Niektóre witryny https na moim laptopie są dostarczane z nieprawidłowym certyfikatem (do tej pory znalazłem tylko jedną witrynę: https://gstatic.com ). Nieprawidłowy certyfikat jest wydawany przez cloudguard.me (o ile wiem, adware), ale nie znalazłem nic na komputerze - nawet reklamy cloudguard.me nie powinny się wyświetlać. Dzieje się tak w przeglądarce Internet Explorer, Chrome i Firefox.
To pytanie dotyczy konkretnie wstrzykniętego certyfikatu https, a nie ogólnego „sposobu usunięcia złośliwego oprogramowania xy z mojego komputera”. Jestem przekonany, że na moim komputerze nie ma (aktywnego) adware oprócz tego niepoprawnego certyfikatu https (resztki)
Sprawdziłem już następujące elementy:
- brak proxy używanego przez przeglądarki.
- zainstalowane oprogramowanie (wszystko jest rozliczane)
- uruchomione procesy (nic podejrzanego - wszystko podpisane, brak hitów virustotal)
- usługi: nic podejrzanego
- sprawdzane w autoruns pod kątem nietypowych przedmiotów: nic
- cert. manager: brak certyfikatów przez cloudguard.me
- połączony przez VPN z Internetem (aby wykluczyć MITM)
- zrobił pełny skan z anwirusem avira (bezpłatny)
- Utworzono nowe konto użytkownika: te same objawy
Nie wiem, czy sam certyfikat jest ważny, jeśli chcesz na niego spojrzeć:
Base64 encoded X.509
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Byłoby świetnie, gdyby ktoś miał pomysł, jak rozwiązać ten problem lub gdzie indziej szukać. Dzięki!
źródło
Odpowiedzi:
Twój komputer przejdzie na adres IP cloudguard.me, gdy wyszuka adres gstatic.com.
Złośliwe oprogramowanie zmieniło ustawienia DNS, aby rozpoznać niektóre nazwy na swoim złośliwym serwerze w celu wstrzyknięcia reklamy.
Napraw ustawienia DNS, aby korzystać z DNS usługodawcy internetowego i - jeśli złośliwe oprogramowanie naprawdę zostało usunięte - problem powinien zniknąć.
źródło