MENU
  1. Accueil
  2. Windows
  3. troubleshooting
  4. Supprimer CelestialQuasaror et Chromstera : guide complet pour neutraliser l’extension forcée « gérée par votre administrateur »

Supprimer CelestialQuasaror et Chromstera : guide complet pour neutraliser l’extension forcée « gérée par votre administrateur »

troubleshooting

Victime d’une extension Chrome « gérée par votre administrateur » ? Suivez ce tutoriel pas à pas pour éradiquer CelestialQuasaror, désinstaller le navigateur clone Chromstera et éliminer toute persistance sur Windows, même lorsque les clés de stratégie sont protégées.

Sommaire

Vue d’ensemble de la menace

Derrière une apparence anodine, l’extension CelestialQuasaror (ID : dnkbpgojomimofgklfcijiafapfmkgdh) détourne les stratégies Chrome en injectant sa propre politique d’installation forcée. Son compagnon, le navigateur dérivé Chromstera, agit comme « cheval de Troie » : à chaque démarrage il réécrit les entrées de registre, réinstalle l’extension et empêche la suppression depuis l’UI Chrome. La synergie des deux composants crée un cycle d’infection résistant aux méthodes classiques (supprimer l’extension, éditer le registre manuellement, restaurer Chrome).

Symptômes typiques

  • Message « Votre navigateur est géré par votre administrateur » dans chrome://settings.
  • Extension verrouillée, impossible à désactiver ; le bouton « Supprimer » est grisé.
  • Nouveau raccourci Chromstera sur le bureau et dans le menu Démarrer.
  • Redirections intempestives ou insertion de publicités dans les pages visitées.
  • Processus chromstera.exe ou services Windows au nom aléatoire, redémarrant l’extension après chaque suppression.

Plan d’intervention rapide

  1. Désinstaller Chromstera ou, s’il refuse, passer directement à l’étape 2.
  2. Lancer une analyse FRST pour cartographier les clés infectées.
  3. Appliquer un correctif FRST (fixlist) ciblant : stratégies Chrome, services, tâches planifiées, clés d’exécution automatique.
  4. Contrôler la suppression complète, réinitialiser Chrome et nettoyer les résidus.

Étape 1 : désinstaller Chromstera

Le clone de Chromium réemploie souvent l’utilitaire d’installation Windows standard ; profitez‑en quand c’est possible.

  1. Ouvrez Paramètres > Applications > Applications installées.
  2. Repérez Chromstera dans la liste, cliquez sur Désinstaller.
  3. Redémarrez immédiatement l’ordinateur pour bloquer la persistance.

Si l’assistant refuse la suppression (« fichiers introuvables », « accès refusé ») ou si Chromstera ne figure pas dans la liste, passez à l’étape 2. Le script FRST nettoiera le reste.

Étape 2 : nettoyage avancé avec FRST

FRST offre un contrôle chirurgical : on scanne, on obtient deux rapports complets (FRST.txt, Addition.txt) puis on rédige un Fixlist.txt qui exécutera, en une passe, toutes les suppressions nécessaires (clés de registre verrouillées, fichiers en cours d’utilisation, tâches planifiées malveillantes, proxys indésirables, etc.).

Téléchargement et lancement

  1. Téléchargez FRST64.exe depuis le site BleepingComputer (aucun lien : copiez‑collez simplement l’URL dans votre navigateur).
  2. Sur un Windows non anglais, renommez‑le FRST64English.exe pour forcer l’interface anglaise — plus pratique pour suivre les guides.
  3. Exécutez l’outil (clic droit > Exécuter en tant qu’administrateur) et cliquez sur Scan.
  4. Patientez : les journaux complets s’ouvrent dans le Bloc‑notes.
  5. Placez FRST64.exe, FRST.txt, Addition.txt dans un même dossier pour simplifier la suite.

Bâtir le fichier Fixlist.txt

Le fixlist peut être rédigé manuellement ou assisté par un expert. Il contiendra, ligne par ligne, les commandes FRST ci‑dessous :

CommandeRôleExemple ciblé
DeleteKeySupprimer une clé de registre complète, même protégée.HKLM\Software\Policies\Google\Chrome\ExtensionInstallForcelist
DeleteValueEffacer une valeur précise sans toucher à la clé.HKCU\..\Run : ChromeServices
RemoveProxyRétablir la configuration réseau d’origine.(supprime les proxys IE/WinINet définis)
CreateRestorePointSauvegarde système avant correction.Facultatif mais recommandé.

Un extrait minimaliste pour notre cas :

CreateRestorePoint
DeleteKey: HKLM\Software\Policies\Google\Chrome\ExtensionInstallForcelist
DeleteKey: HKCU\Software\Policies\Google\Chrome\ExtensionInstallForcelist
DeleteKey: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Chromstera
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\ChromsteraService
RemoveProxy:

Exécuter le correctif

  1. Copiez Fixlist.txt dans le dossier contenant FRST64.exe.
  2. Double‑cliquez à nouveau FRST, puis Fix.
  3. L’ordinateur redémarre ; un fichier Fixlog.txt s’ouvre. Parcourez‑le pour confirmer que chaque action affiche (Successfully deleted) ou (Deleted).

Étape 3 : contrôles post‑correctif

Vérifier le désinstalleur Windows

  • Ouvrez le Panneau des programmes ; Chromstera ne doit plus apparaître.
  • Inspectez C:\Program Files et C:\Program Files (x86) ; supprimez tout dossier orphelin Chromstera.

Nettoyer les restes FRST

  1. Supprimez C:\FRST (journaux) et l’exécutable FRST dès que tout est validé.
  2. Videz la Corbeille.

Contrôler Chrome

  1. Lancez Google Chrome ; l’onglet « Extensions » ne doit plus lister CelestialQuasaror.
  2. Accédez à chrome://policy ; la page doit indiquer « Aucune stratégie trouvée » ou, à minima, ne plus référencer l’ID incriminé.
  3. Si des paramètres suspectent persistent (page d’accueil forcée, moteur de recherche détourné), réinitialisez Chrome via Paramètres > Réinitialiser et nettoyer > Rétablir les paramètres par défaut.

Comprendre la persistance (pourquoi l’extension revient‑elle ?)

Les menaces modernes utilisent une combinaison de techniques :

  • Stratégies de groupe locales : clés sous Policies\Google\Chrome déclenchent l’installation forcée de l’extension à chaque démarrage du navigateur.
  • Service Windows auto‑démarré (ChromsteraService) qui recrée les clés de registre si elles disparaissent.
  • Tâche planifiée déclenchant l’exécutable de Chromstera toutes les 2‑3 heures.
  • Clé d’exécution Run injectée pour chaque session utilisateur.

En supprimant uniquement l’extension, vous coupez une branche mais pas la racine. Le combo FRST + désinstallation de Chromstera vise précisément toutes les couches de persistance.

FAQ

L’outil FRST est‑il sûr ?

Oui, FRST est largement recommandé par la communauté sécurité et ne modifie rien sans votre approbation. Le Fixlist.txt est le seul responsable des modifications ; évitez cependant les scripts trouvés au hasard et préférez un fixlist rédigé pour votre PC.

Puis‑je utiliser uniquement l’Éditeur du Registre ?

En théorie oui, mais certaines clés sont protégées par le service malveillant : dès que vous les effacez, elles réapparaissent. FRST tue les processus fautifs, prend possession des clés verrouillées et les supprime hors ligne (après redémarrage), ce qui garantit le succès.

Mon antivirus n’a rien détecté, est‑il inutile ?

Pas nécessairement ; les extensions forcées ne sont pas toujours considérées comme virus, surtout si elles ne volent pas directement des données. Mettez l’antivirus à jour et activez la surveillance PUA/PUP pour renforcer la détection de logiciels potentiellement indésirables.

Prévention : consolider votre poste

  • Windows Update : appliquez les mises à jour de sécurité dès leur disponibilité.
  • Chrome Enhanced Protection (Paramètres > Confidentialité et sécurité > Sécurité) bloque la plupart des extensions dangereuses avant leur installation.
  • Restreignez les droits administrateur : naviguez sous un compte standard, élevez les privilèges uniquement lorsque c’est nécessaire.
  • Désactivez le sideloading : évitez d’installer des navigateurs ou extensions en dehors du Chrome Web Store ou de Microsoft Store.
  • Examinez vos tâches planifiées tous les trimestres via taskschd.msc.

Dépannage avancé (PowerShell)

Pour les administrateurs réseau désirant automatiser la suppression sur un parc machines :

# Exécuter en PowerShell 5+ avec droits élevés
$badId = 'dnkbpgojomimofgklfcijiafapfmkgdh'
$paths = @(
  'HKLM:\Software\Policies\Google\Chrome\ExtensionInstallForcelist',
  'HKCU:\Software\Policies\Google\Chrome\ExtensionInstallForcelist'
)
foreach ($p in $paths) {
  if (Test-Path $p) {
    Get-ItemProperty -Path $p | 
      Get-Member -MemberType NoteProperty | 
      Where-Object { (Get-ItemProperty -Path $p $_.Name).$_ -match $badId } | 
      ForEach-Object { Remove-ItemProperty -Path $p -Name $_.Name -Force }
  }
}
Get-ScheduledTask | Where-Object TaskName -like '*chromstera*' | Unregister-ScheduledTask -Confirm:$false
Get-Service | Where-Object Name -like '*chromstera*' | Stop-Service -Force; Set-Service -Name $_.Name -StartupType Disabled

Important : ce script n’inspecte qu’une partie de la configuration ; il est destiné à compléter, non remplacer, la solution FRST.

Résumé

Grâce à un trio d’actions—désinstallation de Chromstera, correctif FRST, contrôle minutieux après redémarrage—vous neutralisez définitivement l’extension CelestialQuasaror et son vecteur de réimplantation. Les clés de stratégie Chrome, services furtifs et tâches planifiées sont éradiqués en bloc, garantissant la disparition du message « géré par votre administrateur ». En adoptant les mesures de prévention listées, vous fortifiez votre environnement et réduisez les risques de futures intrusions basées sur la même technique.

troubleshooting
malware FRST Chromstera extension Chrome
Sommaire