Extensões maliciosas como NebulaNanoel (posteriormente renomeada para MetaEllipel) podem sequestrar o Microsoft Edge e o Google Chrome no Windows 10 Home, impedindo a desinstalação normal e exibindo o temido aviso “Gerenciado pela sua organização”. Este guia completo mostra, passo a passo, como remover o adware, limpar resquícios no registro, restaurar políticas de grupo, executar varreduras adicionais e reforçar a segurança para evitar reinfecções futuras.
Compreendendo o problema
Quando a NebulaNanoel/MetaEllipel se infiltra, ela altera chaves do Registro em HKCU e HKLM que criam políticas artificiais (ExtensionInstallAllowlist e ExtensionInstallForcelist). Isso faz com que o navegador considere a extensão “obrigatória”, travando o botão de remoção e ocultando alertas tradicionais. A infecção geralmente chega por instaladores piratas, notificações de push enganosas ou scripts de PowerShell maliciosos ocultos em arquivos ZIP.
Diagnóstico inicial
- Mensagem “Gerenciado pela sua organização” na barra de menus.
- Políticas suspeitas ao visitar
edge://policyouchrome://policy. - Nomes de extensão variando entre NebulaNanoel, MetaEllipel ou rótulos genéricos sem ícone.
- Redirecionamentos de aba e pop‑ups pedindo login em carteiras de criptomoedas.
- Antivírus desativado ou com exclusões estranhas em tempo real.
Procedimento de remoção rápida com PowerShell
Abra o Windows PowerShell como Administrador e execute o script abaixo. Ele remove todas as políticas de Edge e Chrome no âmbito do usuário (HKCU) e do computador (HKLM).
reg delete HKCU\SOFTWARE\Policies\Microsoft\Edge /f
reg delete HKLM\SOFTWARE\Policies\Microsoft\Edge /f
reg delete HKCU\SOFTWARE\Policies\Google\Chrome /f
reg delete HKLM\SOFTWARE\Policies\Google\Chrome /f
O que cada linha faz
| Comando | Efeito |
|---|---|
HKCU … Edge | Apaga políticas aplicadas só ao usuário logado. |
HKLM … Edge | Remove políticas impostas para todos os usuários. |
HKCU … Chrome | Limpa restrições do Chrome na conta atual. |
HKLM … Chrome | Elimina diretivas de instalação forçada em todo o sistema. |
Dica: Se surgir “Access Denied”, certifique‑se de que a janela do PowerShell está mesmo em modo administrador; se necessário, reinicie o PC após a execução.
Reiniciando e confirmando a limpeza
- Feche todos os navegadores.
- Abra novamente o Edge ou Chrome e digite
edge://policyouchrome://policy. - O quadro deverá exibir “Não foram encontradas políticas”. Se persistir algo, revise o registro manualmente ou repita o script.
Varredura antimalware recomendada
Remover as políticas é apenas metade do trabalho; a ameaça inicial que criou as entradas pode permanecer oculta. Execute pelo menos duas das ferramentas abaixo em sequência:
| Ferramenta | Tipo | Pontos fortes | Quando usar |
|---|---|---|---|
| Microsoft Safety Scanner | On‑demand | Assinaturas oficiais da Microsoft; desinfecta DLLs ligadas ao Edge. | Primeiro passo pós‑limpeza de políticas. |
| Malwarebytes Free | On‑demand | Excelente em PUP/PUA; quarentena rápida. | Para encontrar adware persistente. |
| ESET Online Scanner | On‑demand | Motor heurístico avançado; cloud‑scan. | Revisão extra se os outros não acharem nada. |
Garanta que apenas um antivírus em tempo real esteja ativo durante cada varredura para evitar conflitos de driver.
Análise aprofundada com Farbar Recovery Scan Tool (FRST)
Caso a extensão se reinstale após reboot, é sinal de script agendado ou serviço clandestino. O FRST gera relatórios detalhados (FRST.txt e Addition.txt) mapeando tarefas agendadas, serviços, drivers, programas de inicialização e entradas de registro obscuras.
- Baixe a versão compatível com seu sistema (32 bits ou 64 bits).
- Execute como administrador e clique em Scan.
- Analise as seções “HKLM Wow6432Node\…\Run” e “Scheduled Tasks” procurando scripts desconhecidos.
- Se não tiver certeza, poste os logs em um fórum especializado para obter um script
fixlist.txtsob medida.
Verificação e limpeza de exclusões do Windows Defender
Alguns malwares adicionam a própria pasta à lista de exclusões, impedindo a detecção. Verifique assim:
- Acesse Configurações > Atualização e Segurança > Segurança do Windows > Proteção contra vírus e ameaças.
- Clique em Gerenciar configurações > Adicionar ou remover exclusões.
- Apague qualquer item que você não reconheça. Em dúvida? Apague.
Alternativamente, use este cmdlet:
powershell
Get-MpPreference | fl ExclusionPath, ExclusionExtension, ExclusionProcess
Se aparecer algo fora do comum—por exemplo, uma pasta temporária ou arquivo executável de nome aleatório—remova com:
powershell
Set-MpPreference -ExclusionPath ""
Boas práticas para evitar reinfecção
- Ative a proteção de reputação do SmartScreen em Edge e Windows Defender.
- Mantenha o Windows Update em modo automático; correções de segurança chegam sem atraso.
- Habilite o bloqueio de PUA no Defender:
powershell Set-MpPreference -PUAProtection Enabled - Evite extensões fora das lojas oficiais; verifique avaliações e número de instalações.
- Faça backups regulares do Registro (ponto de restauração) antes de alterações manuais.
- Utilize contas de usuário padrão para tarefas diárias, deixando a conta Administrador apenas para manutenção.
Solução alternativa caso o script de registro falhe
Em ambientes raros, a chave de política volta após logon. Isso indica GPO local corrompida ou login script malicioso:
- Inicie em Modo de Segurança com Rede.
- Navegue até
C:\Windows\System32\GroupPolicye renomeie paraGroupPolicy.bak. - Execute
gpupdate /forcepara recriar políticas padrão. - Reinicie e repita o script de remoção de registro.
Resumo de resultados esperados
Ao término do processo:
- Navegadores sem mensagens de gerenciamento.
- Guia
edge://extensionsouchrome://extensionsvazio de itens suspeitos. - Varreduras antimalware retornando “Nenhuma ameaça encontrada”.
- Windows Defender com lista de exclusão limpa.
- Sistema estável e navegadores atualizando normalmente.
Perguntas frequentes
Preciso formatar o PC?
Na maioria dos casos não. Se o FRST indicar infecção em arquivos críticos do sistema (ex.: DLLs substituídas), avaliar um Repair Install ou formatação completa é prudente.
O script de registro remove políticas corporativas legítimas?
Sim, remove todas. Caso use o PC em domínio corporativo, consulte o administrador antes de prosseguir. Em PCs domésticos não há impacto negativo.
Posso confiar apenas no Defender?
O Defender evoluiu muito, mas combinar com uma varredura on-demand (Malwarebytes ou ESET) aumenta a taxa de detecção de adware e hijackers.
Por que a extensão muda de nome?
Para burlar assinaturas e reputação de loja — o autor publica um novo ID, migra usuários via update silencioso e dribla avaliações negativas anteriores.
Conclusão
A remoção de NebulaNanoel/MetaEllipel exige um ataque em três frentes: eliminar as políticas de instalação forçada, vasculhar o sistema com múltiplos motores antimalware e reforçar configurações de segurança nativas do Windows. Seguindo este roteiro, você retoma o controle do Edge e do Chrome, bloqueia futuras tentativas de sequestro e garante navegação mais segura em poucos minutos.