Supprimer YourSearchBar sur Chrome/Edge : corriger « Géré par votre organisation » et bloquer la réinstallation

Votre navigateur affiche “Géré par votre organisation”, redirige chaque recherche vers Bing et l’extension “YourSearchBar” réapparaît après chaque suppression ? Suivez ce guide exhaustif pour éradiquer l’extension (ID : dafkaabahcikblhbogbnbjodajmhbini) et remettre Chrome/Edge à l’état sain.

Problème posé

Le pirate de navigateur YourSearchBar s’installe sur Chrome et Edge et adopte trois comportements typiques :

• il détourne votre moteur de recherche (YourSearchBar → Bing) et modifie parfois la page d’accueil ou l’onglet nouvel onglet ;
• il fait apparaître la mention « Géré par votre organisation » et verrouille des paramètres ;
• il se réinstalle automatiquement après toute désactivation ou suppression classique depuis la page des extensions.

Le point clé : la persistance est assurée par des politiques d’entreprise (policies) au niveau Windows qui forcent l’installation de l’extension, et, dans certains cas, par un exécutable résident.

Causes techniques

1. Installation forcée par policies : le logiciel malveillant crée des valeurs dans le Registre Windows (Chrome/Edge) pour imposer l’extension ciblée (dafkaabahcikblhbogbnbjodajmhbini).
2. Copie du module malveillant : un dossier d’extension portant l’ID est déposé dans le répertoire User Data du profil navigateur, avec un manifest.json et des scripts qui interceptent les requêtes.
3. Composant persistant (parfois) : un service, une tâche planifiée, un loader au démarrage ou un binaire déposé dans AppData peut réécrire les policies si on ne le neutralise pas.

Symptômes et indicateurs

Symptôme	Indicateur concret
Extension qui revient	Le dossier …\Extensions\dafkaabahcikblhbogbnbjodajmhbini réapparaît après redémarrage
Paramètres verrouillés	Badge « Géré par votre organisation » dans les menus Chrome/Edge ; des options sont grisées
Recherche détournée	Toute recherche part vers Bing malgré le moteur par défaut choisi
Policies actives	Entrées suspectes dans chrome://policy ou edge://policy (après Recharger les politiques)

Avant de commencer

• Compte Windows administrateur : les étapes de suppression des policies exigent des droits élevés.
• Sauvegarde du Registre : dans regedit, Fichier → Exporter pour les clés que vous modifiez.
• Point de restauration système : utile en cas de rollback nécessaire.
• Désactivation provisoire de la synchronisation Chrome/Edge : évite la réintroduction de l’extension par le cloud pendant le nettoyage.

Stratégie de résolution pas‑à‑pas

La méthode qui donne les meilleurs résultats consiste à neutraliser d’abord les composants actifs, puis à supprimer les policies, et enfin à effacer physiquement le dossier d’extension. Le tableau ci‑dessous récapitule le plan d’action :

Étape	Objectif	Commandes / actions
Pré‑scan hors ligne	Éliminer les composants actifs qui réécrivent les policies	PowerShell admin : Start-MpWDOScan (déclenche l’analyse hors‑ligne de Windows Defender). Sinon : outils spécialisés (AdwCleaner, Malwarebytes, ESET Online).
Couper la politique d’installation forcée	Empêcher la réinstallation automatique	Supprimer toute valeur mentionnant l’ID dans : HKLM\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist HKLM\SOFTWARE\WOW6432Node\Policies\Google\Chrome\ExtensionInstallForcelist Équivalents HKCU et clés Edge (…\Policies\Microsoft\Edge\…). Vérifier aussi les clés héritées …\Google\Chrome\Extensions\<ID> et …\Microsoft\Edge\Extensions\<ID>.
Supprimer physiquement l’extension	Retirer les fichiers malveillants	Fermer le navigateur → supprimer C:\Users\<Nom>\AppData\Local\Google\Chrome\User Data\Default\Extensions\dafkaabahcikblhbogbnbjodajmhbini et les profils complémentaires (Profile 1, Profile 2, etc.).
Nettoyer Edge (si touché)	Même logique	Répéter l’étape policies pour …\Policies\Microsoft\Edge\… et supprimer C:\Users\<Nom>\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\dafka….
Vérifications finales	Confirmer l’absence de policies	Ouvrir chrome://policy ou edge://policy → Recharger les politiques → aucune entrée forcée ne doit subsister.
Mesures d’hygiène	Prévenir la récidive	Changer les mots de passe sensibles, réactiver la synchro seulement après contrôle, maintenir Windows/navigateurs/antivirus à jour.

Procédure détaillée

Pré‑scan hors ligne avec Windows Defender

Le scan hors‑ligne redémarre l’ordinateur et vérifie le système avant le chargement de Windows, ce qui permet de neutraliser des loaders persistants.

1. Fermez vos applications et enregistrez votre travail.
2. Ouvrez PowerShell en tant qu’administrateur.
3. Exécutez : Start-MpWDOScan. L’ordinateur redémarre, l’analyse s’exécute, puis Windows se relance.

En alternative ou en complément, lancez un passage avec des outils spécialisés (AdwCleaner, Malwarebytes, ESET). Ils détectent souvent les PUP et résidus d’extension.

Couper les policies Chrome et Edge

Les politiques d’installation forcée se trouvent dans le Registre. Supprimez toute valeur qui contient l’ID dafkaabahcikblhbogbnbjodajmhbini ou des URL d’update douteuses.

Par l’éditeur du Registre

1. Win + R → regedit → Entrée.
2. Parcourez et inspectez ces emplacements (présents selon les machines) :

Navigateur	Clés de policies principales	Clés héritées (anciennes méthodes)
Chrome	HKLM\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist HKLM\SOFTWARE\WOW6432Node\Policies\Google\Chrome\ExtensionInstallForcelist HKCU\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist	HKLM\SOFTWARE\Google\Chrome\Extensions\<ID> HKLM\SOFTWARE\WOW6432Node\Google\Chrome\Extensions\<ID> HKCU\SOFTWARE\Google\Chrome\Extensions\<ID>
Edge	HKLM\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist HKLM\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge\ExtensionInstallForcelist HKCU\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist	HKLM\SOFTWARE\Microsoft\Edge\Extensions\<ID> HKCU\SOFTWARE\Microsoft\Edge\Extensions\<ID>

Dans ces clés, repérez des valeurs de type chaîne (par ex. 1, 2, etc.) où le contenu référence dafkaabahcikblhbogbnbjodajmhbini. Supprimez‑les. Répétez pour chaque occurrence (HKLM/HKCU et versions 32 bits sous WOW6432Node).

Par script PowerShell (recommandé pour ne rien oublier)

Exécutez en tant qu’administrateur :

$ErrorActionPreference = 'SilentlyContinue'
$id = 'dafkaabahcikblhbogbnbjodajmhbini'
$paths = @(
  'HKLM:\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist',
  'HKLM:\SOFTWARE\WOW6432Node\Policies\Google\Chrome\ExtensionInstallForcelist',
  'HKCU:\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist',
  'HKLM:\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist',
  'HKLM:\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge\ExtensionInstallForcelist',
  'HKCU:\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist',
  'HKLM:\SOFTWARE\Google\Chrome\Extensions',
  'HKLM:\SOFTWARE\WOW6432Node\Google\Chrome\Extensions',
  'HKCU:\SOFTWARE\Google\Chrome\Extensions',
  'HKLM:\SOFTWARE\Microsoft\Edge\Extensions',
  'HKCU:\SOFTWARE\Microsoft\Edge\Extensions'
)

foreach ($p in $paths) {
if (Test-Path $p) {
# Supprime les valeurs Forcelist contenant l'ID
try {
$props = (Get-ItemProperty -Path $p).PSObject.Properties
foreach ($prop in $props) {
if ($prop.Value -and ($prop.Value.ToString() -match $id)) {
Remove-ItemProperty -Path $p -Name $prop.Name -Force
}
}
} catch {}

```
# Supprime les sous-clés Extensions\<ID> (méthode héritée)
try {
  $sub = Join-Path $p $id
  if (Test-Path $sub) { Remove-Item -Path $sub -Recurse -Force }
} catch {}
```

}
}
Write-Host 'Policies liées à l’ID supprimées (si présentes). Redémarrez les navigateurs.' 

Supprimer physiquement l’extension

Une fois les policies supprimées, effacez les fichiers qui ont été imposés.

1. Ouvrez l’URL chrome://extensions ou edge://extensions pour confirmer l’ID de l’extension malveillante (ici, dafkaabahcikblhbogbnbjodajmhbini), puis fermez complètement le navigateur.
2. Supprimez les dossiers correspondants. Les emplacements fréquents sont :

Produit	Chemin par défaut	Remarques
Chrome	C:\Users\<Nom>\AppData\Local\Google\Chrome\User Data\Default\Extensions\dafkaabahcikblhbogbnbjodajmhbini	Si vous utilisez plusieurs profils, répétez pour Profile 1, Profile 2, etc. Le chemin de profil exact est visible dans chrome://version (champ Profile Path).
Edge	C:\Users\<Nom>\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\dafkaabahcikblhbogbnbjodajmhbini	Mêmes remarques pour les profils multiples.

Astuce PowerShell pour localiser tous les dossiers nommés par l’ID :

Get-ChildItem "$env:LOCALAPPDATA\Google\Chrome\User Data" -Recurse -Directory -Filter "dafkaabahcikblhbogbnbjodajmhbini" 2>$null
Get-ChildItem "$env:LOCALAPPDATA\Microsoft\Edge\User Data" -Recurse -Directory -Filter "dafkaabahcikblhbogbnbjodajmhbini" 2>$null

Nettoyer Edge s’il est touché

Edge et Chrome partagent la même base Chromium et la même logique de policies. Répétez strictement les étapes policies et suppression du dossier d’extension pour Edge.

Vérifications finales

1. Ouvrez chrome://policy (ou edge://policy), cliquez sur Recharger les politiques.
2. Aucune entrée faisant référence à l’ID ou à des listes d’installation forcée ne doit subsister.
3. Testez une recherche : elle doit s’exécuter via le moteur par défaut que vous avez choisi.

Mesures d’hygiène et prévention

• Changer les mots de passe des comptes sensibles (messagerie, banques, réseaux sociaux), surtout si vous avez saisi des identifiants pendant l’infection.
• Désactiver puis réactiver la synchronisation Chrome/Edge seulement après avoir confirmé l’éradication. Purgez si besoin les données de synchronisation des extensions depuis les paramètres de synchronisation du navigateur.
• Mettre à jour Windows et les navigateurs, activer les mises à jour automatiques et conserver un antivirus résident à jour.

Automatisation avancée pour administrateurs

Dans un contexte multi‑postes, vous pouvez vérifier et supprimer automatiquement les policies liées à l’ID incriminé, nettoyer les dossiers d’extension et faire un inventaire des machines affectées.

Script de remédiation rapide

# 1) Tuer les navigateurs pour éviter les verrous
Get-Process chrome, msedge -ErrorAction SilentlyContinue | Stop-Process -Force

# 2) Supprimer policies liées à l'ID

$id = 'dafkaabahcikblhbogbnbjodajmhbini'
$forcelists = @(
'HKLM:\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist',
'HKLM:\SOFTWARE\WOW6432Node\Policies\Google\Chrome\ExtensionInstallForcelist',
'HKCU:\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist',
'HKLM:\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist',
'HKLM:\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge\ExtensionInstallForcelist',
'HKCU:\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist'
)
foreach ($p in $forcelists) {
if (Test-Path $p) {
(Get-ItemProperty -Path $p).PSObject.Properties |
Where-Object { $*.Value -and ($*.Value.ToString() -match $id) } |
ForEach-Object { Remove-ItemProperty -Path $p -Name $_.Name -Force }
}
}

# 3) Supprimer les clés héritées Extensions<ID>

$legacy = @(
'HKLM:\SOFTWARE\Google\Chrome\Extensions',
'HKLM:\SOFTWARE\WOW6432Node\Google\Chrome\Extensions',
'HKCU:\SOFTWARE\Google\Chrome\Extensions',
'HKLM:\SOFTWARE\Microsoft\Edge\Extensions',
'HKCU:\SOFTWARE\Microsoft\Edge\Extensions'
)
foreach ($base in $legacy) {
$k = Join-Path $base $id
if (Test-Path $k) { Remove-Item -Path $k -Recurse -Force }
}

# 4) Supprimer les dossiers d’extensions

$paths = @(
"$env:LOCALAPPDATA\Google\Chrome\User Data",
"$env:LOCALAPPDATA\Microsoft\Edge\User Data"
)
foreach ($root in $paths) {
if (Test-Path $root) {
Get-ChildItem $root -Recurse -Directory -Filter $id -ErrorAction SilentlyContinue |
Remove-Item -Recurse -Force -ErrorAction SilentlyContinue
}
}

Write-Host "Remédiation terminée. Ouvrez chrome://policy et edge://policy et rechargez les politiques." 

Audit express des postes

Pour détecter d’éventuelles politiques actives à distance (PowerShell Remoting ou Intune), interrogez les clés Forcelist et remontez toute valeur contenant l’ID.

$id = 'dafkaabahcikblhbogbnbjodajmhbini'
$keys = 'HKLM:\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist',
        'HKLM:\SOFTWARE\WOW6432Node\Policies\Google\Chrome\ExtensionInstallForcelist',
        'HKCU:\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist',
        'HKLM:\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist',
        'HKLM:\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge\ExtensionInstallForcelist',
        'HKCU:\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist'

$result = foreach ($k in $keys) {
if (Test-Path $k) {
(Get-ItemProperty $k).PSObject.Properties |
Where-Object { $*.Value -and ($*.Value.ToString() -match $id) } |
Select-Object @{n='Key';e={$k}}, @{n='Name';e={$*.Name}}, @{n='Data';e={$*.Value}}
}
}
$result | Format-Table -Auto 

Gestion des cas particuliers

Le message « Géré par votre organisation » persiste

• Compte professionnel/école connecté : vérifiez Paramètres Windows → Comptes → Accéder au travail ou à l’école. Si un compte MDM inconnu est présent, déconnectez‑le (après validation avec votre service IT si nécessaire).
• Policies cloud du navigateur : Chrome/Edge peuvent appliquer des stratégies via votre compte. Déconnectez‑vous du compte dans le navigateur, désactivez la synchronisation, fermez et rouvrez ; puis revenez sur chrome://policy / edge://policy et Recharger.
• Reste de clé orpheline : repassez le script PowerShell et contrôlez aussi les clés HKCU (profil utilisateur) en plus de HKLM (machine).

Raccourcis modifiés

Certains hijackers ajoutent des paramètres indésirables aux raccourcis de lancement (ex. --load-extension, --proxy-server). Ouvrez les propriétés des raccourcis Chrome/Edge (barre des tâches, menu Démarrer, bureau) et vérifiez que la Cible ne contient que l’exécutable attendu, sans paramètres additionnels.

Tâches planifiées et démarrages

Pour traquer un binaire qui réécrit les policies :

schtasks /query /fo LIST /v | findstr /i "chrome edge yoursearchbar dafkaabahcikblhbogbnbjodajmhbini"
wmic startup get caption,command

Supprimez les entrées suspectes. Un second passage avec Windows Defender ou un outil spécialisé est recommandé.

Réinitialiser les paramètres du navigateur

Une fois l’extension supprimée et les policies neutralisées, restaurez les paramètres par défaut pour effacer tout résidu (moteur de recherche, page d’accueil, notifications, etc.).

• Chrome : Paramètres → Réinitialiser et nettoyer → Restaurer les paramètres par défaut.
• Edge : Paramètres → Réinitialiser les paramètres → Restaurer les paramètres par défaut.

Solutions de dernier recours

• Restauration du système à un point antérieur où l’extension n’était pas présente.
• Réinstallation propre de Windows si des composants système sont corrompus ou si la persistance résiste à tous les nettoyages.

FAQ rapide

Pourquoi l’extension revient‑elle après suppression ?
Parce que des policies la réinstallent à chaque démarrage. Il faut d’abord supprimer ces policies, puis effacer l’extension.

« Géré par votre organisation » signifie‑t‑il forcément une infection ?
Non : l’indicateur apparaît dès qu’une policy est active (entreprise, école, MDM, ou malware). Le contexte fait la différence.

La synchronisation Chrome/Edge peut‑elle réinstaller l’extension ?
Oui. Désactivez temporairement la synchro et supprimez l’extension sur tous les appareils synchronisés avant de la réactiver.

Un antivirus résident suffit‑il ?
Pas toujours. Les PUP échappent parfois aux détections en temps réel. L’analyse hors‑ligne et les outils spécialisés augmentent nettement les chances de réussite.

Checklist récapitulative

• Scan hors‑ligne Windows Defender exécuté (Start-MpWDOScan)
• Clés ExtensionInstallForcelist et Extensions\<ID> nettoyées (Chrome et Edge, HKLM/HKCU/WOW6432Node)
• Dossier(s) d’extension dafkaabahcikblhbogbnbjodajmhbini supprimé(s) dans tous les profils
• Raccourcis vérifiés (aucun paramètre injecté)
• Tâches planifiées / démarrage inspectés et assainis
• Réinitialisation des paramètres du navigateur effectuée
• Synchronisation réactivée seulement après contrôle
• Vérification finale dans chrome://policy / edge://policy (aucune policy indésirable)

Résultats attendus

• La réinstallation de l’extension est bloquée durablement.
• La mention « Géré par votre organisation » disparaît (sauf si un compte MDM légitime s’applique).
• Le navigateur retrouve son moteur de recherche et ses paramètres normaux.

Bonnes pratiques pour l’avenir

• Installer depuis les stores officiels uniquement et lire les avis récents.
• Limiter les extensions au strict nécessaire et auditer leurs permissions.
• Éviter les installateurs tiers et décocher les « offres sponsorisées ».
• Créer un point de restauration avant d’installer un outil système.

Conclusion

Le détournement YourSearchBar s’appuie sur des politiques d’entreprise pour figer son extension et verrouiller des paramètres. En procédant méthodiquement — scan hors‑ligne, nettoyage des policies, suppression des dossiers d’extension, vérifications — vous reprenez le contrôle de Chrome et Edge et éliminez la persistance. Sur un parc géré, pensez à auditer les GPO et la gestion MDM afin d’éviter toute réintroduction silencieuse.