MENU
  1. Início
  2. Windows
  3. troubleshooting
  4. Remover malware “Ultralonen” e a mensagem “Your browser is managed by your organization” no Edge/Chrome (guia FRST + HVCI)

Remover malware “Ultralonen” e a mensagem “Your browser is managed by your organization” no Edge/Chrome (guia FRST + HVCI)

troubleshooting

Guia completo e prático para eliminar o malware “Ultralonen”, remover a extensão forçada que exibe “Your browser is managed by your organization” no Edge/Chrome, limpar políticas persistentes no Registo e, depois, diagnosticar o bloqueio de “Integridade da Memória” (HVCI) por drivers incompatíveis.

Índice

Visão geral e sintomas

Este caso reúne um conjunto típico de sinais de infeção por adware/policy hijack com persistência por tarefa agendada e políticas de navegador:

  • Pop‑up de “instalação falhada” logo no arranque do Windows.
  • Edge/Chrome a pedirem atualização sem conseguir concluí-la.
  • Redirecionamentos aleatórios em pesquisas.
  • Extensão maliciosa marcada como “gerida pela organização”, impedindo desativar/remover.
  • Malwarebytes a detetar objetos na primeira análise; Windows Defender sem deteção; tentativa de Verificação Offline a pedir a chave BitLocker.
  • Remoção manual de uma Tarefa Agendada maliciosa, mas políticas/entradas de registo teimosas a persistirem.

Em suma, a extensão “Ultralonen” era reinstalada e forçada por políticas (forcelist) provenientes do Registo, definidas por uma tarefa agendada. O caminho de origem da extensão apontava para um apps.crx local no perfil do utilizador, e a política impedia a remoção no interface do navegador.

Porque surge “Your browser is managed by your organization”

Edge e Chrome mostram a mensagem quando existem políticas ativas (de domínio, MDM ou Registo local) a controlar definições. Um agente malicioso pode escrever chaves de política no Registo para:

  • Forçar a instalação de extensões (ExtensionInstallForcelist);
  • Bloquear atualizações, alterar homepage, motor de busca e permissões;
  • Reaplicar as políticas a cada arranque via Scheduled Task.

No caso reportado, a extensão Ultralonen voltava sempre após reinício porque a tarefa agendada reescrevia as chaves e reinstalava o pacote .crx local. O ID observado foi cmcmiimmhnlgiglfdolnhdnjibpapolo, ligado a um apps.crx sob AppData\Local\.

Resumo da solução (alto nível)

  1. Diagnosticar com FRST (Farbar Recovery Scan Tool) para produzir FRST.txt e Addition.txt.
  2. Corrigir com FRST (Fix) usando um fixlist.txt personalizado gerado a partir dos seus logs (cada máquina é única).
  3. Aplicar um segundo “Fix” curto para limpar sobras nos ramos de políticas que forçavam a extensão (apps.crx e o ID acima, inclusive em HKLM‑x32).
  4. Validar em edge://policy e chrome://policy e confirmar que a mensagem “managed by your organization” desapareceu e os navegadores atualizam normalmente.

Importante: o fixlist.txt não acompanha o FRST e não é universal. É feito à medida dos seus logs. Não reutilize fixlists de terceiros.

Passo a passo com FRST (recomendado)

“`

Preparação segura

  • Faça uma cópia de segurança dos seus ficheiros essenciais.
  • Desative temporariamente software que possa bloquear scripts de limpeza (apenas durante o Fix).
  • Guarde o FRST64 numa pasta simples (por exemplo, C:\Temp\FRST).

Diagnóstico com FRST

  1. Execute FRST64 com privilégios de Administrador.
  2. Clique em Scan e aguarde a conclusão.
  3. Confirme a criação dos relatórios FRST.txt e Addition.txt na mesma pasta do FRST.
  4. Com base nestes logs, um analista irá construir o fixlist.txt específico para o seu sistema (tarefa agendada, caminhos do .crx, chaves de políticas, etc.).

Correção com FRST (Fix)

  1. Coloque o fixlist.txt na mesma pasta do FRST.
  2. Abra o FRST64 e clique em Fix. O computador poderá reiniciar.
  3. Após o reinício, verifique o Fixlog.txt (na mesma pasta) para confirmar a remoção das políticas, tarefas e ficheiros maliciosos.

Limpeza de sobras

Em alguns casos, um segundo Fix curta remove valores residuais que repõem a extensão forçada. No caso em análise, as entradas em HKLM‑x32 apontavam o ID cmcmiimmhnlgiglfdolnhdnjibpapolo para ...\AppData\Local\apps.crx (Edge e Chrome). Depois de removidas, é seguro eliminar o executável do FRST e a pasta C:\FRST.

Validação no próprio PC

  • Abrir edge://policy e chrome://policynão devem existir políticas de ExtensionInstallForcelist não desejadas.
  • Confirmar que Edge/Chrome atualizam normalmente e que a mensagem “Your browser is managed by your organization” desapareceu.
  • Verificar que a Tarefa Agendada maliciosa não regressou.

Nota essencial: nunca utilize um fixlist.txt de outra pessoa. Mesmo que os sintomas pareçam idênticos, os caminhos, nomes de tarefas, serviços e chaves variam por máquina.

</section>

  <section>
    <h2>Alternativa manual (avançada) para remover políticas de extensões</h2>
    <p>Se não usar FRST, é possível limpar as políticas manualmente. <strong>Use o Editor do Registo com extrema cautela</strong> e crie um ponto de restauro antes.</p>```
<h3>Onde procurar</h3>
<p>Feche Edge/Chrome. Depois, verifique, tanto em <code>HKLM</code> como em <code>HKCU</code> (e nos ramos <code>...\WOW6432Node</code> em sistemas 64‑bit):</p>

<table>
  <thead>
    <tr>
      <th>Navegador</th>
      <th>Chave de políticas</th>
      <th>Objetivo</th>
    </tr>
  </thead>
  <tbody>
    <tr>
      <td>Edge</td>
      <td><code>HKLM\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist</code><br><code>HKCU\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist</code><br><code>HKLM\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge\ExtensionInstallForcelist</code><br><code>HKCU\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge\ExtensionInstallForcelist</code></td>
      <td>Forçar instalação de extensões no Edge.</td>
    </tr>
    <tr>
      <td>Chrome</td>
      <td><code>HKLM\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist</code><br><code>HKCU\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist</code><br><code>HKLM\SOFTWARE\WOW6432Node\Policies\Google\Chrome\ExtensionInstallForcelist</code><br><code>HKCU\SOFTWARE\WOW6432Node\Policies\Google\Chrome\ExtensionInstallForcelist</code></td>
      <td>Forçar instalação de extensões no Chrome.</td>
    </tr>
  </tbody>
</table>

<h3>O que remover</h3>
<p>Apague entradas que referenciem o ID malicioso (<code>cmcmiimmhnlgiglfdolnhdnjibpapolo</code>) ou caminhos como <code>...\apps.crx</code>. Se não conseguir, ajuste permissões:</p>
<ol>
  <li>Botão direito na chave → <strong>Permissões</strong> → <strong>Avançadas</strong>.</li>
  <li><strong>Desativar herança</strong> → converter em permissões explícitas.</li>
  <li>Conceder <em>Controlo total</em> ao seu utilizador/Administradores e <strong>tomar posse</strong> se necessário.</li>
  <li>Remover as chaves/valores problemáticos e <strong>reiniciar</strong>.</li>
</ol>

<details>
  <summary><strong>Listar rapidamente os forcelists (PowerShell)</strong></summary>
  <pre><code># Executar como Administrador

\$paths = @( ‘HKLM:\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist’, ‘HKCU:\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist’, ‘HKLM:\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge\ExtensionInstallForcelist’, ‘HKCU:\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge\ExtensionInstallForcelist’, ‘HKLM:\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist’, ‘HKCU:\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist’, ‘HKLM:\SOFTWARE\WOW6432Node\Policies\Google\Chrome\ExtensionInstallForcelist’, ‘HKCU:\SOFTWARE\WOW6432Node\Policies\Google\Chrome\ExtensionInstallForcelist’ ) foreach(\$p in \$paths){ if(Test-Path \$p){ Write-Host “\`n== \$p ==”; Get-ItemProperty -Path \$p | Format-List } } “`

Dica: após a limpeza, verifique em edge://policy e chrome://policy que não restam políticas estranhas. Se a mensagem “managed by your organization” persistir, procure também por políticas relacionadas a atualização, home page e motor de pesquisa.

Via FRST é mais segura e reprodutível. A limpeza manual é útil para utilizadores experientes ou quando não é possível executar o FRST.

</section>

  <section>
    <h2>Respostas diretas às dúvidas mais comuns</h2>```
<h3>“Onde está o fixlist? O FRST não instalou nenhum.”</h3>
<p>O FRST <strong>só corrige</strong> quando existe um ficheiro <code>fixlist.txt</code> na mesma pasta do FRST. Esse ficheiro é criado por um analista com base nos seus <code>FRST.txt</code>/<code>Addition.txt</code>. Se precisa de ajuda, gere os seus logs e solicite suporte próprio; não reutilize <em>fixlists</em> de outras máquinas.</p>

<h3>“O Malwarebytes detetou; o Defender não. E a Verificação Offline pede BitLocker.”</h3>
<p>Produtos antivírus usam motores e heurísticas diferentes; é normal existirem divergências. A Verificação Offline do Defender exige a <strong>chave de recuperação do BitLocker</strong> se o seu disco estiver cifrado. Recupere a chave associada à sua conta Microsoft antes de avançar. Sem a chave, não inicie a verificação offline.</p>

Integridade da Memória (HVCI) bloqueada por “drivers incompatíveis” sem lista

Após a limpeza, é frequente o Windows Security recusar ativar Integridade da Memória alegando drivers incompatíveis, mas sem indicar quais. Para identificar com precisão, use a ferramenta oficial HVCI Scan (hvciscan_amd64.exe).“`

Como usar

  1. Obtenha o hvciscan_amd64.exe a partir dos canais oficiais da Microsoft.
  2. Botão direito no ficheiro → Copiar como caminho.
  3. Abra CMD como Administrador.
  4. Cole o caminho copiado e execute.

O resultado listará os drivers que impedem a HVCI. Em seguida:

  • Atualize o(s) driver(s) para versões compatíveis;
  • Ou remova o(s) driver(s) que não são mais necessários;
  • Tente novamente ativar a Integridade da Memória nas Definições de Segurança do Windows.

Se persistir, trate este tema em separado do malware: problemas de compatibilidade de drivers são de natureza diferente e exigem uma análise própria (por exemplo, drivers antigos de dispositivos descontinuados, filtros de segurança, VPNs ou software de virtualização).

</section>

  <section>
    <h2>Checklist pós‑limpeza (recomendado)</h2>
    <ul>
      <li>Atualize o Windows, o Edge e o Chrome.</li>
      <li>No Chrome: abra <code>chrome://settings/reset</code> → <strong>Restaurar definições</strong>. Se usa sincronização, limpe os dados de sincronização e volte a ligar.</li>
      <li>No Edge: abra <code>edge://settings/reset</code> e restaure as definições se necessário.</li>
      <li>Verifique <code>edge://policy</code> e <code>chrome://policy</code>; devem estar vazias ou apenas com políticas esperadas por si.</li>
      <li>Revise as <strong>Tarefas Agendadas</strong>: nada suspeito deve regressar após reiniciar.</li>
      <li>Altere palavras‑passe das contas usadas no PC e ative <strong>2FA</strong> (autenticação de dois fatores).</li>
      <li>Se desejar executar a <strong>Verificação Offline do Defender</strong> e o sistema pedir BitLocker, recupere previamente a sua <strong>chave de recuperação</strong>.</li>
    </ul>
  </section>

  <section>
    <h2>Boas práticas para evitar reinfeções</h2>
    <ul>
      <li>Desconfie de <em>installers</em> de origem duvidosa e de <em>bundlers</em> que prometem “otimizadores” ou “atualizadores”.</li>
      <li>Durante instalações, escolha sempre o modo <strong>Personalizado</strong> e desmarque software adicional.</li>
      <li>Mantenha o Windows e drivers atualizados; drivers antigos podem introduzir vulnerabilidades e interferir com HVCI.</li>
      <li>Evite extensões de navegador desconhecidas; revise periodicamente a lista de extensões ativas.</li>
      <li>Considere políticas de bloqueio no navegador (lista de permissões) em ambientes empresariais.</li>
    </ul>
  </section>

  <section>
    <h2>Comandos úteis de verificação</h2>
    <h3>Navegadores</h3>
    <ul>
      <li>Abre as políticas ativas:
        <ul>
          <li>Edge: <code>edge://policy</code></li>
          <li>Chrome: <code>chrome://policy</code></li>
        </ul>
      </li>
      <li>Ver extensões e IDs:
        <ul>
          <li>Chrome: <code>chrome://extensions</code> (ativar “Modo de programador” para ver IDs)</li>
          <li>Edge: <code>edge://extensions</code></li>
        </ul>
      </li>
    </ul>```
<h3>Registo (CMD)</h3>
<pre><code>reg query "HKLM\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist" /s

reg query “HKCU\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist” /s reg query “HKLM\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge\ExtensionInstallForcelist” /s reg query “HKCU\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge\ExtensionInstallForcelist” /s reg query “HKLM\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist” /s reg query “HKCU\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist” /s reg query “HKLM\SOFTWARE\WOW6432Node\Policies\Google\Chrome\ExtensionInstallForcelist” /s reg query “HKCU\SOFTWARE\WOW6432Node\Policies\Google\Chrome\ExtensionInstallForcelist” /s “`

Tarefas agendadas

schtasks /query /fo LIST /v | findstr /I "Edge Chrome update crx apps"
```

<h3>PowerShell (detetar entradas <code>apps.crx</code>)</h3>
<pre><code># Executar como Administrador

\$roots = @( ‘HKLM:\SOFTWARE\Policies’, ‘HKCU:\SOFTWARE\Policies’, ‘HKLM:\SOFTWARE\WOW6432Node\Policies’, ‘HKCU:\SOFTWARE\WOW6432Node\Policies’ ) foreach(\$r in \$roots){ Get-ChildItem -Path \$r -Recurse -ErrorAction SilentlyContinue | Where-Object { \$.Name -match ‘Edge|Google\Chrome’ -and \$.Name -match ‘ExtensionInstallForcelist’ } | ForEach-Object { Get-ItemProperty -Path \$*.PsPath -ErrorAction SilentlyContinue | ForEach-Object { \$*.PSObject.Properties | Where-Object { $\_.Value -match ‘apps.crx|cmcmiimmhnlgiglfdolnhdnjibpapolo’ } | Select-Object Name, Value } } }

O que esperar após a correção

  • A tarefa agendada maliciosa é removida.
  • As políticas de navegador (forcelist) deixem de existir; a extensão “Ultralonen” já não reaparece.
  • O Edge/Chrome deixam de mostrar “Your browser is managed by your organization”.
  • Redirecionamentos cessam e as atualizações de navegador decorrem normalmente.

Conclusão

A infeção “Ultralonen” foi resolvida eliminando a persistência (tarefa agendada), limpando políticas e entradas de Registo e removendo a extensão forçada via FRST com fixlist personalizado. Um segundo Fix saneou sobras em HKLM‑x32 que apontavam o ID cmcmiimmhnlgiglfdolnhdnjibpapolo para um apps.crx sob AppData\Local. A questão da Integridade da Memória (HVCI) é separada: identifique drivers incompatíveis com a ferramenta hvciscan_amd64.exe e atualize/remova os que bloqueiam a ativação. No fim, valide em edge://policy e chrome://policy, reponha os navegadores e siga o checklist para reforçar a segurança.

Perguntas rápidas

  • Posso usar um fixlist da internet? Não. Cada fixlist é feito à medida do seu FRST.txt/Addition.txt.
  • O FRST é seguro? Sim, quando operado por quem sabe ler os logs e construir correções cirúrgicas. A ferramenta por si só não “instala” nada; apenas executa o que está no fixlist.
  • O que fazer se a mensagem “managed” voltar? Rever políticas no Registo e Tarefas Agendadas; verificar se não existe outro mecanismo de persistência (serviço, inicialização, script).
troubleshooting
Chrome Edge ExtensionInstallForcelist fixlist FRST HVCI Integridade da Memória Ultralonen
Índice