Vraag & Antwoord

Beveiliging & privacy

kaspersky geeft trojanalarm bij postbank

Anoniem
jorte
30 antwoorden
  • [quote:9a17912bfd="juisterr"]Sorry andre maar ik ben het niet met je eens, er is volgens het logje en de tool geen kaping geweest.
    Volgens mij is er niks aan de hand.

    [b:9a17912bfd]Maar toch twijfel ik…..[/b:9a17912bfd][/quote:9a17912bfd]Dus…… juist :wink:
  • Ja juist, ik twijfel.

    @jorte


    Volg de instructies zoals beschreven op de volgende pagina: hoe-dient-combofix-gebruikt-te-worden

    Gebruik je Vista, dan hoeft de Recovery Console niet te worden geinstalleerd.
    Is er iets niet duidelijk, dan vraag je het.
    Als het tooltje klaar is, opent er een logfile (C:\combofix.txt).
    Post de inhoud van dit bestandje samen met een nieuwe hijackthislog.
  • [quote:82b4a97dac="juisterr"]Sorry andre maar ik ben het niet met je eens, er is volgens het logje en de tool geen kaping geweest.
    Volgens mij is er niks aan de hand.

    Maar toch twijfel ik.

    Ik krijg dit als ik het inlogscherm wil hebben.

    [img:82b4a97dac]http://img245.imageshack.us/img245/9923/postbankkx1.th.png[/img:82b4a97dac]

    "De Postbank raadt iedereen af om deze codes in te voeren en waarschuwt dat de bank NOOIT tijdens het inloggen zal vragen om tan-codes."

    http://webwereld.nl/articles/48021/postbank-waarschuwt-voor–tan-codevirus-.html


    http://gathering.tweakers.net/forum/list_messages/1128812

    http://www.security.nl/article/17328/1/Twee-factor_authenticatie_kan_internetbankieren_niet_redden.html[/quote:82b4a97dac]
    Alleen één van deze links al: [i:82b4a97dac]"Zowat wedder zekerheid voor wisselborchtocht, [/i:82b4a97dac]" en verdere volstrekt onbegrijpelijke brabbeltaal van iemand die duidelijk uit een vreemd ver land komt.
    Wie trapt daar nou in! Nogmaals, ze bestelen je niet zomaar, je moet zelf wel met wijd open ogen in de val lopen, wil zo'n stuk crimineel succes hebben. Nogmaals, ze ontfutselen niets van de bank, maar van [i:82b4a97dac]buitensporig[/i:82b4a97dac] onoplettende klanten. Naar mijn idee is daar geen kruid tegen gewassen.
  • Nou ik ga ook af natuurlijk op de gegevens die ik krijg via het Hijack log en de tool, vandaar dat ik nu verder wil kijken en de combofix aanbied.

    Ik moet toegeven het is verdacht, maar zolang je niks invult is er niks aan de hand.

    Eerst even kijken wat combofix onthult.
  • En hier de Hijack log
    Even voor de helderheid, ik was niet ingelogd bij de postbank (met wachtwoord e.d.), maar gewoon op de startpagina van de postbank. Toen gaf Kasper alarm.

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 15:02:15, on 23-3-2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\Ati2evxx.exe
    D:\WINDOWS\system32\svchost.exe
    D:\Program Files\Windows Defender\MsMpEng.exe
    D:\WINDOWS\System32\svchost.exe
    D:\Program Files\Ahead\InCD\InCDsrv.exe
    D:\WINDOWS\system32\Ati2evxx.exe
    D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    D:\WINDOWS\system32\spoolsv.exe
    D:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
    D:\WINDOWS\system32\hphmon03.exe
    D:\Program Files\Ahead\InCD\InCD.exe
    D:\Program Files\USBToolbox\ResModify.EXE
    D:\Program Files\JustWrite Office\ScreenMark.exe
    D:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
    D:\WINDOWS\system32\ctfmon.exe
    D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0P1.EXE
    D:\Program Files\Messenger\msmsgs.exe
    D:\WINDOWS\system32\ssoftsrv.exe
    D:\WINDOWS\System32\svchost.exe
    D:\WINDOWS\system32\Pen_Tablet.exe
    D:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
    D:\WINDOWS\system32\WTablet\Pen_TabletUser.exe
    D:\WINDOWS\system32\Pen_Tablet.exe
    D:\WINDOWS\system32\HPHipm09.exe
    D:\WINDOWS\System32\svchost.exe
    D:\WINDOWS\explorer.exe
    D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
    D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
    D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    N3 - Netscape 7: user_pref("browser.startup.homepage", "http://www.startpagina.nl/";); (D:\Documents and Settings\JORIS\Application Data\Mozilla\Profiles\default\b5u0cs9z.slt\prefs.js)
    N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://D%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CSBWeb_01.src";); (D:\Documents and Settings\JORIS\Application Data\Mozilla\Profiles\default\b5u0cs9z.slt\prefs.js)
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
    O4 - HKLM\..\Run: [HPHmon03] D:\WINDOWS\system32\hphmon03.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [InCD] D:\Program Files\Ahead\InCD\InCD.exe
    O4 - HKLM\..\Run: [EPSON PictureMate] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0P1.EXE /P17 "EPSON PictureMate" /O6 "USB001" /M "PictureMate"
    O4 - HKLM\..\Run: [EPSON PictureMate (Kopie 1)] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0P1.EXE /P27 "EPSON PictureMate (Kopie 1)" /O5 "LPT1:" /M "PictureMate"
    O4 - HKLM\..\Run: [ResModify] D:\Program Files\USBToolbox\ResModify.EXE
    O4 - HKLM\..\Run: [NVMixerTray] "D:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
    O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
    O4 - HKLM\..\Run: [StartCCC] "D:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
    O4 - HKLM\..\Run: [AVP] "D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
    O4 - HKLM\..\Run: [JWOSetup] JWOSetup.exe -en
    O4 - HKLM\..\Run: [SMKRun] D:\Program Files\JustWrite Office\ScreenMark.exe -i
    O4 - HKLM\..\Run: [Windows Defender] "D:\Program Files\Windows Defender\MSASCui.exe" -hide
    O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [EPSON PictureMate] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0P1.EXE /P17 "EPSON PictureMate" /M "PictureMate" /EF "HKCU"
    O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Lokale service')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Netwerkservice')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Toevoegen aan Anti-Banner - D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
    O9 - Extra button: Anti-Virus voor internet statistieken - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1201293179253
    O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
    O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5223/mcfscan.cab
    O20 - AppInit_DLLs: D:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
    O23 - Service: CardBusService - Unknown owner - D:\Program Files\Common Files\AVerMedia\Service\CardBusService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - D:\Program Files\Ahead\InCD\InCDsrv.exe
    O23 - Service: Pml Driver - HP - D:\WINDOWS\system32\HPHipm09.exe
    O23 - Service: Cryptainer service (ssoftservice) - Cypherix - D:\WINDOWS\SYSTEM32\ssoftsrv.exe
    O23 - Service: TabletServicePen - Wacom Technology, Corp. - D:\WINDOWS\system32\Pen_Tablet.exe


    End of file - 7015 bytes
  • gewoon deze >?

    http://www.postbank.nl/ing/pp/page/home/0,2809,1859_103763,00.html

    https://mijn.postbank.nl/internetbankieren/SesamLoginServlet

    http://www.postbank.nl/ing/pp/page/promotion/detail/0,2847,1859_783619610_783619685,00.html?linktype=int&furl=4552_HPBP_inboedelscan_2&ref=http://plaatje.postbank.nl/servlet/ajrotator/48/0/viewHTML?zone=2&channel=867&dim=34

    Je logjes zijn schoon , vooralsnog blijf ik bij mijn eerste mening.
  • [quote:8e2f6d78b0="f.j.stols"]en dan zie ik:
    [img:8e2f6d78b0]http://i25.tinypic.com/21k9mkp.jpg[/img:8e2f6d78b0]
    rara[/quote:8e2f6d78b0]

    klik eens op dat plaatje.
  • Ja die, maar ik ging toen naar de postbanksite via de link op de startpagina, niet via mijn eigen "favorieten".
    Als ik nu naar die pagina's ga doet Kasper nix. Blijkbaar was ie even alergisch voor de inboedelverzekering :)
    Heel erg bedankt voor al je moeite!
  • Prima.
  • [quote:141abdaf42="jorte"]Ja die, maar ik ging toen naar de postbanksite via de link op de startpagina, niet via mijn eigen "favorieten".
    Als ik nu naar die pagina's ga doet Kasper nix. Blijkbaar was ie even alergisch voor de inboedelverzekering :)
    Heel erg bedankt voor al je moeite![/quote:141abdaf42]dus die favoriete of startpagina was dus wel gekaapt… dat was een van mijn eerste indrukken al… lees maar terug.
    Als je dat meteen opgeruimd had…. was Kaspersky daarna al niet meer gaan piepen…. ALS de rest schoon zou zijn, en daar lijkt het op?

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.