bien, la leyenda desaparece y las actualizaciones se aplican con normalidad.

Solucionar el aviso de “Integridad de memoria”

1. Descarga la herramienta oficial hvciscan_amd64.exe y ejecútala en CMD como Administrador.
2. Anota los controladores incompatibles listados; visita el sitio del fabricante y baja la versión más reciente.
   • Si la lista aparece vacía, el aviso suele ser un falso positivo después de la eliminación del malware.
3. Reinicia y vuelve a Seguridad de Windows → Aislamiento del núcleo; activa “Integridad de memoria”.

Medidas complementarias de protección

• Ejecuta Malwarebytes una segunda vez en modo normal y luego el Análisis sin conexión de Windows Defender para cazar restos fuera de memoria.
• Cambia las contraseñas de cuentas críticas (correo, banca, redes) y habilita MFA donde sea posible.
• Crea un Punto de restauración nuevo, desinstala software obsoleto y mantén Windows Update siempre al día.
• Activa SmartScreen, Control de aplicaciones y Carpetas protegidas (Acceso controlado a carpetas) para blindar futuras instalaciones invisibles.
• En redes domésticas, revisa que el router no tenga DNS forzados a IPs extrañas.

Preguntas frecuentes

¿Puedo formatear directamente?
Es efectivo, pero innecesario si sigues la guía; FRST suprime el malware a nivel de políticas, tareas y archivos.

¿Qué pasa si FRST no arranca?
Usa el modo seguro con funciones de red. Si tampoco funciona, crea un USB de Windows PE y ejecuta FRST desde allí.

Malwarebytes encuentra “PUP.Optional” cada semana, ¿todavía estoy infectado?
No; los PUP suelen ser sobras de instaladores. Eliminalos y limpia el navegador con la opción “Restablecer configuración”.

¿Es necesario desactivar la sincronización de Chrome?
Sí. Borra datos sincronizados en chrome://settings/syncSetup/advanced para evitar que la extensión reviva desde la nube.

Conclusiones

Ultralonen se apoya en políticas ForceInstallList, tareas programadas y extensiones empaquetadas para sobrevivir reinicios y pasar inadvertido a los antivirus clásicos. Con la combinación de FRST + Fixlist, la eliminación es selectiva; no pierde datos ni licencias, pero desmantela todos los ganchos del adware. Después de validar la limpieza, refuerza la seguridad con análisis sin conexión, autenticación multifactor y funciones nativas de Windows Defender.