Como posso descobrir de onde vem o certificado https inválido?

Navegue suas respostas
0

Alguns sites https no meu laptop são entregues com um certificado inválido (apenas encontrei um site até o momento: link ). O certificado inválido é emitido pelo cloudguard.me (adware, tanto quanto eu posso dizer), mas não encontrei nada no meu pc - nem mesmo os anúncios que o cloudguard.me deveria mostrar. Isso acontece no Internet Explorer, no Chrome e no Firefox.

Esta questão é especificamente sobre o certificado https injetado e não um genérico "como remover o malware xy do meu pc". Estou muito confiante de que não há adware (ativo) na minha máquina, exceto este certificado https inválido (sobras)

Já verifiquei o seguinte:

  • nenhum proxy usado pelos navegadores.
  • software instalado (tudo é contabilizado)
  • processos em execução (nada suspeito - tudo assinado, sem hits virustotais)
  • serviços: nada suspeito
  • marcado com autoruns para itens incomuns: nada
  • cert. gerente: sem certificados pelo cloudguard.me
  • conectado via VPN à internet (para descartar o MITM)
  • fez uma varredura completa com avira antivir (grátis)
  • Criado uma nova conta de usuário: mesmos sintomas

Eu não sei se o certificado em si é importante, se você quiser dar uma olhada nele: 

Base64 encoded X.509

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Seria ótimo se alguém tivesse uma ideia de como corrigir esse problema ou onde procurar. Obrigado!

    
por wischi 23.08.2016 / 15:27

1 resposta

0

Seu computador irá ao IP do cloudguard.me quando procurar o endereço de gstatic.com.

O malware alterou suas configurações de DNS para resolver alguns nomes em seu servidor malicioso para injeção de anúncios.

Corrija suas configurações de DNS para usar o DNS do seu provedor e - se o malware realmente foi removido - o problema deve desaparecer.

    
por 25.08.2016 / 03:18

Tags

Partilhar a ligação de rede do Windows Wifi via Ethernet ao Access Point Como posso concluir o tutorial instalar o linuxbrew no linux?