¿Borras las claves de políticas de Edge/Chrome y vuelven cada pocas horas? Aquí explico la causa real —una tarea programada con PowerShell que rehace las claves—, cómo eliminarla con FRST y alternativas manuales seguras para dejar el navegador limpio y sin “Managed by your organization”.
Resumen del problema
Tras borrar manualmente las claves de directivas en HKLM/HKCU\SOFTWARE\Policies\Microsoft\Edge (y sus equivalentes de Chrome), las políticas reaparecen de forma automática cada 2–4 horas. En el Visor de eventos se observa actividad de edgeupdatem y de svchost.exe (gpsvc). Microsoft Defender no detecta nada y restaurar el sistema no soluciona el problema. La pregunta clave es doble: ¿por qué reaparecen? y ¿cómo quitarlas de forma permanente?
Causa raíz
En el caso analizado, el origen fue una tarea programada llamada KondSerpOptimizerV2, que ejecutaba un script de PowerShell (C:\Windows\System32\KondSerpOptimizer.ps1 o variante KondSerp_Optimizer.ps1). Ese script recreaba periódicamente claves de directiva tanto para Edge como para Chrome, incluyendo la política ExtensionInstallForcelist para forzar la instalación de extensiones. Por eso las claves reaparecían aunque se borraran a mano.
La presencia de gpsvc (servicio de Directiva de Grupo) o del actualizador de Edge en los eventos no era la causa del problema: ambos procesos aparecen de forma normal cuando el sistema aplica o recarga directivas, ya sean legítimas o recreadas por terceros.
Solución probada que funcionó
- Ejecutar FRST (Farbar Recovery Scan Tool) y generar los informes del sistema.
- Aplicar un fixlist específico con FRST → Fix. El equipo se reinicia automáticamente.
- FRST eliminó la tarea programada maliciosa y puso en cuarentena el script
KondSerp_Optimizer.ps1. - Verificación: las políticas dejaron de reaparecer; en
edge://policyychrome://policyno quedaban entradas forzadas desconocidas. - Limpieza final: borrar el ejecutable de FRST y la carpeta
C:\FRST.
Si vas a usar FRST, descárgalo únicamente de su fuente oficial y aplica un fixlist adecuado a tus logs, idealmente preparado por alguien con experiencia. Un fixlist genérico puede no funcionar en todos los equipos.
Alternativas si no usas FRST
Si prefieres no emplear FRST, puedes lograr el mismo resultado con prácticas seguras y verificables:
Buscar y eliminar tareas programadas sospechosas
Abre el Programador de tareas → Biblioteca del Programador y revisa entradas con nombres inusuales (por ejemplo, KondSerpOptimizerV2). Presta atención a acciones que lancen powershell.exe -File ..., especialmente si apuntan a C:\Windows\System32\ o a rutas inusuales.
PowerShell (ejecutar como administrador)
Get-ScheduledTask | Where-Object {$_.Actions -match 'powershell.exe'} |
Select-Object TaskName, TaskPath, State, Actions
Ver detalles de una tarea concreta
Get-ScheduledTask -TaskName "KondSerpOptimizerV2" | Get-ScheduledTaskInfo
Desregistrar (eliminar) la tarea maliciosa
Unregister-ScheduledTask -TaskName "KondSerpOptimizerV2" -Confirm:\$false Eliminar scripts asociados
Si la tarea invoca un script (p. ej., C:\Windows\System32\KondSerp_Optimizer.ps1), bórralo y vacía la Papelera. Asegúrate de que no esté en uso y de tener privilegios de administrador.
PowerShell (ejecutar como administrador)
Comprobar si el archivo existe
Test-Path "C:\Windows\System32\KondSerp_Optimizer.ps1"
Tomar posesión y eliminar si fuera necesario
Remove-Item "C:\Windows\System32\KondSerp\_Optimizer.ps1" -Force Eliminar políticas forzadas en el Registro
Tras eliminar la tarea y el script, borra las claves de política para impedir que restos de configuración sigan aplicándose:
| Producto | Ruta HKLM | Ruta HKCU | Claves frecuentes |
|---|---|---|---|
| Edge | HKLM\SOFTWARE\Policies\Microsoft\Edge | HKCU\SOFTWARE\Policies\Microsoft\Edge | ExtensionInstallForcelist, RestoreOnStartupURLs, HomepageLocation |
| Chrome | HKLM\SOFTWARE\Policies\Google\Chrome | HKCU\SOFTWARE\Policies\Google\Chrome | ExtensionInstallForcelist, HomepageLocation, URLBlacklist/Whitelist |
CMD (ejecutar como administrador)
reg delete "HKLM\SOFTWARE\Policies\Microsoft\Edge" /f
reg delete "HKCU\SOFTWARE\Policies\Microsoft\Edge" /f
reg delete "HKLM\SOFTWARE\Policies\Google\Chrome" /f
reg delete "HKCU\SOFTWARE\Policies\Google\Chrome" /f
Reinicia el equipo y luego valida en edge://policy y chrome://policy con el botón Reload policies.
Comprobación en el navegador
- En Edge y Chrome, entra a
edge://policyochrome://policy. Si aparece “Managed by your organization” y no perteneces a ninguna, revisa el origen de la directiva en la columna Source y confirma que no queden valores forzados desconocidos. - En
chrome://extensionsoedge://extensions, verifica que no existan extensiones “instaladas por la empresa” que no reconozcas.
Por qué restaurar sistema no lo arregla siempre
La restauración puede omitir elementos como tareas programadas, scripts ubicados fuera de rutas monitorizadas o cambios en HKLM que no se revierten. Si un scheduler vuelve a ejecutar el script, las claves reaparecen. Por eso es crítico eliminar la causa (tarea + script) y no solo el síntoma (claves en el Registro).
Tabla rápida de diagnóstico
| Síntoma | Qué indica | Acción recomendada |
|---|---|---|
| Las claves vuelven cada 2–4 h | Tarea programada, servicio o script que reescribe valores | Audita Programador de tareas y busca powershell.exe -File |
Eventos de gpsvc | Aplicación normal de directivas | No es la causa; céntrate en el origen que escribe las claves |
Eventos de edgeupdatem | Actualizador legítimo de Edge | No es la causa; revisa si coincide con ejecuciones del script |
| Extensiones que reaparecen | ExtensionInstallForcelist | Elimina la lista forzada y la tarea/script que la impone |
Comandos útiles para investigar
Enumerar tareas que llaman PowerShell
PowerShell
Get-ScheduledTask | Where-Object {
$_.Actions -match 'powershell\.exe'
} | Select-Object TaskName, TaskPath, State, Actions | Format-List
Buscar scripts sospechosos recientes en Windows y System32
PowerShell
Get-ChildItem "C:\Windows\System32","C:\Windows" -Filter *.ps1 -Recurse -ErrorAction SilentlyContinue |
Sort-Object LastWriteTime -Descending |
Select-Object -First 50 FullName, LastWriteTime
Listar directivas actuales de Edge y Chrome desde PowerShell
PowerShell
$paths = @(
'HKLM:\SOFTWARE\Policies\Microsoft\Edge',
'HKCU:\SOFTWARE\Policies\Microsoft\Edge',
'HKLM:\SOFTWARE\Policies\Google\Chrome',
'HKCU:\SOFTWARE\Policies\Google\Chrome'
)
foreach ($p in $paths) {
if (Test-Path $p) {
Write-Host "`n$p"
Get-ItemProperty $p | Out-String | Write-Host
}
}
Eliminar con PowerShell las claves de políticas (tras quitar la causa)
PowerShell (Administrador)
$toDelete = @(
'HKLM:\SOFTWARE\Policies\Microsoft\Edge',
'HKCU:\SOFTWARE\Policies\Microsoft\Edge',
'HKLM:\SOFTWARE\Policies\Google\Chrome',
'HKCU:\SOFTWARE\Policies\Google\Chrome'
)
foreach ($k in $toDelete) {
if (Test-Path $k) { Remove-Item $k -Recurse -Force }
}
Indicadores de compromiso a revisar
- Tarea programada con nombre extraño (p. ej., KondSerpOptimizerV2).
- Script PS1 en
C:\Windows\System32\con nombre parecido a KondSerpOptimizer. - Política
ExtensionInstallForcelistcon IDs de extensiones desconocidas. - Mensajes de “El navegador está administrado por tu organización” sin pertenecer a ningún dominio/Intune.
Flujo de resolución recomendado
- Desconecta temporalmente de internet si observas reinstalaciones agresivas (evita descargas adicionales).
- Audita y elimina la tarea programada maliciosa; toma nota de su Action y ruta de script.
- Elimina el script de la ruta detectada. Verifica que no queden copias en otras ubicaciones (Temp, ProgramData, etc.).
- Limpia el Registro en las rutas de políticas de Edge y Chrome (HKLM y HKCU).
- Reinicia y valida en
edge://policyychrome://policy. Recarga políticas. - Revisa extensiones y desinstala las no deseadas. Si estaban “forzadas”, ya no deberían reaparecer.
- Escaneo antimalware (incluido Defender Offline). Aunque en el caso descrito no hubo detección, es una capa adicional útil.
Notas importantes sobre entornos corporativos
- Si tu equipo está unido a dominio o gestionado por Intune, consulta al administrador. Las GPO/MDM legítimas volverán a aplicar políticas y deben prevalecer.
- Edge y Chrome priorizan políticas de equipo (HKLM) frente a usuario (HKCU); si solo borras HKCU, volverás a ver la configuración impuesta.
Qué no es la causa y por qué
Es fácil culpar a los procesos visibles:
gpsvc: su trabajo es aplicar y actualizar directivas. Verlo activo no implica origen malicioso.edgeupdatem: es el servicio de actualización de Edge. Suele ejecutarse con regularidad; su coincidencia horaria con tu problema es accidental si hay un script que escribe directivas.
Buenas prácticas para prevenir recurrencia
- Mantén Windows y navegadores actualizados desde sus propios mecanismos.
- Evita instalar extensiones fuera de las tiendas oficiales.
- Revisa periódicamente el Programador de tareas y Inicio de Windows (Autoruns puede ayudarte) si notas comportamientos extraños.
- Limita la ejecución de scripts desconocidos; considera establecer la directiva de ExecutionPolicy acorde a tus necesidades de seguridad.
Preguntas frecuentes
¿Por qué las claves volvían exactamente cada pocas horas?
Porque la tarea programada definía un disparador con intervalo (o con reintentos) que relanzaba el script. El resultado: reescritura periódica de las claves.
¿Puedo borrar solo los valores de ExtensionInstallForcelist?
Servirá de forma temporal, pero si el script sigue activo, los valores volverán. Debes eliminar la tarea/script y luego limpiar el Registro.
¿FRST es imprescindible?
No. FRST facilita automatizar la limpieza, pero puedes lograrlo manualmente si identificas y eliminas el mecanismo persistente (tarea + script) y limpias el Registro. En entornos sensibles, FRST con un fixlist bien hecho ahorra tiempo y errores.
¿Hay riesgo al borrar claves en HKLM?
Haz copia de seguridad primero. Si borras claves Policies desconocidas y luego verificas en el navegador, no deberías tener problemas. No borres rutas ajenas a Policies.
Plantilla orientativa de fixlist (solo como referencia)
Esta plantilla ilustra intenciones (eliminar tarea y script, limpiar Policies). Debe adaptarse a tus logs reales:
# FRST fixlist - EJEMPLO ORIENTATIVO
Ajusta nombres y rutas según tus informes FRST
Start::
CreateRestorePoint:
CloseProcesses:
Eliminar tarea programada
Task: KondSerpOptimizerV2
Eliminar script malicioso
DeleteFile: C:\Windows\System32\KondSerp\_Optimizer.ps1
Limpiar políticas Edge/Chrome (HKLM y HKCU)
Reg: reg delete "HKLM\SOFTWARE\Policies\Microsoft\Edge" /f
Reg: reg delete "HKCU\SOFTWARE\Policies\Microsoft\Edge" /f
Reg: reg delete "HKLM\SOFTWARE\Policies\Google\Chrome" /f
Reg: reg delete "HKCU\SOFTWARE\Policies\Google\Chrome" /f
Reboot:
End:: Importante: el formato y los comandos exactos de un fixlist deben ajustarse a cada sistema. No ejecutes plantillas sin validarlas.
Checklist de verificación
- No existe la tarea programada sospechosa.
- No existe el script en
System32(ni copias en otras carpetas). - Las claves
Policiesde Edge/Chrome no contienen valores extraños. edge://policyychrome://policyno muestran políticas desconocidas.- No reaparecen extensiones forzadas tras varios reinicios y horas de uso.
Conclusión
Si las políticas de Edge/Chrome reaparecen tras borrarlas, casi siempre hay un mecanismo de persistencia que las regenera. En el caso expuesto fue la tarea KondSerpOptimizerV2 con un script en System32 que imponía ExtensionInstallForcelist. La solución definitiva pasa por eliminar la tarea y su script y limpiar las claves Policies. Con FRST y un fixlist adecuado es rápido; de forma manual, con Programador de tareas + PowerShell, también es totalmente viable.