Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Сайты, попавшие в список заблокированных

[ Закрыто ] Помогите обнаружить угрозу! , Помогите обнаружить угрозу на сайте

1
RSS
 
9922
9922
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 04.09.2012
Размещено 04.09.2012 23:48:08
В общем дело такое есть сайт wowtut.ru, я администратор этого сайта. Недавно узнал что, сайт блокируется антивирусом. Долгая переписка с службой поддержки результатов не дала. Смог узнать только это:

Цитата
Сайт содержит угрозу Win32/Hoax.ArchSMS.HL и останется заблокирован. Вам необходимо устранить угрозу с Вашего сайта. Затем проверить контент. После чего составьте обращение заново.

Я потерял уже всякую надежду найти вирус. Я скачал сайт себе на комп, проверил нодом. Всё чисто, нод молчит. Это не удивительно, на сервер сайта загружать файлы я не разрешаю пользователям. Опять долгая переписка с службой поддержки, в попытках узнать где находится угроза, результатов не дала. Получил такой ответ:

Цитата
Предоставление владельцу точного местонахождения одного типа вредоносных программ не решает проблемы зараженного сервера.
В случае, если сайт заражен более чем одной инфекцией, только владелец / администратор может выполнять надлежащую очистку.

На сайте все материалы оформлены ссылками на различные файлообменники. Пользователи постоянно выкладывают различные, новые материалы. За несколько лет скопилось несколько тысяч различных страниц с материалами. В такой ситуации проверить в ручную весь контент, просто нереально. Или реально, если потратить несколько месяцев или лет ((.

Помогите мне найти угрозу Win32/Hoax.ArchSMS.HL и что это вообще такое? Повторюсь на сервер файлы не закачиваем, проверил внутренности сайта, тоже чисты. Я в отчаянье, помогите найти вирус. Интересует вот что! А закономерно блокировать сайт, если его страницы чисты, на сервере нет зараженных файлов, картинок и т. п?
 
ТРК55
ТРК55
Пользователь
Сообщений: 83
Баллов: 66
Регистрация: 21.06.2012
Размещено 05.09.2012 12:57:12
Trojan.ArchSMS.Win32.63 – представитель семейства вредоносных программ, вымогающих деньги за установку скачанного пользователем приложения.

Данная программа не выполняют деструктивных действий на компьютере. Цель злоумышленников, использующих это программное обеспечение, заключается в вымогательстве денег у пользователя за установку различного популярного ПО.
 
9922
9922
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 04.09.2012
Размещено 05.09.2012 13:28:30
Ну и как его обнаружить, если нет прямого доступа к файлообменникам?!
 
Валентин
Валентин
Администратор
Сообщений: 5270
Баллов: 8441
Регистрация: 12.05.2010
Размещено 06.09.2012 09:39:29
Просмотрел Ваш сайт, похоже, что большинство ссылок прямые, а не на файлообменники. Не могли бы Вы назвать номер обращения в техподдержку?
ESET Technical Support
 
9922
9922
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 04.09.2012
Размещено 06.09.2012 12:48:43
Обращение номер 679170, прямые ссылки - это ссылки на аддоны wow. Они безопасны, проверил антивирусом nod 32. Я весь сайт проверил антивирусом, заразы не нашёл. Просто хочу знать за что именно блокируют и где искать заразу. С моими возможностями я не вижу другого способа как просить помощи у вас.
 
9922
9922
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 04.09.2012
Размещено 06.09.2012 12:51:22
Также были и другие обращения в тех поддержку нод 32. Обращения под номерами № 679274, № 679306, № 680633
 
9922
9922
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 04.09.2012
Размещено 07.09.2012 16:50:47
Нашёл наконец-то \_ld\13\1366_859_quicktrack_.zip = ZIP = QuickTrack Bot.exe - Win32/Hoax.ArchSMS.HL приложение (долго не мог найти, гада) и ещё нашёл вот это: \downloads\Raid_Mods\AMulti_rev7__3.3.3a_.zip = ZIP = AInjector.exe - вероятно модифицированный Win32/Agent.JUJYZFP троянская программа

В общем я всё удалил, в месте с материалом к этим файлам, а модератора, который выложил эти файлы, забанил. Всем спасибо, надеюсь на оперативные действия с вашей стороны.
 
Валентин
Валентин
Администратор
Сообщений: 5270
Баллов: 8441
Регистрация: 12.05.2010
Размещено 10.09.2012 12:27:40
Хорошо, информацию передал ответственному по вашему обращению.
ESET Technical Support
 
1
Читают тему