การระบุโปรแกรมที่พยายามติดตั้งใบรับรองบน ​​windows

1

ฉันกำลังพยายามช่วยเหลือเพื่อนที่ใช้ Windows (ซึ่งฉันไม่ใช่ผู้เชี่ยวชาญไม่ว่าด้วยวิธีใด) ที่มีพฤติกรรมคล้ายมัลแวร์: กล่องโต้ตอบปรากฏขึ้นซ้ำ ๆ

คุณกำลังจะติดตั้งใบรับรองจากผู้ออกใบรับรอง (CA) ที่อ้างว่าเป็นตัวแทน:

CE_UmbrellaCert

คำเตือน: หากคุณติดตั้งใบรับรองหลักนี้ Windows จะเชื่อถือใบรับรองที่ออกโดย CA นี้โดยอัตโนมัติ การติดตั้งใบรับรองด้วยรหัสประจำตัวที่ไม่ได้ยืนยันมีความเสี่ยงด้านความปลอดภัย หากคุณคลิก "ใช่" คุณรับทราบความเสี่ยงนี้

สแกนเนอร์ AV และป้องกันมัลแวร์ไม่ตรวจจับอะไรเลย เพื่อนของฉันยังไม่ยอมรับการติดตั้งใบรับรอง แต่โปรแกรมใดก็ตามที่พยายามติดตั้งจะพยายามใหม่ทำให้ระบบใช้ไม่ได้ (การหยุดชะงักอย่างต่อเนื่อง) มีวิธีใดบ้างในการติดตามว่าโปรแกรมใดกำลังพยายามติดตั้งเพื่อให้สามารถถอนการติดตั้ง / ลบโปรแกรมนี้ได้หรือไม่

windows  windows-vista  security  malware  certificate 
R ..
แหล่งที่มา
2
คุณได้รับปัญหาเดียวกันหากคุณเริ่ม Windows ในเซฟโหมดหรือทำการคลีนบูตหรือไม่?
and31415
การเริ่มต้นในเซฟโหมดและการเรียกใช้การคืนค่าระบบทำให้ปัญหาหายไปหวังว่าจะดี แต่นั่นไม่ได้ตอบคำถามจริงๆ โดยทั่วไปแล้วฉันยังคงต้องการที่จะรู้ว่าหากมีวิธีใดที่การแจ้งเตือน / ยืนยันการโต้ตอบระดับระบบเช่นนี้ปรากฏขึ้นเพื่อกำหนดตัวตนของโปรแกรมที่ทำให้พวกเขา
...
1
การค้นหา"CE_UmbrellaCert"บนเน็ตให้ผลลัพธ์ที่น้อยมากและไม่มีข้อมูลมากนัก หากปัญหาเกิดขึ้นอีกให้พิจารณาใช้การ ตรวจสอบกระบวนการเพื่อทำความเข้าใจเพิ่มเติม
and31415
โชคดีที่เพื่อนของคุณไม่อนุญาตให้ซอฟต์แวร์ติดตั้งใบรับรองหลัก ฉันไม่ได้ค้นพบโปรแกรมที่ฉันติดตั้งในระบบภรรยาของฉันตามคำสั่งของเธอได้ดำเนินการกับแอดแวร์ที่ติดตั้งใบรับรองหลักที่อนุญาตให้แอดแวร์ตรวจสอบ HTTPS ทั้งหมดรวมทั้งปริมาณการใช้ HTTP บนระบบจนกระทั่งภายหลังเมื่อฉันสังเกตเห็นพฤติกรรมผิดปกติ ในระบบ ผมไม่ได้แม้จะได้รับคำเตือนเกี่ยวกับการติดตั้งใบรับรองหลักที่โดยแอดแวร์ GenuisBox
moonpoint

คำตอบ:

1

ฉันมีประสบการณ์เดียวกัน ฉันดาวน์โหลดและติดตั้งโปรแกรม Flash grabber จาก Softonic และรับรู้เกือบจะในทันทีจากพฤติกรรมที่ซบเซาของเครื่องของฉันที่ฉันได้รับซอฟต์แวร์โกงพร้อมกับโปรแกรม ฉันถอนการติดตั้งโปรแกรมทันทีและเริ่มระบบใหม่ แต่แล้วฉันก็เริ่มรับ CE_UmbrellaCert เตือนหน้าต่างป๊อปอัปอย่างไม่หยุดยั้ง อย่างที่คุณพูดถึงมันทำให้เครื่องใช้ไม่ได้ ฉันย้อนกลับไปตามที่คุณทำซึ่งเป็นการกำจัดหน้าต่างคำเตือน แต่ฉันยังคงสงสัยเกี่ยวกับสิ่งที่ทำให้เกิดป๊อปอัปเตือนคำเตือนใบรับรองอย่างไม่หยุดยั้งแม้ว่าโปรแกรมจะถูกถอนการติดตั้งก็ตาม

ฉันติดตั้ง Malware Bytes Free (ทำให้แน่ใจว่าฉันได้อัปเดตด้วยคำจำกัดความล่าสุด) และทำการสแกนระบบแบบเต็ม พบ 3 รายการ PUP (อาจเป็นโปรแกรมที่ไม่ต้องการ) ที่ฉันไม่เคยมีมาก่อน

ตรวจพบรีจิสตรีคีย์: 1 ตัวดาวน์โหลด HKCU \ Software \ Softonic \ Universal (PUP.Optional.Softonic.A) -> ไม่มีการดำเนินการ

ตรวจพบโฟลเดอร์: 1 C: \ Documents and Settings \ Margaret \ Application Data \ ContentExplorer (PUP.Optional.ContentExplorer.A) -> ไม่มีการดำเนินการ

ตรวจพบไฟล์: 1 C: \ Documents และ Settings \ Margaret \ Application Data \ ContentExplorer \ RootCert.cer (PUP.Optional.ContentExplorer.A) -> ไม่มีการดำเนินการ

ฉันตรวจสอบกล่องเล็ก ๆ เพื่อกำจัดรายการ แต่ก่อนอื่นฉันดูไฟล์ "RootCert.cer" มันเป็นใบรับรอง "DO_NOT_TRUST_FiddlerRoot"

ฉันหวังว่าฉันสามารถช่วยคุณระบุโปรแกรมที่เป็นสาเหตุของการเตือน CE_UmbrellaCert ของคุณได้โดยตรง แต่ฉันสงสัยว่าคุณต้องติดตั้งบางอย่างโดยเจตนาหรือไม่ตั้งใจหรืออัปเกรดบางอย่างก่อนที่จะได้รับป๊อปอัปเตือน นั่นคือโปรแกรมผู้ร้าย Add-on หรืออัปเดตที่คุณพยายามระบุ

คุณได้ลองใช้การสแกนระบบทั้งหมดด้วย Malware Bytes เวอร์ชั่นล่าสุดหรือไม่? มันน่าสนใจที่จะดูว่าคุณพบรายการรีจิสตรีและไฟล์ RootCert.cer ในระบบของคุณหรือไม่

มาร์คแอนโทนี
แหล่งที่มา
ไม่ใช่คอมพิวเตอร์ของฉันและฉันไม่มีสิทธิ์เข้าถึง (มีการเข้าถึงในท้องถิ่นน้อยกว่า) แต่ฉันจะส่งต่อความคิดเห็นของคุณและดูว่ามีอะไรเกิดขึ้นบ้าง
R ..
@Marc Antony ฉันยังพบใบรับรอง "DO_NOT_TRUST_FiddlerRoot" บนระบบภรรยาของฉันหลังจากติดตั้งซอฟต์แวร์ให้เธอเห็นพฤติกรรมแปลก ๆ ในเบราว์เซอร์บนระบบของเธอจากนั้นแสดงใบรับรองหลักนั้น Fiddlerเป็นซอฟต์แวร์พร็อกซีเซิร์ฟเวอร์ที่มีประโยชน์สำหรับการแก้ปัญหาการรับส่งข้อมูลทางเว็บ แต่ในกรณีนี้ฉันพบว่าแอดแวร์กำลังใช้ใบรับรองเพื่อตั้งค่าตัวเองเป็นสายลับMITMบนระบบ
moonpoint
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.