Vraag & Antwoord
kaspersky geeft trojanalarm bij postbank
30 antwoorden
- Als ik naar de site van de postbank ga gaat virusscanner piepen en geeft onderstaande waarschuwing.
gedetecteerd: trojan Trojan-Spy.HTML.Fraud.gen (modification) Pagina: http://plaatje.postbank.nl:80/servlet/ajrotator/48/0/viewHTML?zone=2&channel=867&dim=34
Ik gebruik Firefox. Nu aarzel ik, zit er iets op mijn computer of is de site van de postbank omgeleid?
(of is het misschien toch vals alarm?)
Graag suggesties! - Voor alle zekerheid mijn logje:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:20:07, on 20-3-2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Ahead\InCD\InCDsrv.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
D:\WINDOWS\system32\hphmon03.exe
D:\Program Files\Ahead\InCD\InCD.exe
D:\Program Files\USBToolbox\ResModify.EXE
D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
D:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
D:\Program Files\JustWrite Office\ScreenMark.exe
D:\WINDOWS\system32\ctfmon.exe
D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0P1.EXE
D:\Program Files\Messenger\msmsgs.exe
D:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
D:\WINDOWS\system32\ssoftsrv.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\Pen_Tablet.exe
D:\WINDOWS\system32\WTablet\Pen_TabletUser.exe
D:\WINDOWS\system32\Pen_Tablet.exe
D:\WINDOWS\system32\HPHipm09.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\ICQ\icq.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
N3 - Netscape 7: user_pref("browser.startup.homepage", "http://www.startpagina.nl/"; (D:\Documents and Settings\JORIS\Application Data\Mozilla\Profiles\default\b5u0cs9z.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://D%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CSBWeb_01.src"; (D:\Documents and Settings\JORIS\Application Data\Mozilla\Profiles\default\b5u0cs9z.slt\prefs.js)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [HPHmon03] D:\WINDOWS\system32\hphmon03.exe
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] D:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [EPSON PictureMate] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0P1.EXE /P17 "EPSON PictureMate" /O6 "USB001" /M "PictureMate"
O4 - HKLM\..\Run: [EPSON PictureMate (Kopie 1)] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0P1.EXE /P27 "EPSON PictureMate (Kopie 1)" /O5 "LPT1:" /M "PictureMate"
O4 - HKLM\..\Run: [ResModify] D:\Program Files\USBToolbox\ResModify.EXE
O4 - HKLM\..\Run: [NVMixerTray] "D:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [StartCCC] "D:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [AVP] "D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [JWOSetup] JWOSetup.exe -en
O4 - HKLM\..\Run: [SMKRun] D:\Program Files\JustWrite Office\ScreenMark.exe -i
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON PictureMate] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0P1.EXE /P17 "EPSON PictureMate" /M "PictureMate" /EF "HKCU"
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Lokale service')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Netwerkservice')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Toevoegen aan Anti-Banner - D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: Anti-Virus voor internet statistieken - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1201293179253
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5223/mcfscan.cab
O20 - AppInit_DLLs: D:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: CardBusService - Unknown owner - D:\Program Files\Common Files\AVerMedia\Service\CardBusService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - D:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Pml Driver - HP - D:\WINDOWS\system32\HPHipm09.exe
O23 - Service: Cryptainer service (ssoftservice) - Cypherix - D:\WINDOWS\SYSTEM32\ssoftsrv.exe
O23 - Service: TabletServicePen - Wacom Technology, Corp. - D:\WINDOWS\system32\Pen_Tablet.exe
–
End of file - 6604 bytes - en als ik op je hyperlink klik krijg ik http://plaatje.postbank.nl/servlet/ajrotator/48/0/viewHTML?zone=2&channel=867&dim=34
- plaatje.postbank.nl?????????
Nooit tegengekomen. Bij mij is de link in mijn favorieten gewoon postbank.nl. Weliswaar plaatst de Postbank er daarna een hele reeks van hieroglieven achter, maar nergens "plaatje".
Ik heb niet op de link geklikt in de startpost, omdat ik niet weet welke ongein ik daarmee binnenhaal. - en dan zie ik:
[img:bbbcabe223]http://i25.tinypic.com/21k9mkp.jpg[/img:bbbcabe223]
rara - @ jorte
Download [b:52521fa4cf] op je bureaublad.
Dubbelklik [b:52521fa4cf]mbam-setup.exe[/b:52521fa4cf] en kies voor "[b:52521fa4cf]Next[/b:52521fa4cf]" om de tool te installeren.
Als de installatie voltooid is zet je vinkjes bij "[b:52521fa4cf]Update MalwareBytes' Anti-Malware[/b:52521fa4cf]" en bij "[b:52521fa4cf]Launch MalwareBytes' Anti-Malware[/b:52521fa4cf]".
Druk daarna op "[b:52521fa4cf]Finish[/b:52521fa4cf]".
Kies in het hoofdscherm voor de tab "[b:52521fa4cf]Scanner[/b:52521fa4cf]" en selecteer het keuzerondje "[b:52521fa4cf]Perform full scan[/b:52521fa4cf]".
Druk op de knop "[b:52521fa4cf]Scan[/b:52521fa4cf]" en zorg dat al je harde schijven/partities aangevinkt staan.
Druk dan op de knop "[b:52521fa4cf]Start Scan[/b:52521fa4cf]".
Wanneer de scan voltooid is klik je op OK, daarna op "[b:52521fa4cf]Show Results[/b:52521fa4cf]" om de resultaten te zien.
Zorg ervoor dat alles aangevinkt is, klik daarna op "[b:52521fa4cf]Remove Selected[/b:52521fa4cf]".
Als het programma je computer wil laten herstarten, sta je dit toe.
Daarna opent een logje(mbam-log-XX-XX-XXXX(xx-xx-xx).txt)
Post deze log in je volgende bericht.
succes - Je komt vast op een phishing site…. zo heet de echte Postbank site echt niet…. en daarom slaat het alarm af.
De vraag is dus verkeerd gesteld, je bent juist besmet door een NIET-Posbank zaakje…. - [quote:f152720ef8="juisterr"]@ J. de boer
Download [b:f152720ef8] op je bureaublad.
Dubbelklik [b:f152720ef8]mbam-setup.exe[/b:f152720ef8] en kies voor "[b:f152720ef8]Next[/b:f152720ef8]" om de tool te installeren.
Als de installatie voltooid is zet je vinkjes bij "[b:f152720ef8]Update MalwareBytes' Anti-Malware[/b:f152720ef8]" en bij "[b:f152720ef8]Launch MalwareBytes' Anti-Malware[/b:f152720ef8]".
Druk daarna op "[b:f152720ef8]Finish[/b:f152720ef8]".
Kies in het hoofdscherm voor de tab "[b:f152720ef8]Scanner[/b:f152720ef8]" en selecteer het keuzerondje "[b:f152720ef8]Perform full scan[/b:f152720ef8]".
Druk op de knop "[b:f152720ef8]Scan[/b:f152720ef8]" en zorg dat al je harde schijven/partities aangevinkt staan.
Druk dan op de knop "[b:f152720ef8]Start Scan[/b:f152720ef8]".
Wanneer de scan voltooid is klik je op OK, daarna op "[b:f152720ef8]Show Results[/b:f152720ef8]" om de resultaten te zien.
Zorg ervoor dat alles aangevinkt is, klik daarna op "[b:f152720ef8]Remove Selected[/b:f152720ef8]".
Als het programma je computer wil laten herstarten, sta je dit toe.
Daarna opent een logje(mbam-log-XX-XX-XXXX(xx-xx-xx).txt)
Post deze log in je volgende bericht.
succes[/quote:f152720ef8]Sorry, ik snap niet helemaal waarom dit advies aan mij is gericht. Ik heb geen problemen, en berichtte hier ook niet over. Ik vermoed dit je het aan TS had bedoeld. - Zelfde plaatje:
http://www.postbank.nl/vgn/images/portal/cit_764/16/55/7872617594552_HPBP_woonactie2_ani.gif
niks aan de hand, dit is een valse positieve volgens mij. - [quote:0a4d8b7cc5]Sorry, ik snap niet helemaal waarom dit advies aan mij is gericht. Ik heb geen problemen, en berichtte hier ook niet over. Ik vermoed dit je het aan TS had bedoeld.[/quote:0a4d8b7cc5]
foutje bedankt :wink: - [quote:1edfc03b57="juisterr"]Zelfde plaatje:
http://www.postbank.nl/vgn/images/portal/cit_764/16/55/7872617594552_HPBP_woonactie2_ani.gif
niks aan de hand, dit is een valse positieve volgens mij.[/quote:1edfc03b57]echt phishing, precies nabouwen noemen ze dat …… - @ juisterr
Als ik naar die downloadsite probeer te gaan (Download Malwarebytes' Anti-Malware op je bureaublad. ) kom ik op een blanco pagina.
Via http://www.besttechie.net/tools/mbam-setup.exe heb ik het nu en ga straks proberen. - als je zo weinig verstand er van hebt, je kunt niet overal verstand van hebben, rest mi maar 1 ding: formatteer je schijf en huil uit en begin met een schone lei.
Met zo'n "twijfelachtige" pc wil je niet internet bankieren…. - ik snap die twijfel ook totaal niet…. dat eertse webadres alleen al is zo afwijkend van mijnpostbank… kappen die handel en schoonmaken, desnoods formastteren zoals ik al schreef, zeker als je er verder geen verstand van hebt hoe je cleanen moet.
Waarom zou je enig risico willen lopen…. tenzij je graag van je centen af wilt op deze manier…
Het lijkt wel of ze het eerst een keer mee willen maken…… om vervolgens te klagen bij de postbank? - Onderstaand de combofix
ComboFix 08-03-22.3 - Joris 2008-03-23 14:48:02.1 - - Dit is het logje, nix ontdekt. Ik ging toen Kasper alarm gaf naar de postbank via de link in de "Startpagina". Zouden ze die link kunnen omleiden? (ik ben niet zo technisch zoals je ziet).
Malwarebytes' Anti-Malware 1.09
Database versie: 521
Scan type: Volledige Scan (C:\|D:\|G:\|H:\|I:\|N:\|)
Objecten gescand: 161575
Verstreken tijd: 51 minute(s), 26 second(s)
Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 0
Registerwaarden geïnfecteerd: 0
Registerdata bestanden geïnfecteerd: 0
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 0
Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Registersleutels geïnfecteerd:
(Geen kwaadaardige items gevonden)
Registerwaarden geïnfecteerd:
(Geen kwaadaardige items gevonden)
Registerdata bestanden geïnfecteerd:
(Geen kwaadaardige items gevonden)
Mappen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Bestanden geïnfecteerd:
(Geen kwaadaardige items gevonden) - ze hebben je startpagina gekaapt….
ga naar internet explorer en dan via het menu naar extra- internet opties en pas daar de start pagina aan.
Heb je er dan nog steeds last van… dan zul je een grotere schoonmaak moeteen uitvoeren, bijv met
spyware doctor
spybot
ad aware
cwshredder
Malwarebytes’ Anti-Malware
Installeer en gebruik ze een voor een…..
in Hitman Pro (HP) zitten een aantal van deze tools, maar HP heeft ook nadelen. - Wat wel even nog toegevoegd kan worden is het volgende:
Zoals wellicht velen ruim ik heel regelmatig mijn cookies op, zo ook vanavond. Wie schetst mijn verbazing dit hier wel een plaatje.postbank.nl tussen stond. Voor de zekerheid ook even op de PC van mijn vrouw gekeken (dat mag ik zomaar :wink: ) en ook daar het zelfde. En na wissen er van verschijnt het na opnieuw inloggen bij de Postbank prompt weer. Maar nogmaals in een URL heb ik het nooit gezien en het hoort er in mijn ogen ook niet in. - @ Andre
Ik denk niet dat mijn startpagina is gekaapt (maar misschien heb ik ongelijk). Ik heb Kasper als virusscanner, ik scan ook regelmatig met adaware en spybot. Nu net heb ik met malwarebytes een scan gedaan en zo te zien is er nix. Misschien is de wens de vader van de gedachte, maar het lijkt er op dat dat het extern was. Kasper sloeg alarm toen er van buiten iets wilde indringen (is mijn idee).
Ik heb eerder het idee dat de pagina van de postbank op een of andere manier was omgeleid, dus niet via malware op mijn pc, maar wellicht de link op de startpagina.
Om eerlijk te zijn weet ik het allemaal niet zo zeker, vandaar dat ik heel blij ben met al jullie suggesties. Better be safe than sorry heet dat…. - Sorry andre maar ik ben het niet met je eens, er is volgens het logje en de tool geen kaping geweest.
Volgens mij is er niks aan de hand.
Maar toch twijfel ik.
Ik krijg dit als ik het inlogscherm wil hebben.
[img:607588a171]http://img245.imageshack.us/img245/9923/postbankkx1.th.png[/img:607588a171]
"De Postbank raadt iedereen af om deze codes in te voeren en waarschuwt dat de bank NOOIT tijdens het inloggen zal vragen om tan-codes."
http://webwereld.nl/articles/48021/postbank-waarschuwt-voor–tan-codevirus-.html
http://gathering.tweakers.net/forum/list_messages/1128812
http://www.security.nl/article/17328/1/Twee-factor_authenticatie_kan_internetbankieren_niet_redden.html
Beantwoord deze vraag
Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.