Dentro de Edge o Chrome, una extensión marcada como “Administrada por tu organización” suele indicar que alguien —o algo — ha colocado una directiva de grupo o entrada de registro que fuerza su instalación. A continuación encontrarás un procedimiento completo para arrancar de raíz CelestialQuasaror / RegCyanica, verificar que no queden restos y blindar tu equipo para que no reaparezca.
¿Por qué aparece una extensión administrada si mi PC no pertenece a ningún dominio?
Los navegadores basados en Chromium (Edge y Chrome) confían en dos lugares para saber si deben considerarse “gestionados”:
- Las rutas de registro
HKLM\SOFTWARE\Policies\(equipo completo) yHKCU\SOFTWARE\Policies\(usuario actual). - Los ficheros
master_preferencesy políticas JSON distribuidas por herramientas de despliegue.
Si un instalador malicioso escribe allí la clave de una extensión, el navegador la instala y bloquea su eliminación manual. Es exactamente lo que hace CelestialQuasaror, renombrada luego a RegCyanica para intentar pasar desapercibida.
Inspecciona primero: confirma que se trata de la misma amenaza
- En la barra de direcciones escribe
edge://extensions(ochrome://extensions) y localiza la extensión sospechosa. - Activa el modo desarrollador para ver su ID. Debería ser
hiogmkgkiimgalgkndhabdmoednhnnjn; si coincide, continúa con la guía. - Abre
edge://policy/y pulsa Reload Policies. Comprueba que hay políticas que hagan referencia a ese ID.
Solución exprés: elimina las políticas que la inyectan
Este es el camino más rápido para la mayoría de los casos.
rem — Ejecuta PowerShell o Símbolo del sistema como administrador
reg delete HKCU\SOFTWARE\Policies\Microsoft\Edge /f
reg delete HKLM\SOFTWARE\Policies\Microsoft\Edge /f
Reinicia Edge, vuelve a edge://policy/ y comprueba que el listado esté vacío o ya no mencione la extensión. Regresa a la página de extensiones: si el botón “Eliminar” vuelve a estar disponible, haz clic y pasa al apartado de limpieza final.
Método manual paso a paso (válido para Edge y Chrome)
Si el borrado de políticas no surte efecto, queda un procedimiento algo más largo pero infalible.
| Paso | Acción | Ruta Edge | Ruta Chrome |
|---|---|---|---|
| 1. Identificar ID | Modo desarrollador | hiogmkgkiimgalgkndhabdmoednhnnjn (o el que corresponda) | |
| 2. Borrar clave de registro | Regedit → eliminar sub‑clave del ID | HKLM\SOFTWARE\Microsoft\Edge\Extensions<ID> | HKLM\SOFTWARE\Google\Chrome\Extensions<ID> |
| 3. Eliminar carpeta física | Explorador de archivos (puede requerir mostrar archivos ocultos) | %LOCALAPPDATA%\Microsoft\Edge\User Data\Default\Extensions<ID> | %LOCALAPPDATA%\Google\Chrome\User Data\Default\Extensions<ID> |
| 4. Reiniciar navegador | Comprueba que la extensión aparece deshabilitada y ahora es posible quitarla. | — | |
Consejo: Si utilizas perfiles sincronizados con tu cuenta Microsoft o Google, desactiva temporalmente la sincronización antes de reiniciar; así evitarás que el complemento se reinserte desde la nube.
Uso de FRST para una limpieza quirúrgica
Farbar Recovery Scan Tool es una utilidad portátil que genera un inventario completo del sistema y permite aplicar un script (fixlist) para borrar cualquier rastro de malware. Funciona incluso con objetos que se regeneran tras el reinicio.
- Coloca
FRST64.exeen una carpeta propia (por ejemplo, C:\FRST). - Crea un archivo de texto llamado fixlist.txt con el contenido específico que el analista te proporcione (incluye rutas de la extensión, servicios sospechosos y tareas programadas).
- Ejecuta FRST y pulsa el botón Fix. El sistema se reiniciará automáticamente.
- Al volver a iniciar sesión encontrarás
Fixlog.txten la misma carpeta. Ábrelo y comprueba que todas las entradas marcadas como deleted successfully coincidan con lo esperado.
Esta técnica resulta útil cuando la extensión viene acompañada de servicios residentes (por ejemplo, un actualizador en C:\Program Files (x86)\Web Browser Solutions) que restauran la clave de registro cada pocos minutos.
Limpieza de adware y residuos
- Elimina manualmente cualquier ejecutable relacionado, como
C:\Program Files (x86)\Web Browser Solutions\Web Browser\UniversalUpdater.exe - Una vez verificado que todo funciona bien, borra
C:\FRSTy el propioFRST64.exepara no dejar herramientas de diagnóstico sueltas. - Pásale un escaneo offline con Microsoft Defender (opción Examen sin conexión) o tu antivirus de confianza; así detectará rootkits antes de que se carguen los controladores.
Fortalece tu equipo para evitar reinfecciones
Ahora que has recuperado el control, dedica unos minutos a fortalecer la seguridad:
- Actualiza Windows y el navegador. Las versiones antiguas carecen de controles de integridad reforzados.
- Revisa los programas instalados. Desinstala suites “gratuitas” sospechosas que puedan haber introducido la extensión.
- Activa el filtrado de reputación (SmartScreen) y las extensiones de seguridad oficial.
- Restringe permisos de nuevas extensiones: valida siempre la procedencia y limita el acceso a todos los sitios cuando no sea imprescindible.
- Cambia contraseñas de tus cuentas críticas si sospechas que fue un adware con capacidad de keylogging.
Verificación: comprueba que el problema ha desaparecido
Al finalizar:
edge://extensionsmuestra la lista sin CelestialQuasaror / RegCyanica.edge://policy/no refleja políticas adicionales.HKLM\SOFTWARE\\ExtensionsyHKCU\SOFTWARE\\Extensionsestán libres de claves no reconocidas.- El reporte
Fixlog.txtindica “0 bytes left in quarantine”.
Si todo lo anterior es correcto, tu sistema está libre de la extensión y del adware acompañante. Por precaución, mantén la sincronización desactivada durante 24 h y realiza un segundo escaneo antivirus al cabo de ese tiempo.
Preguntas frecuentes
¿Puedo borrar directamente la carpeta de la extensión sin tocar el registro?
No es recomendable. Si el valor de política sigue presente, el navegador la reinstalará al arrancar.
¿Es necesario desconectar el cable de red en algún momento?
No, salvo que tu antivirus lo sugiera. La clave está en eliminar las políticas que la fuerzan; una vez hecho, la reinstalación es imposible sin intervención del usuario.
¿FRST es seguro?
Sí, siempre que descargues la versión oficial y utilices un fixlist proporcionado por un profesional. Ejecutar scripts al azar puede dañar Windows.
Conclusiones
CelestialQuasaror/RegCyanica abusa del sistema de políticas corporativas para bloquear su desinstalación. Combinando la eliminación de las claves de registro, la limpieza manual de archivos y el uso de FRST, puedes erradicarla en pocos minutos. Refuerza después tu navegador, mantén el software actualizado y evita instalar complementos de fuentes desconocidas: es la mejor defensa frente a extensiones intrusivas en el futuro.