Guia de Remoção de Sequestrador de Navegador (Windows 11)
Resposta curta: Abra chrome://policy. Se vir entradas como DefaultSearchProviderEnabled ou ExtensionInstallForcelist que você nunca definiu, um sequestrador injetou políticas corporativas do Chrome no seu registro — por isso redefinir a página inicial não adianta e reinstalar o Chrome não ajuda. A correção é remover essas chaves de política do registro, limpar a tarefa agendada que as recria, e redefinir o DNS, não reinstalar o navegador.
Abra chrome://policy na barra de endereços. Se vir entradas como DefaultSearchProviderEnabled, HomepageLocation ou ExtensionInstallForcelist — essas não são suas configurações. Um sequestrador de navegador injetou políticas corporativas do Chrome no Registro do Windows, e por isso mudar sua página inicial ou mecanismo de busca de volta não adianta nada. As configurações estão acinzentadas porque o sequestrador está usando os próprios recursos de gerenciamento do Chrome contra você. Pode reinstalar o Chrome, limpar todos os dados de navegação, até redefinir o navegador de fábrica — o sequestrador sobrevive a tudo porque a política está no registro, não na pasta de dados do Chrome.
Os nomes que mais limpamos agora são Bangsearch.pro, Yglsearch, ActiveSearchBar, Qltuh, CelestialQuasaror e MegaGuard. Novas variantes aparecem a cada duas semanas porque a infraestrutura é fácil de clonar. O Observatório da Internet de Stanford reportou mais de 280 milhões de downloads de extensões maliciosas de navegador em 2025, e um único incidente em julho comprometeu 2,3 milhões de usuários do Chrome e Edge. E esses são só os baseados em extensão — não conta os que vêm junto com instaladores de software gratuito.
Mate a Política Primeiro
Esse é o passo que a maioria dos guias online pula ou enterra no final. Abra o Editor do Registro — Win+R, digite regedit, Enter. Navegue até esses locais e delete a pasta Chrome em cada um:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome — delete a pasta Chrome inteira se você não está em um computador corporativo gerenciado.
HKEY_CURRENT_USER\SOFTWARE\Policies\Google\Chrome — mesma coisa.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Update — alguns sequestradores definem políticas de atualização aqui para impedir que o Chrome se atualize automaticamente, o que normalmente removeria o sequestrador quando o Google atualiza sua lista de bloqueio de extensões maliciosas.
Para Edge: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge e o equivalente em HKCU.
Reinicie o Chrome. O banner “Seu navegador é gerenciado pela sua organização” deve desaparecer e suas configurações de página inicial e mecanismo de busca voltam a ser editáveis. Se o banner voltar após uma reinicialização, você tem um mecanismo de persistência reinstalando a política — continue lendo.
Extensões e Agendador de Tarefas
Vá em chrome://extensions, ligue o Modo de Desenvolvedor (botão no canto superior direito) e remova tudo que você não instalou deliberadamente da Chrome Web Store. Não apenas desative — clique em Remover. Extensões sequestradoras desativadas podem se reativar através de tarefas agendadas. Qualquer coisa com “PDF”, “Helper”, “Safe Search”, “Web Protection” ou “Enhanced Search” no nome que você não reconhece é suspeita. Stanford descobriu que extensões sequestradoras sobrevivem na Web Store por uma média de 380 dias antes da detecção, então pode ter parecido legítima quando você instalou meses atrás.
Se o botão Remover de uma extensão está acinzentado, você não terminou a limpeza do registro acima — a política está forçando a instalação. Volte e tenha certeza de que deletou aquelas chaves do registro.
Agora abra o Agendador de Tarefas — Win+R, taskschd.msc. É aqui que a maioria das tentativas de remoção caseira fracassa e por que o sequestrador continua voltando depois que as pessoas acham que limparam. Tarefas de sequestradores usam nomes feitos para parecer inofensivos: “ChromeUpdate”, “BrowserMaintenance”, “SystemHealthCheck”, às vezes strings aleatórias. Clique em cada entrada suspeita e verifique a aba Ações. Se a ação executa um script PowerShell, um arquivo .bat de um diretório Temp, ou um .exe de uma pasta AppData, esse é seu mecanismo de persistência. Já vi uma chamada “MicrosoftEdgeUpdateTask” — parecida o suficiente com uma tarefa real do Edge que a maioria das pessoas pula direto. Delete. Verifique também a aba Inicializar do Gerenciador de Tarefas — entradas sem editor ou apontando para executáveis em AppData\Local\Temp quase nunca são legítimas.
Um último esconderijo que ninguém verifica: C:\Windows\System32\drivers\etc\hosts. Abra com o Bloco de Notas como administrador. Um arquivo hosts limpo é basicamente comentários (linhas começando com #). Se vir google.com, bing.com, ou qualquer domínio legítimo mapeado para endereços IP aleatórios, isso é sequestro do arquivo hosts — truque mais velho do livro e ainda eficaz porque ninguém olha lá.
Redefinir e Escanear
Com a persistência eliminada, redefina o navegador. Chrome: Configurações, Redefinir configurações, “Restaurar configurações para os padrões originais”. Firefox: digite about:support, clique em “Atualizar Firefox” — isso é mais agressivo, cria um perfil inteiramente novo, que é exatamente o que você quer. Favoritos e senhas salvas sobrevivem em ambos.
Execute uma varredura completa do Windows Defender — Configurações, Privacidade e Segurança, Segurança do Windows, Proteção contra vírus e ameaças, Varredura Completa. Depois Malwarebytes Free para uma segunda opinião — ele pega PUPs que as configurações padrão do Defender às vezes ignoram. Nosso guia completo de remoção de malware cobre a técnica de varredura em Modo de Segurança para infecções mais profundas.
Verifique suas configurações de DNS também. Alguns sequestradores não tocam no navegador — eles mudam seu DNS para que todo tráfego web seja redirecionado pelos servidores deles. Prompt de Comando, ipconfig /all, procure a linha Servidores DNS do seu adaptador ativo. Deve ser o IP do seu roteador, do seu provedor, ou um DNS público que você mesmo configurou. Endereços desconhecidos que você nunca configurou? Mude para 8.8.8.8 e 1.1.1.1. Nosso guia de DNS cobre o diagnóstico completo se você suspeita de adulteração em nível de DNS. Também entre no seu roteador (192.168.1.1 ou 192.168.0.1) e verifique o DNS lá — alguns malwares que ganham acesso ao roteador mudam o DNS no nível do roteador, afetando todos os dispositivos na rede.
Após remover um sequestrador, troque as senhas de todas as contas em que fez login enquanto ele estava ativo. Extensões sequestradoras com permissões amplas podem ler tudo que você digita em formulários web. Instale o uBlock Origin para bloquear as cadeias de malvertising que distribuem sequestradores em primeiro lugar. Para downloads de software, use sites oficiais ou Ninite.com, e leia cada tela durante assistentes de instalação — desmarque “Instalar extensão recomendada do navegador” e “Definir como mecanismo de busca padrão”, que vêm pré-marcados por padrão. Se o sequestrador continuar voltando depois de tudo isso, podemos encontrar o mecanismo de persistência remotamente — a sessão média leva cerca de 20 minutos porque sabemos exatamente onde procurar.
Perguntas Frequentes
Por que meu sequestrador de navegador continua voltando depois que eu removo?
O sequestrador visível (página inicial alterada, extensão maliciosa) é apenas o sintoma. A infecção real é um mecanismo de persistência — geralmente uma Tarefa Agendada do Windows ou entrada de inicialização que monitora a remoção e reinstala tudo automaticamente. Verifique o Agendador de Tarefas para tarefas suspeitas como 'ChromeUpdate' ou 'BrowserMaintenance' que executam scripts PowerShell ou executáveis de pastas AppData. Delete essas tarefas para parar o ciclo.
O que significa 'Seu navegador é gerenciado pela sua organização' em um computador pessoal?
Significa que um malware injetou uma política corporativa do Chrome no Registro do Windows que trava suas configurações de mecanismo de busca e página inicial. Você não consegue corrigir de dentro do Chrome — precisa abrir o Editor do Registro (regedit) e deletar as entradas em HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome e HKEY_CURRENT_USER\SOFTWARE\Policies\Google\Chrome. Reinicie o Chrome depois.
Como removo um sequestrador que não me deixa desinstalar a extensão?
Se o botão Remover está acinzentado em uma extensão do Chrome, uma política do Chrome está forçando a instalação. Primeiro remova a política do Registro do Windows (veja a seção 'Gerenciado pela sua organização'), depois reinicie o Chrome. O botão Remover da extensão ficará clicável novamente. Se ainda não remover, tente a opção Redefinir configurações do Chrome para desativar todas as extensões de uma vez.
Um sequestrador de navegador pode roubar minhas senhas?
Sim. Extensões sequestradoras com permissões amplas podem ler tudo que você digita em formulários web, incluindo senhas e números de cartão de crédito. Algumas interceptam consultas de busca e redirecionam você por sites de phishing parecidos. Após remover um sequestrador, troque as senhas de todas as contas em que fez login enquanto o sequestrador estava ativo — especialmente banco, email e redes sociais.
Quais são os sequestradores de navegador mais comuns em 2026?
Os nomes que mais vemos na RebootDoctor agora são Bangsearch.pro, Yglsearch, ActiveSearchBar, Qltuh, CelestialQuasaror e MegaGuard. Novas variantes aparecem a cada poucas semanas porque a infraestrutura é fácil de clonar. O sequestrador baseado em política 'Gerenciado pela sua organização' é o tipo mais persistente — sobrevive a reinstalações do navegador e limpeza de dados de navegação.