Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Сайты, попавшие в список заблокированных

[ Закрыто ] Помогите обнаружить угрозу! , Помогите обнаружить угрозу на сайте

1
RSS
 
9922
9922
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 04.09.2012
Размещено 04.09.2012 23:48:08
В общем дело такое есть сайт wowtut.ru, я администратор этого сайта. Недавно узнал что, сайт блокируется антивирусом. Долгая переписка с службой поддержки результатов не дала. Смог узнать только это:

Цитата
Сайт содержит угрозу Win32/Hoax.ArchSMS.HL и останется заблокирован. Вам необходимо устранить угрозу с Вашего сайта. Затем проверить контент. После чего составьте обращение заново.

Я потерял уже всякую надежду найти вирус. Я скачал сайт себе на комп, проверил нодом. Всё чисто, нод молчит. Это не удивительно, на сервер сайта загружать файлы я не разрешаю пользователям. Опять долгая переписка с службой поддержки, в попытках узнать где находится угроза, результатов не дала. Получил такой ответ:

Цитата
Предоставление владельцу точного местонахождения одного типа вредоносных программ не решает проблемы зараженного сервера.
В случае, если сайт заражен более чем одной инфекцией, только владелец / администратор может выполнять надлежащую очистку.

На сайте все материалы оформлены ссылками на различные файлообменники. Пользователи постоянно выкладывают различные, новые материалы. За несколько лет скопилось несколько тысяч различных страниц с материалами. В такой ситуации проверить в ручную весь контент, просто нереально. Или реально, если потратить несколько месяцев или лет ((.

Помогите мне найти угрозу Win32/Hoax.ArchSMS.HL и что это вообще такое? Повторюсь на сервер файлы не закачиваем, проверил внутренности сайта, тоже чисты. Я в отчаянье, помогите найти вирус. Интересует вот что! А закономерно блокировать сайт, если его страницы чисты, на сервере нет зараженных файлов, картинок и т. п?
 
ТРК55
ТРК55
Пользователь
Сообщений: 83
Баллов: 66
Регистрация: 21.06.2012
Размещено 05.09.2012 12:57:12
Trojan.ArchSMS.Win32.63 – представитель семейства вредоносных программ, вымогающих деньги за установку скачанного пользователем приложения.

Данная программа не выполняют деструктивных действий на компьютере. Цель злоумышленников, использующих это программное обеспечение, заключается в вымогательстве денег у пользователя за установку различного популярного ПО.
 
9922
9922
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 04.09.2012
Размещено 05.09.2012 13:28:30
Ну и как его обнаружить, если нет прямого доступа к файлообменникам?!
 
Валентин
Валентин
Администратор
Сообщений: 5198
Баллов: 4168
Регистрация: 12.05.2010
Размещено 06.09.2012 09:39:29
Просмотрел Ваш сайт, похоже, что большинство ссылок прямые, а не на файлообменники. Не могли бы Вы назвать номер обращения в техподдержку?
ESET Technical Support
 
9922
9922
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 04.09.2012
Размещено 06.09.2012 12:48:43
Обращение номер 679170, прямые ссылки - это ссылки на аддоны wow. Они безопасны, проверил антивирусом nod 32. Я весь сайт проверил антивирусом, заразы не нашёл. Просто хочу знать за что именно блокируют и где искать заразу. С моими возможностями я не вижу другого способа как просить помощи у вас.
 
9922
9922
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 04.09.2012
Размещено 06.09.2012 12:51:22
Также были и другие обращения в тех поддержку нод 32. Обращения под номерами № 679274, № 679306, № 680633
 
9922
9922
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 04.09.2012
Размещено 07.09.2012 16:50:47
Нашёл наконец-то \_ld\13\1366_859_quicktrack_.zip = ZIP = QuickTrack Bot.exe - Win32/Hoax.ArchSMS.HL приложение (долго не мог найти, гада) и ещё нашёл вот это: \downloads\Raid_Mods\AMulti_rev7__3.3.3a_.zip = ZIP = AInjector.exe - вероятно модифицированный Win32/Agent.JUJYZFP троянская программа

В общем я всё удалил, в месте с материалом к этим файлам, а модератора, который выложил эти файлы, забанил. Всем спасибо, надеюсь на оперативные действия с вашей стороны.
 
Валентин
Валентин
Администратор
Сообщений: 5198
Баллов: 4168
Регистрация: 12.05.2010
Размещено 10.09.2012 12:27:40
Хорошо, информацию передал ответственному по вашему обращению.
ESET Technical Support
 
1
Читают тему