Jak dowiedzieć się, skąd pochodzi nieprawidłowy certyfikat https?

0

Niektóre witryny https na moim laptopie są dostarczane z nieprawidłowym certyfikatem (do tej pory znalazłem tylko jedną witrynę: https://gstatic.com ). Nieprawidłowy certyfikat jest wydawany przez cloudguard.me (o ile wiem, adware), ale nie znalazłem nic na komputerze - nawet reklamy cloudguard.me nie powinny się wyświetlać. Dzieje się tak w przeglądarce Internet Explorer, Chrome i Firefox.

To pytanie dotyczy konkretnie wstrzykniętego certyfikatu https, a nie ogólnego „sposobu usunięcia złośliwego oprogramowania xy z mojego komputera”. Jestem przekonany, że na moim komputerze nie ma (aktywnego) adware oprócz tego niepoprawnego certyfikatu https (resztki)

Sprawdziłem już następujące elementy:

  • brak proxy używanego przez przeglądarki.
  • zainstalowane oprogramowanie (wszystko jest rozliczane)
  • uruchomione procesy (nic podejrzanego - wszystko podpisane, brak hitów virustotal)
  • usługi: nic podejrzanego
  • sprawdzane w autoruns pod kątem nietypowych przedmiotów: nic
  • cert. manager: brak certyfikatów przez cloudguard.me
  • połączony przez VPN z Internetem (aby wykluczyć MITM)
  • zrobił pełny skan z anwirusem avira (bezpłatny)
  • Utworzono nowe konto użytkownika: te same objawy

Nie wiem, czy sam certyfikat jest ważny, jeśli chcesz na niego spojrzeć:

Base64 encoded X.509

-----BEGIN CERTIFICATE-----
MIIDXDCCAkQCAxAA5jANBgkqhkiG9w0BAQsFADB9MQswCQYDVQQGEwJJTDERMA8G
A1UECBMIR3VzaCBEYW4xEjAQBgNVBAcTCUhlcnR6aWxpYTEhMB8GA1UEChMYR3Jl
ZW5UZWFtIEludGVybmV0LCBMdGQuMQwwCgYDVQQLEwNXZWIxFjAUBgNVBAMTDWNs
b3VkZ3VhcmQubWUwHhcNMTIwODE0MDUwMDAwWhcNMjUxMDE1MTUyNzAxWjBpMQsw
CQYDVQQGEwJVUzETMBEGA1UECBMKQ2FsaWZvcm5pYTEWMBQGA1UEBxMNTW91bnRh
aW4gVmlldzETMBEGA1UEChMKR29vZ2xlIEluYzEYMBYGA1UEAxMPd3d3LmdzdGF0
aWMuY29tMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAqWpOFEv4eRZF
jb00ffsG5ZAJMEnPGS76E/Ws60i00pJWEHtk1n8dBILx5dsa0OCi1vOPA4jZbEin
pBDrMyAGdP9//fh/dh4ouVwEp6VFn9bj5io0+d6o1RMZAYsDhUmLX4u8CQO6y5RE
uap9ZeQ5XwjSl6ba9BzFF0ti9f4p5wrhPghZOhRKr6cNzT8IVyamkDL3xwHPlczB
lEMT42AIcl3QXDORyffLtYfRDoEY/Ve0ICFSFpKBMRacjI2r4LIwq/MarGI0B96w
+V0L4tXk9Rx6AO8isYJLQqrNfq/oB7kL1d/TD5UXzUrznsf7MifEQs5XSfu/ubn+
bRU4ZgYUsQIDAQABMA0GCSqGSIb3DQEBCwUAA4IBAQBbEj8WkvFrcdAjcJ5qoujn
zZGuqT8hL+ts8q/mg4sg+S1468RmsxPtm2+Gy57iYIIvCIa1T8YzEysSQhYSTY4X
58kFjKrNEN+H5N4GScne5Lnbnthm8exG+26F7uKWtQjx1wzyohQQ5WC5Iy24IqLG
A64om1Rmji5E3pIfu98NlVyU8wlE6jbRCl/r4mHEO2D8CGhDaWiQiolkgNZk1yQG
8rwHrr7yJRV247aTAPdvDX6GmM2OfH1F003n7RwlzxHBksxQZEr0LC85pHsiwMZV
XZ4rLaI2gjBT90qx8V5EUSvZwA8Vk8fof4BVhRXzYtBW3ITQTLk1Vzg1FzUXB5k5
-----END CERTIFICATE-----

Byłoby świetnie, gdyby ktoś miał pomysł, jak rozwiązać ten problem lub gdzie indziej szukać. Dzięki!

wischi
źródło
Wygląda na to, że CloudGuard.me jest częścią pakietu złośliwego oprogramowania, więc usuń złośliwe oprogramowanie, a problem powinien zostać rozwiązany.
JakeGould,
Sprawdź, czy nie korzystasz z serwera proxy. Chrome, IE i Firefox przestrzegają ustawień proxy w systemie Windows.
Ramhound
@Ramhound bez proxy włączony.
wischi
1
@Ramhound imgo nie jest to duplikat, ponieważ konkretnie szukam metod, które można zamienić, których nie wymieniono powyżej.
wischi

Odpowiedzi:

0

Twój komputer przejdzie na adres IP cloudguard.me, gdy wyszuka adres gstatic.com.

Złośliwe oprogramowanie zmieniło ustawienia DNS, aby rozpoznać niektóre nazwy na swoim złośliwym serwerze w celu wstrzyknięcia reklamy.

Napraw ustawienia DNS, aby korzystać z DNS usługodawcy internetowego i - jeśli złośliwe oprogramowanie naprawdę zostało usunięte - problem powinien zniknąć.

Eric
źródło
Wow, czuję się teraz taki głupi. Zmieniłem ustawienia DNS i działa jak urok. Dzięki.
wischi
Złośliwe oprogramowanie zmieniające DNS to plaga. Cieszę się, że Twój komputer działa teraz lepiej.
Eric