Pris au piège par une extension signalée comme « gérée par votre organisation » ? Ce guide exhaustif explique, pas à pas, comment désancrer complètement un module parasite (cas réel : « CelestialQuasaror » / « RegCyanica ») dans Microsoft Edge ou Google Chrome, puis sécuriser durablement votre poste Windows.
1. Pourquoi ces extensions sont‑elles indélébiles ?
Dans la grande majorité des cas, la mention « installée par votre organisation » ne signifie pas que votre employeur ou votre école est impliqué. Un adware profite simplement du même mécanisme que les administrateurs système : les stratégies de groupe (Group Policy / GPO). Sitôt la clé de registre déployée, le navigateur considère l’extension comme obligatoire et vous retire le bouton Supprimer.
- Edge ≥ Chromium 78 : stratégies sous
HKLM\SOFTWARE\Policies\Microsoft\EdgeouHKCU\… - Chrome : répertoire identique mais sous
…\Policies\Google\Chrome
C’est donc dans le registre que l’on doit intervenir ; la simple désactivation depuis la page edge://extensions ne suffit pas.
2. Étapes rapides pour experts
| Étape | But | Commandes / actions clés |
|---|---|---|
| 2.1 Supprimer les stratégies | Désactiver le verrou logiciel de l’extension. | # PowerShell (Administrateur) reg delete HKCU\SOFTWARE\Policies\Microsoft\Edge /f reg delete HKLM\SOFTWARE\Policies\Microsoft\Edge /f # (Chrome : remplacer “Microsoft\Edge” par “Google\Chrome”) Puis ouvrir edge://policy et cliquer Reload Policies. |
| 2.2 Purger l’ancrage d’extension | Éliminer toute référence persistante à l’ID malveillant. | # Regedit manuel ou script : reg delete « HKLM\SOFTWARE\Microsoft\Edge\Extensions\hiogmkgkiimgalgkndhabdmoednhnnjn » /f |
| 2.3 Supprimer l’extension via l’UI | La suppression redevient possible. | Ouvrir edge://extensions › Supprimer. |
| 2.4 Analyse FRST + Fixlist | Nettoyer l’écosystème (tâches planifiées, services, DLL détournées). | Placer FRST64.exe + Fixlist.txt puis cliquer Fix. |
| 2.5 Vérifications & durcissement | Bloquer tout retour de l’adware. | Activer Bloquer les applications potentiellement indésirables dans Edge, passer un antivirus hors‑ligne, mettre Windows à jour. |
3. Tutoriel détaillé pas à pas
3.1 Créer un point de restauration
Mieux vaut prévenir ! Tapez Create a restore point dans le menu Démarrer, sélectionnez votre disque système, cliquez Create.
3.2 Ouvrir PowerShell en mode Administrateur
Appuyez sur Win + X puis « Windows PowerShell (Admin) ». L’invite doit afficher PS C:\Windows\system32>.
3.3 Supprimer les clés de stratégie
# Edge – Contexte machine et utilisateur reg delete HKLM\SOFTWARE\Policies\Microsoft\Edge /f reg delete HKCU\SOFTWARE\Policies\Microsoft\Edge /f # Chrome – remplacez simplement “Edge” reg delete HKLM\SOFTWARE\Policies\Google\Chrome /f reg delete HKCU\SOFTWARE\Policies\Google\Chrome /f
Attention : ces commandes n’affectent pas les politiques réellement déployées par un administrateur de domaine ; elles ne touchent que vos clés locales. Si vous appartenez à un parc professionnel, vérifiez auprès de l’IT.
3.4 Rafraîchir les politiques dans le navigateur
- Lancez Edge.
- Saisissez
edge://policydans la barre d’adresse. - Cliquez Reload Policies. Le tableau doit afficher « 0 » stratégie.
3.5 Écraser la clé d’extension (optionnel mais sûr)
Chaque extension forcée possède une sous‑clé au sein de :
HKLM\SOFTWARE\Microsoft\Edge\Extensions\ ── hiogmkgkiimgalgkndhabdmoednhnnjn
Supprimez‑la pour éteindre toute possibilité de réactivation hors UI.
3.6 Retirer l’extension via l’interface graphique
- Ouvrez
edge://extensions. - Repérez « CelestialQuasaror » (ou « RegCyanica »).
- Cliquez Supprimer ⮕ Supprimer de Microsoft Edge.
En cas d’échec, vérifiez que le bouton n’affiche plus « supprimable par l’organisation ». Si c’est encore le cas, une stratégie l’empêche ; retournez à l’étape 3.3.
4. Nettoyage approfondi avec FRST
4.1 Pourquoi FRST ?
Les adwares modernes s’installent en plusieurs couches : service Windows, planificateur de tâches, BHO ou encore DLL dans C:\Windows\System32. Seule une analyse heuristique peut tout lister d’un coup.
4.2 Téléchargement et exécution (hors‑ligne conseillé)
- Téléchargez FRST64.exe depuis une machine saine et transférez‑le par clé USB.
- Désactivez temporairement votre antivirus temps réel pour éviter les conflits de hooks.
- Lancez FRST, cochez « Addition.txt » puis Scan.
4.3 Construire le Fixlist.txt
Ouvrez le rapport FRST.txt, repérez les lignes contenant l’ID de l’extension ou le dossier parent suspect, puis écrivez :
Start DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Edge DeleteKey: HKCU\SOFTWARE\Policies\Microsoft\Edge DeleteKey: HKLM\SOFTWARE\Microsoft\Edge\Extensions\hiogmkgkiimgalgkndhabdmoednhnnjn DeleteFile: C:\Program Files (x86)\Web Browser Solutions\Web Browser\UniversalUpdater.exe End
Enregistrez le fichier « Fixlist.txt » dans le même dossier que FRST64.exe, puis cliquez Fix. Le PC redémarre ; vérifiez ensuite Fixlog.txt.
5. Nettoyage post‑désinfection
5.1 Balayer les dossiers temporaires
Dans Exécuter (Win + R) tapez tour à tour :
%temp% temp prefetch
Supprimez tout contenu possible.
5.2 Contrôle des tâches planifiées
- Ouvrez
taskschd.msc. - Naviguez dans Bibliothèque du Planificateur de tâches.
- Supprimez toutes les tâches inconnues (ex. RegCyanUpdater).
5.3 Services et pilotes douteux
Dans PowerShell :
Get-Service | Where-Object {$_.DisplayName -match "Quasaror"} | Stop-Service -PassThru | Set-Service -StartupType Disabled
6. Prévention : empêcher le retour du malware
| Action | Où | Bénéfice |
|---|---|---|
| Activer « Bloquer les applications potentiellement indésirables » | Edge › Paramètres › Confidentialité, recherche et services › Services de sécurité | Filtre SmartScreen musclé ; Edge refusera l’installation d’outils douteux. |
| Mettre Windows et Edge/Chrome à jour | Windows Update + Microsoft Store / chrome://settings/help | Patche les failles d’élévation de privilèges exploitées par les PUP. |
| Scanner hors ligne | Microsoft Defender Offline, Malwarebytes Rescue, ESET Online | Éradique les binaires actifs en mémoire avant démarrage du système. |
| Éduquer les utilisateurs | Formation interne ou e‑learning | Réduit le taux de clics sur les bundles freeware infectés. |
7. FAQ express
Edge réinstalle l’extension à chaque boot, que faire ?
Assurez‑vous de supprimer la version installateur stockée dans C:\ProgramData\Microsoft\EdgeUpdate\Download\, ainsi que toutes les valeurs de démarrage automatique dans les clés Run/RunOnce. Puis‑je simplement réinitialiser Edge ?
La fonction « Réinitialiser les paramètres » rétablit le moteur de recherche et la page de démarrage mais ne touche pas aux stratégies de groupe ; le malware resterait actif. Quid de Linux / macOS ?
Les versions Chromium sur GNU/Linux et macOS peuvent également être forcées via un fichier JSON dans /etc/opt/chrome/policies/managed/. Supprimez‑le puis relancez le navigateur.
8. Glossaire
- Adware : logiciel publicitaire injectant annonces ou modifiant votre navigation.
- GPO : Group Policy Object, stratégie Windows appliquée au niveau machine ou utilisateur.
- PUP : Potentially Unwanted Program, catégorie d’application douteuse.
- FRST : utilitaire de diagnostic avancé générant un rapport détaillé du système.
9. Résumé clés en main
Pour supprimer une extension étiquetée « gérée », il faut :
- Détruire les clés de registre Policies et Extensions.
- Actualiser les politiques dans Edge/Chrome.
- Retirer l’extension via la page des modules.
- Scanner et corriger les résidus avec FRST + Fixlist.
- Durcir la machine (SmartScreen, mises à jour, scanner hors‑ligne).
Une fois ces actions enchaînées, CelestialQuasaror ou tout clone ne pourra plus revenir sans interaction utilisateur.
10. Piste pour les administrateurs réseau
Si vous gérez un parc :
- Déployez une GPO interdisant l’installation d’extensions non répertoriées (
ExtensionInstallBlacklist). - Autorisez explicitement les extensions métier (
ExtensionInstallForcelist) pour éviter les fausses alertes. - Automatisez un script de supervision (PowerShell + Intune) qui détecte toute nouvelle clé dans
HKCU\SOFTWARE\Policies\Microsoft\Edge\3rdparty.
11. Conclusion
La combinaison d’un nettoyage de registre précis, d’un outil de diagnostic tiers (FRST) et d’un durcissement post‑désinfection garantit l’éradication définitive des extensions « gérées » indésirables. En suivant ce guide, vous reprenez le contrôle de votre navigateur et fermez la porte aux PUP futurs.