Avast False Positive on entire website (URL blocking)

[Ferds]

Hi there. I'm posting in English, hoping to have some quicker answer.

My domain is being blocked by Avast. Not any script, the entire URL.
So I deleted all files, images, etc. Just leave a new index.html saying 'hello world'.
The URL still being blocked by Avast.

Curious thing: there are 2 URL that points to the same web server:
hxxp://www.carpedien.org.br
hxxp://www.carpedien.com.br

The .org.br was used most of the time, and this one is being blocked.
The .com.br, rarely used, works fine. So, we can rest for sure that the website is clean, even why I have uploaded the full site again, and the site runs perfectly from my local webserver.
The site uses PHP + JS + MySQL. Not even flash.

The short line: Avast IS blocking my url .org (although I've seen other forum posts saying Avast doesn't read his own blacklist).

The One-Million-Dollar-Question: how can I remove my URL from Avast 6 internal blacklist?

The problem occurs only with Avast, only with 1 URL. There's no problem with the other URL point to the same webserver/same webfolder. There's no problem with the website running from my local webserver. So: the scripts are clean (tested by Avast, manually reviewed by me).

Waiting for an answer ASAP, since the main URL is being blocked and reported as infected for many many users. Thanks in advance.

Fernando.

[Asyn]

The One-Million-Dollar-Question: how can I remove my URL from Avast 6 internal blacklist?

You can report a FP here: http://www.avast.com/contact-form.php?loadStyles

[Ferds]

Hi there. Before posting on forum I had wrote to Avast using the form/link you submitted.
Of course I've selected "report false positive on website" from the combo box about topics.
Anyway, I've just wrote again.

Still have no lucky by now. The .COM url works perfectly fine, the .ORG url still being blocked.

If is there any way to say it again to Avast guys, please let me know. It's been ten long days since the domain started being reported. Thanks!

[Asyn]

Report    2011-08-26 12:53:51 (GMT 1)
Website    carpedien.org.br
Domain Hash    e342d63da198e9aad75e823c6136b96e
IP Address    187.45.240.33 [SCAN]
IP Hostname    hm5393.locaweb.com.br
IP Country    BR (Brazil)
AS Number    27715
AS Name    LocaWeb Ltda
Detections    4 / 23 (17 %)
Status    DANGEROUS

[Ferds]

And then again, after exactly 2 years from my last post, the exact same problem returns.
Out of the blue.

Avast starts screaming against the more usual domain (wxw.carpedien.org.br).
But there's no alert when accessing wxw.carpedien.com.br - which is exactly the same site, in the same webserver, just another DNS entry pointing to the same place.

It seems, somehow, connected to a well-known TinyMCE plugin which uploads images and links them inline in a text block. Some like to "lorem ipsum <img src=dolor.jpg> sit amen". In the pages where the images are displayed inline the text frames, these pages seems to bother Avast and trigger that freaking red shield, and from there, the entire site starts to report false positive.

Is there anything I could do? Anything I could look for and rewrite, that is known to trigger the false positives?
Or I just keeping reporting FPs?

Thanks!

[Ferds]

Olhando agora o painel, vi que as postagens neste quadro estão todas em português.
Devo colocar minhas próximas postagens em português também?

[jefferson sant]

Olhando agora o painel, vi que as postagens neste quadro estão todas em português.
Devo colocar minhas próximas postagens em português também?

ele não pode responder,pois ele fala inglês e Alemão
não há nenhum alerta do avast em seu site

[Ferds]

O alerta do AVAST aparece em páginas específicas.
Como eu disse, isso acontece quando insiro uma imagem (usando a tag HTML padrão) no meio de um texto.
Essas áreas são exclusivas para usuários, protegidas com login e senha.

Se houver uma forma de eu lhe enviar um login e senha por mensagem particular, crio uma conta para você.

Desta vez, de fato, o AVAST não está bloqueando o domínio inteiro, só algumas páginas.
Mas, novamente, se eu abro o domínio com .com.br  o problema não acontece. Só quando eu abro via .org.br

Grato.

[jefferson sant]

Se houver uma forma de eu lhe enviar um login e senha por mensagem particular, crio uma conta para você.

Desta vez, de fato, o AVAST não está bloqueando o domínio inteiro, só algumas páginas.
Mas, novamente, se eu abro o domínio com .com.br  o problema não acontece. Só quando eu abro via .org.br

Grato.

Por favor. Envie uma mensagem pessoal, eu responderei assim que tiver disponível,
poderia tirar uma captura do alerta da detecção do avast.

[Ferds]

Agora ficou mais misterioso: o Avast bloqueia qualquer imagem na url http://wxw.carpedien.org.br/images
No navegador aparece um ícone de link quebrado, mas não aparece o alerta.

Estou alterando os scripts dessas páginas e reescrevendo a URL das imagens para http://wxw.carpedien.com.br/images
ou seja, trocando .ORG por .COM - e daí tudo está voltando a funcionar.

Eu abri um chamado para alerta de falso positivo, mas você teria como confirmar se o endereço wxw.carpedien.org.br/images não consta em alguma lista de bloqueio?

Obrigado pelas rápidas respostas.

[jefferson sant]

sim. está listado IP na blacklist

MyWOT

MalwareDomainList

malwareblacklist


http://www.ipvoid.com/scan/187.45.240.33/

http://www.urlvoid.com/scan/carpedien.org.br/

http://safeweb.norton.com/report/show?url=carpedien.org.br

http://sitecheck.sucuri.net/results/www.carpedien.org.br/images

Reportando para o analista

[Felipecss]

Olá, o avast identifica meu site, wxw.shieldrugby.com.br com um falso positivo, já verifiquei com o servidor que faz todos os testes e não identifica virus algum, vocês poderiam por favor liberar meu site. Meus clientes não conseguem acessar o site!!!

Agradeço,

Att,

Felipe Claro
Shield Rugby

[Ferds]

Caro Jefferson, obrigado pelas explicações.
Dei uma olhada rápida nos links, mas eles não são muito claros sobre como remover o domínio da lista.
Eu removi o diretório xxx.org.br/images, entendo que o próximo passo é pedir uma nova verificação e remoção.

O Avast tem uma blacklist própria da qual eu deva ser removido?
Ontem pela manhã (antes de postar aqui no fórum) eu já havia preenchido o formulário do Avast informando falso positivo e pedindo minha remoção.
Essa ação foi suficiente?

Obrigado.

sim. está listado IP na blacklist

MyWOT

MalwareDomainList

malwareblacklist


http://www.ipvoid.com/scan/187.45.240.33/

http://www.urlvoid.com/scan/carpedien.org.br/

http://safeweb.norton.com/report/show?url=carpedien.org.br

http://sitecheck.sucuri.net/results/www.carpedien.org.br/images

Reportando para o analista

[jefferson sant]

Ontem pela manhã (antes de postar aqui no fórum) eu já havia preenchido o formulário do Avast informando falso positivo e pedindo minha remoção.
Essa ação foi suficiente?

Obrigado.

aguarde até sexta-feira 06/09/13 ,se não resolver durante este periodo.vou reportar novamente ao analista de virus,
não recebi nenhuma resposta ainda.

[jefferson sant]

Olá, o avast identifica meu site, wxw.shieldrugby.com.br com um falso positivo, já verifiquei com o servidor que faz todos os testes e não identifica virus algum, vocês poderiam por favor liberar meu site. Meus clientes não conseguem acessar o site!!!

Agradeço,

Att,

Felipe Claro
Shield Rugby

Por favor, "modificar" o seu post mudar a URL de http para hxxp
para que nenhum usuario clique acidentalmente.

É mesmo identifiquei um possivel  dominio malicioso ou iframe.

hxxp://rwoliveira.com.br
existe uma pasta  chamada MultaID=STP2013BR2201.zip?

http://zulu.zscaler.com/submission/show/2cef758f41f5d93bfa4207c5b2c1ba28-1378263423

http://urlquery.net/report.php?id=5229067

http://www.urlvoid.com/scan/shieldrugby.com.br/

http://sitecheck.sucuri.net/results/www.shieldrugby.com.br

http://www.siteadvisor.com/sites/rwoliveira.com.br

https://www.virustotal.com/pt/file/8f40d4b9f6bdd8d24bbe83c0d4b8aa7a5095eeef34781e64e298dc0ca9d74eb5/analysis/

http://urlquery.net/report.php?id=4937613