Extensões marcadas como “gerenciada pela organização” instalam‑se por políticas do Windows e frequentemente escondem adware. Este guia prático mostra, passo a passo, como eliminá‑las do Microsoft Edge ou do Google Chrome, restaurando o navegador a um estado limpo e seguro.
Visão geral do problema
Quando uma extensão suspeita — como CelestialQuasaror ou a variante RegCyanica — surge com o selo “Adicionada pela sua organização”, o usuário não pode removê‑la pela interface gráfica. O ícone 🛡️ sinaliza que uma Group Policy força a instalação. Ferramentas de limpeza comuns raramente detectam a origem porque o mecanismo de persistência está no Registro do Windows e, por vezes, em tarefas agendadas ou serviços ocultos.
Pontos‑chave sobre políticas de navegador
- Chaves de Política — Salvas em
HKLM\SOFTWARE\PolicieseHKCU\SOFTWARE\Policies. Qualquer valor emExtensionInstallForcelistfaz o Edge/Chrome baixar a extensão no próximo ciclo de verificação (a cada poucos minutos). - Precedência — As políticas de Computador (HKLM) sobrepõem‑se às de Usuário (HKCU).
- Sincronização — Quem usa conta Microsoft ou Google com sincronização ativada deve limpar a política antes de desinstalar a extensão, senão ela volta no próximo login.
Solução consolidada
| Etapa | Ação | Objetivo / Observação |
|---|---|---|
| 1. Limpar políticas no Registro | Abra o PowerShell como Administrador e execute: reg delete HKCU\SOFTWARE\Policies\Microsoft\Edge /f reg delete HKLM\SOFTWARE\Policies\Microsoft\Edge /f reg delete HKCU\SOFTWARE\Policies\Google\Chrome /f reg delete HKLM\SOFTWARE\Policies\Google\Chrome /f Depois acesse edge://policy/ ou chrome://policy/ e clique em Reload policies. | Remove as chaves que “forçam” a instalação. Aplicável para Edge e Chrome. |
| 2. Excluir ExtensionInstallForcelist | Abra o Editor do Registro (regedit.exe) e apague: HKLM\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist HKLM\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist | Evita que a extensão seja reinstalada após reiniciar. |
| 3. Remover via interface | Reinicie o navegador. Vá em edge://extensions ou chrome://extensions, ative Modo de desenvolvedor e clique em Remover. | Agora o botão de remoção está habilitado. |
| 4. Usar Farbar Recovery Scan Tool (FRST) | Baixe FRST64.exe na área de trabalho. Execute e gere FRST.txt e Addition.txt. Crie ou receba fixlist.txt com o script de limpeza. Clique Fix; o PC reiniciará. Envie Fixlog.txt para verificação (caso esteja seguindo assistência remota). | Elimina agendamentos, serviços e arquivos rebeldes não visíveis. |
| 5. Apagar adware residual | Exclua manualmente (ou via FRST): C:\Program Files (x86)\Web Browser Solutions\Web Browser\UniversalUpdater.exe | Esse executável dispara reinstalações em segundo plano. |
| 6. Limpeza final | Delete FRST64.exe e a pasta C:\FRST. | Remove ferramentas temporárias e logs sensíveis. |
Detalhamento prático de cada passo
Compreendendo a remoção das chaves de política
As linhas reg delete ... /f utilizam o parâmetro /f (force) para suprimir confirmações. Caso tenha receio de excluir algo incorreto, exporte antes a árvore de políticas (Arquivo > Exportar) e mantenha um backup. Em ambientes corporativos legítimos, valide com o administrador: há casos em que a política é legítima (Windows Defender Application Guard, por exemplo).
Por que reiniciar o navegador antes de remover a extensão?
Sem reiniciar, o Edge/Chrome ainda mantém a extensão carregada em memória. A interface identifica que a GPO foi retirada somente após novo ciclo de inicialização. Se o botão “Remover” continuar cinza, pressione Ctrl+Shift+R para recarregar a página de Extensões.
Dicas específicas para ambientes multiusuário
- Script .REG — Crie um arquivo
limparedgechrome.regcom as mesmas linhas de remoção. Distribua via Logon Script ou Intune. - PowerShell Remoting — Com
Invoke-Commandé possível executar a limpeza em dezenas de máquinas simultaneamente. - Proteção de “LockDown” — Se o dispositivo estiver protegido por
DeviceGuardouAppLocker, você precisará adicionar exceção temporária para FRST ou executar no Windows Recovery Environment.
Como montar um fixlist.txt eficaz
O fixlist.txt deve conter exatamente os nomes de chave/arquivo/tarefa identificados no FRST.txt. Exemplo:
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{...}
DeleteKey: HKLM\...Edge\ExtensionInstallForcelist
DeleteFile: C:\Program Files (x86)\Web Browser Solutions\Web Browser\UniversalUpdater.exe
EmptyTemp:
Salve com codificação ANSI. Quando você clicar Fix, o FRST comparará as linhas com os resultados do log e executará somente o que existe, evitando erros.
Verificando agendamentos invisíveis
Extensões maliciosas costumam registrar uma tarefa oculta que dispara a cada login. Você pode listar todas elas com:
schtasks /query /fo LIST /v > %userprofile%\Desktop\tarefas.txt
Abra tarefas.txt e procure por descrições estranhas. Para excluir:
schtasks /delete /tn "NomeDaTarefa" /f
Executável UniversalUpdater.exe: por que é perigoso?
Este binário age como dropper; ele verifica a presença do navegador e injeta a política novamente se detectar ausência da extensão. Algumas famílias mudam somente o nome do arquivo, mas o caminho costuma apontar para ...\Web Browser\. A assinatura digital, quando existente, é falsa ou vencida.
Rotina de verificação pós‑limpeza
- Antivírus Offline — Execute um Windows Defender Offline Scan ou similar. Versões atuais do Defender reconhecem heurísticas ligadas a ExtensionInstallForcelist abusivos.
- Monitoramento de diretórios — Use
Process Monitorpara ficar de olho em criações dentro de%LOCALAPPDATA%\Microsoft\Edge\User Data\Default\Extensions. - Logs de Evento — Cheque Application & Service Logs > Microsoft > Windows > AppLocker para bloqueios suspeitos, sinal de nova tentativa de gravação.
Automatização em larga escala
Se a rede inteira foi comprometida, considere:
- Política de Bloqueio no Firewall — Bloqueie os domínios de update listados em ExtensionInstallSources.
- Deploy via Intune — Use um PowerShell remediation script que deleta as chaves citadas e força a sincronização de políticas.
- Relatório de Conformidade — Crie um script que exporta o conteúdo de
HKLM\...\ExtensionInstallForceliste gera CSV de máquinas conformes.
Boas práticas para evitar reincidência
Navegação segura Mantenha a proteção nativa de Edge/Chrome contra extensões desconhecidas (Enhanced security ou “Proteção padrão”). Atualizações em dia Windows, navegador, extensões legítimas e antivírus devem ser atualizados automaticamente. Privilégios mínimos Evite navegação diária com conta de administrador. Políticas HKEYLOCALMACHINE exigem elevação para serem criadas. Educação do usuário Treine usuários para suspeitar de pop‑ups que solicitam permissão de instalação ou direitos de notificação push fora da web store.
Checklist rápido de diagnóstico
- Botão “Remover” cinza? → Políticas não limpas.
- Extensão reaparece após reiniciar? → Tarefa agendada ou executável dropper ativo.
- Registros de Eventos sem erro mas política volta? → Sincronização de perfil ou GPO central está reescrevendo.
- Política some mas Edge crasha? → Versão do navegador corrompida. Repare ou reinstale.
Script PowerShell completo para remoção automática
# Remover políticas Edge e Chrome e extensão maliciosa
$paths = @(
'HKCU:\SOFTWARE\Policies\Microsoft\Edge',
'HKLM:\SOFTWARE\Policies\Microsoft\Edge',
'HKCU:\SOFTWARE\Policies\Google\Chrome',
'HKLM:\SOFTWARE\Policies\Google\Chrome'
)
foreach ($p in $paths) {
if (Test-Path $p) { Remove-Item $p -Recurse -Force }
}
\$exe = 'C:\Program Files (x86)\Web Browser Solutions\Web Browser\UniversalUpdater.exe'
if (Test-Path \$exe) { Remove-Item \$exe -Force }
Start-Process "msedge.exe" "edge://policy" -WindowStyle Hidden
Start-Sleep -Seconds 5
Salve como remove_extensao.ps1, execute com Run as Administrator e distribua conforme necessário.
FAQ – Perguntas frequentes
É seguro rodar FRST?
Sim, desde que o fixlist.txt seja revisado por técnico experiente. O aplicativo não faz alterações sem arquivo de correção.
Posso apenas redefinir o navegador?
A redefinição restaura configurações, mas não remove políticas de instalação forçada no Registro. O problema voltará.
Essas chaves podem aparecer novamente sozinhas?
Somente se um script residual ainda existir (agendado ou em Startup) ou se a GPO corporativa for aplicada no logon da máquina.
Conclusão
Extensões “gerenciadas pela organização” são úteis em cenários corporativos legítimos, mas também viraram vetor de adware. Seguindo o procedimento aqui descrito — limpeza do Registro, remoção da política ExtensionInstallForcelist, exclusão de binários maliciosos e varredura aprofundada — você garante a eliminação definitiva de add‑ons indesejados no Microsoft Edge e no Google Chrome.
Implemente scripts de automação e boas práticas de segurança para evitar que a ameaça retorne, mantendo o navegador protegido e a produtividade do usuário intacta.