Este guia avançado mostra, em detalhes, como eliminar a extensão CelestialQuasaror (ID dnkbpgojomimofgklfcijiafapfmkgdh) que aparece como “Gerenciada pelo administrador” no Chrome e reaparece a cada reinício devido a uma política corporativa de instalação forçada. O método foi testado por técnicos em comunidades de segurança e comprovadamente remove todas as entradas, inclusive o programa “Chromstera”, os valores do Registro e as tarefas agendadas que trazem a praga de volta.
Visão geral do problema
Pragas modernas não se limitam a instalar uma extensão. Elas criam uma cadeia de persistência que inclui:
- Um software wrapper (normalmente “Chromstera”) executado como serviço do Windows;
- Chaves de política em
HKLM\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelistque forçam a reinstalação; - Tarefas agendadas que monitoram a pasta de extensões e restauram arquivos apagados;
- Sincronização na Conta Google, reativando o add‑on em outros dispositivos.
Por isso, simplesmente clicar em “Remover” ou apagar a pasta da extensão não resolve. É necessário desmontar todas as camadas de persistência.
Solução completa passo a passo
Pré‑requisitos e avisos
O procedimento usa a ferramenta de diagnóstico Farbar Recovery Scan Tool (FRST), amplamente adotada em fóruns de remoção de malware como BleepingComputer. Embora seja segura, ela executa scripts poderosos; siga cada etapa à risca e, se não se sentir confortável, procure ajuda especializada.
| Etapa | Ação | Observações importantes |
|---|---|---|
| 1 | Desinstalar “Chromstera” em Configurações → Aplicativos | Este programa é o gatilho que reinstala a extensão. Se não aparecer na lista ou não puder ser removido, prossiga mesmo assim. |
| 2 | Baixar o Farbar Recovery Scan Tool (FRST) • 64 bits: FRST64.exe • Se o Windows estiver em português, renomeie para FRST64English.exe | Faça o download diretamente do site oficial da BleepingComputer. Caso o Edge sinalize como “Arquivo perigoso”, use “Manter → Mostrar mais → Manter mesmo assim”. |
| 3 | Executar o FRST e clicar em “Scan” | Serão criados FRST.txt e Addition.txt na mesma pasta. Guarde-os; eles documentam o estado inicial do sistema e ajudam na auditoria. |
| 4 | Copiar o arquivo Fixlist.txt (fornecido pelo moderador/ajudante) para a mesma pasta do FRST | O arquivo contém comandos específicos para remover tarefas, chaves de política e diretórios residuais relacionados a CelestialQuasaror. |
| 5 | No FRST, clicar em “Fix” | O sistema será reiniciado automaticamente, geralmente em menos de cinco minutos, para aplicar todas as correções. |
| 6 | Após o boot, enviar Fixlog.txt para revisão (opcional) | Se estiver em um fórum de suporte, poste o log para confirmar que todas as linhas foram executadas com sucesso. |
| 7 | Se o log indicar sucesso, apagar o FRST e a pasta C:\FRST | Isso evita falsos positivos em antivírus e mantém o sistema limpo. |
O que o FRST faz nos bastidores?
O Fixlist contém comandos no formato “Reg: Delete”, “Task: Delete” e “Folder: Delete”. Quando você executa Fix, o FRST:
- Faz backup das chaves de registro afetadas;
- Grava os comandos de exclusão dentro do Registro Off‑line (antes do carregamento dos serviços de terceiros);
- Reinicia em modo de reparo do Windows se necessário;
- Remove pastas de extensões, geralmente localizadas em
%LOCALAPPDATA%\Google\Chrome\User Data\Default\Extensions\dnkbp...; - Suprime tarefas agendadas como “Chromstera Update” que monitoram o Chrome.
Por atuar em camadas que o usuário comum não alcança, o método é altamente eficaz contra políticas de instalação forçada.
Validação pós‑limpeza
- Abra o Chrome e digite
chrome://policy. A lista deve ficar vazia ou exibir apenas itens corporativos legítimos (se você estiver em domínio). - No mesmo navegador, acesse
chrome://extensions. A CelestialQuasaror não deve aparecer nem mesmo oculta. - Verifique
chrome://settings/syncSetup. Desative a sincronização de extensões, aguarde um minuto e reative, para propagar a remoção a outros dispositivos. - No Edge Chromium, repita o processo em
edge://policyeedge://extensions.
Informações complementares para lusófonos
Por que a extensão volta mesmo após “Remover”?
Ao inserir o ID da extensão na chave ExtensionInstallForcelist, o invasor diz ao Chrome: “Baixe este add‑on da Chrome Web Store a cada inicialização e marque-o como gerenciado”. Isso põe a extensão fora do controle do usuário; apenas deletar a pasta não surte efeito, porque o navegador a baixa de novo em segundos.
Outras verificações recomendadas
- Verificador de reputação: execute Microsoft Defender (opção Análise Offline) ou Malwarebytes para detectar binários residuais;
- Restaurar configurações de grupo: em sistemas corporativos, confirme com o administrador de TI se não há GPO legítima empurrando a extensão;
- Monitorar inicialização: use o Gerenciador de Tarefas → Inicializar ou
msconfigpara garantir que não restaram entradas de Chromstera.
Boas práticas de prevenção
Evitar reinfecção é mais simples do que limpar novamente:
- Baixe navegadores apenas de repositórios oficiais ou da Microsoft Store;
- Deixe o SmartScreen (Windows) e a Navegação Segura (Chrome/Edge) sempre ativados;
- Crie um ponto de restauração antes de instalar softwares pouco conhecidos, facilitando o “rollback”;
- Mantenha o Windows e o navegador atualizados — cada versão corrige falhas exploradas por adware;
- Utilize uma conta limitada para navegação diária; reserve a conta de administrador apenas para tarefas de manutenção.
Perguntas frequentes
Posso rodar o FRST em modo seguro?
Sim. Se o adware bloquear a execução no modo normal, pressione F8 ou Shift+F8 durante o boot e escolha “Modo de Segurança com Rede”.
O arquivo Fixlist.txt serve para qualquer computador?
Não. Ele deve ser gerado especificamente para o seu log FRST.txt. Usar scripts genéricos pode apagar chaves legítimas.
É necessário formatar o PC?
Em 99 % dos casos, não. O método FRST trata a raiz do problema sem perda de dados.
Conclusão
Ao combinar a exclusão da aplicação “Chromstera” com um Fixlist bem elaborado no FRST, você remove completamente a política de instalação forçada associada à extensão CelestialQuasaror. Verifique o log, limpe a pasta C:\FRST e restaure a sincronização do Chrome para garantir que nada seja restaurado pela nuvem. Seguindo as boas práticas de prevenção, as chances de reinfecção caem drasticamente.
Resumo rápido: use FRST + Fixlist para eliminar políticas de extensão forçada, desinstale “Chromstera”, confirme o sucesso com o Fixlog e apague as ferramentas ao finalizar.