Postbank virus dat om TAN codes vraagt - Privacy en beveiliging

maandag 23 juli 2007 01:52

Acties:

0 Henk 'm!

Topicstarter

beste tweakers,

een vriend van mij is besmet met het Postbank virus: Trojan-PSW.Win32.Agent.ew. (Windows XP SP2 met bitdefender geinstalleerd inc. de laatste updates) Dit virus vraagt na inlog bij mijnpostbank.nl om 10 verschillende TAN codes, omdat dit vereist zou zijn voor de postbank (dit is overig in verdomd slecht nederlands geschreven

). Na wat onderzoek op internet vond ik op een website wat meer informatie:

Nu is het een Trojaans paard dat gevoelige informatie van de online-bankierders probeert te stelen. Het Trojaans paard Goldun.K (ook Hearse en in de laatste reincarnatie Trojan-PSW.Win32.Agent.ew genoemd) maakt gebruik van een rootkit om zich te verbergen.

Het volgende heb ik gedaan: full system scan met bitdefender, online scan via kaspersky, online scan via mcafee en geen van alleen hebben het virus kunnen verwijderen cq identificieren. De online scanner van Kaspersky gaf een aantal files aan die waren gelockt maar daar zat het volgens mij niet tussen. Ook wordt er op de virus databases bij Kaspersky niets over het virus gezegd omdat het schijnbaar nog niet is bijgewerkt. Aangezien ik een beetje door mijn opties heen ben wil ik jullie graag om hulp vragen!

maandag 23 juli 2007 02:06

Acties:

0 Henk 'm!

Snake

Los Angeles, CA, USA

Gelijk hier ergens in de FAQ staat, met een rootkit ben je NOOIT zeker.

Formateren die hap! Enige alles-uitsluitende optie!

Going for adventure, lots of sun and a convertible! | GMT-8

maandag 23 juli 2007 14:29

Acties:

0 Henk 'm!

Verwijderd

Snake schreef op maandag 23 juli 2007 @ 02:06:
Gelijk hier ergens in de FAQ staat, met een rootkit ben je NOOIT zeker.

Wie zegt dat er sprake is van een rootkit?

Groentenman schreef op maandag 23 juli 2007 @ 01:52:
een vriend van mij is besmet met het Postbank virus: Trojan-PSW.Win32.Agent.ew. (Windows XP SP2 met bitdefender geinstalleerd inc. de laatste updates) Dit virus vraagt na inlog bij mijnpostbank.nl om 10 verschillende TAN codes, omdat dit vereist zou zijn voor de postbank (dit is overig in verdomd slecht nederlands geschreven ). Na wat onderzoek op internet vond ik op een website wat meer informatie

De 'officiële' benaming voor deze malwarefamilie is Sinowal of Torpig.
In een windows directory zul je zéér waarschijnlijk ibm[cijfers].dll bestanden vinden - vind de directory en stuur de betreffende bestanden eens naar virus@kaspersky.nl svp.
Vergeet niet het zoeken naar verborgen/systeem bestanden aan te zetten.

maandag 23 juli 2007 14:35

Acties:

0 Henk 'm!

Jiriki

Verwijderd schreef op maandag 23 juli 2007 @ 14:29:
Wie zegt dat er sprake is van een rootkit?

Groentenman in "Postbank virus dat om TAN codes vraagt":Het Trojaans paard Goldun.K (ook Hearse en in de laatste reincarnatie Trojan-PSW.Win32.Agent.ew genoemd) maakt gebruik van een rootkit om zich te verbergen.

De TS zelf dus

Is er al bekend wat de Postbank doet hiermee? Of met mensen die wel hun TAN codes weggegeven hebben?

"Yes," said the skull. "Quit while you're a head, that's what I say." -- (Terry Pratchett, Soul Music)

maandag 23 juli 2007 14:43

Acties:

0 Henk 'm!

frickY

Weet overigens wel dat ze je logingegevens al hebben, en dus volledige inzage in je account.
De TAN-codes zijn ht enige wat ze nog weghoud van overboekingen.

maandag 23 juli 2007 14:45

Acties:

0 Henk 'm!

Verwijderd

Jiriki schreef op maandag 23 juli 2007 @ 14:35:
[...]

De TS zelf dus

Ah.

Had er niet zo op gelet omdat die info incorrect is - Sinowal heeft geen rootkit functionaliteiten.

Is er al bekend wat de Postbank doet hiermee? Of met mensen die wel hun TAN codes weggegeven hebben?

Je kan contact opnemen met de klantenservice afaik.

maandag 23 juli 2007 18:29

Acties:

0 Henk 'm!

Groentenman

Topicstarter

frickY schreef op maandag 23 juli 2007 @ 14:43:
Weet overigens wel dat ze je logingegevens al hebben, en dus volledige inzage in je account.
De TAN-codes zijn ht enige wat ze nog weghoud van overboekingen.

de account is al compleet gewijzigd op een andere pc dus daar moeten geen klachten meer uit voortkomen. dat rootkit verhaal baseer ik op de weinige informatie die ik over het virus heb kunnen vinden en heb absoluut geen idee of dit op waarheid berust. het enige wat ik wil weten is; hoe kom ik er vanaf

ik zal even scannen in de windows dir om te kijken of er zulke bestanden voorkomen met ibm (nummers).dll

maandag 23 juli 2007 18:32

Acties:

0 Henk 'm!

ik222

Altijd formatteren, alleen het virus proberen te verwijderen geeft veel te veel risico met dit soort dingen.

maandag 23 juli 2007 19:42

Acties:

0 Henk 'm!

Verwijderd

ik222 schreef op maandag 23 juli 2007 @ 18:32:
Altijd formatteren, alleen het virus proberen te verwijderen geeft veel te veel risico met dit soort dingen.

Onderbouw dat eens.

maandag 23 juli 2007 19:54

Acties:

0 Henk 'm!

Frankie02

http://www.virusalert.nl/?show=virus&id=1410

Met beschrijving wat het allemaal doet op je pc en verwijderingsinstructies......heb zelf geen ervaring met deze trojan, dus op eigen risiko

maandag 23 juli 2007 20:13

Acties:

0 Henk 'm!

Guardian Angel

Bejaard en langharig tuig

Het risico op malversaties met een Postbankrekening is niet erg groot als je tenminste je nuchtere verstand gebruikt.

1. De Postbank vraagt nooit per e-mail, telefoon of aan de deur om gegevens.
2. Regelmatig je inloggegevens wijzigen voorkomt dat men deze kan gebruiken.
3. Gooi de papieren TAN-lijst overboord en stap over op TAN-nummers via SMS op je eigen GSM

Voldoende veilig denk ik al zou ik, niet al te ver gezochte, weleens een methode willen lezen die deze veiligheidsmaatregelen omzeilt.

ARME AOW’er

maandag 23 juli 2007 20:15

Acties:

0 Henk 'm!

Kurios

advies: format.

Met dit soort dingen moet je gewoon niet gaan zitten klooien met antivirus programma's.

En laat hem die zooi van een p2p niet meer gebruiken.

[ Voor 5% gewijzigd door Kurios op 23-07-2007 20:16 ]

maandag 23 juli 2007 20:17

Acties:

0 Henk 'm!

NomadTitan

Guardian Angel schreef op maandag 23 juli 2007 @ 20:13:
Het risico op malversaties met een Postbankrekening is niet erg groot als je tenminste je nuchtere verstand gebruikt.

1. De Postbank vraagt nooit per e-mail, telefoon of aan de deur om gegevens.
2. Regelmatig je inloggegevens wijzigen voorkomt dat men deze kan gebruiken.
3. Gooi de papieren TAN-lijst overboord en stap over op TAN-nummers via SMS op je eigen GSM

Voldoende veilig denk ik al zou ik, niet al te ver gezochte, weleens een methode willen lezen die deze veiligheidsmaatregelen omzeilt.

Misschien hacken ze je telefoon wel

Of tenminste... als je een Iphone hebt

maandag 23 juli 2007 20:22

Acties:

0 Henk 'm!

DaWaN

'r you wicked ??

Ben ik de enige die het hele TAN-code systeem van de Postbank ongelofelijk onveilig vind

De random readers van ABN en Rabo zijn zoveel malen veiliger en bovendien nog stukken handiger ook

If you do not change direction, you may end up where you are heading

maandag 23 juli 2007 20:24

Acties:

0 Henk 'm!

Hoyden

DaWaN schreef op maandag 23 juli 2007 @ 20:22:
Ben ik de enige die het hele TAN-code systeem van de Postbank ongelofelijk onveilig vind
De random readers van ABN en Rabo zijn zoveel malen veiliger en bovendien nog stukken handiger ook

Wat is er handiger aan ?

Ik kan bij de Postbank overal waar ik ben inloggen en betalen, mits in mijn GSM maar bij me heb

En dat heb ik vaker dan de readers van bijv. Rabo. De Postbank TAN lijst heb ik al jaren niet meer. Als ik wil betalen ontvang ik een SMS met daarin de TAN code..

Ik denk dat het wel een feit is dat het bij andere banken iets veiliger is.

Verder is nog altijd je eigen schuld als je willekeurig TAN codes ergens gaat lopen inkloppen.

[ Voor 15% gewijzigd door Hoyden op 23-07-2007 20:25 ]

maandag 23 juli 2007 20:24

Acties:

0 Henk 'm!

Guardian Angel

Bejaard en langharig tuig

Ja, je hebt altijd zo'n reader bij de hand. In het buitenland als je van daaruit wilt betalen

bijvoorbeeld.

Handiger? Nee. Veiliger? Nee.

ARME AOW’er

maandag 23 juli 2007 20:26

Acties:

0 Henk 'm!

Guardian Angel

Bejaard en langharig tuig

Kurios schreef op maandag 23 juli 2007 @ 20:15:
advies: format.

Met dit soort dingen moet je gewoon niet gaan zitten klooien met antivirus programma's.

En laat hem die zooi van een p2p niet meer gebruiken.

Dat is de weg van de minste weerstand natuurlijk.

offtopic:
ik had natuurlijk ook gewoon mijn voorgaande bericht kunnen editten.

[ Voor 10% gewijzigd door Guardian Angel op 23-07-2007 20:27 ]

ARME AOW’er

maandag 23 juli 2007 20:27

Acties:

0 Henk 'm!

wcduck

Snake schreef op maandag 23 juli 2007 @ 02:06:
Gelijk hier ergens in de FAQ staat, met een rootkit ben je NOOIT zeker.

Formateren die hap! Enige alles-uitsluitende optie!

Niet helemaal mee eens, maar dan is er nog een tweede punt: bij sommige rootkits helpt formatteren ook niet.

I don't suffer from insanity, I enjoy every minute of it.

maandag 23 juli 2007 20:33

Acties:

0 Henk 'm!

Ramon

DaWaN schreef op maandag 23 juli 2007 @ 20:22:
Ben ik de enige die het hele TAN-code systeem van de Postbank ongelofelijk onveilig vind
De random readers van ABN en Rabo zijn zoveel malen veiliger en bovendien nog stukken handiger ook

Altijd fijn als een topic in een postbankbash-topic vervalt. Als je dan toch je mening verkondigd onderbouw hem dan tenminste of zeg anders gewoon niks.

Check mijn V&A ads: https://tweakers.net/aanbod/user/9258/

maandag 23 juli 2007 20:48

Acties:

0 Henk 'm!

Groentenman

Topicstarter

Het is leuk dat jullie een gezellig topicje beginnen over welke bank beter is maar voorlopig helpt het me niet met het zoeken naar een oplossing...

maar denk dat ik maar overga tot formatteren aangezien dit de meest gegeven suggestie is en het mij ook het veiligst lijst.

maandag 23 juli 2007 20:49

Acties:

0 Henk 'm!

Groentenman

Topicstarter

Frankie02 schreef op maandag 23 juli 2007 @ 19:54:
http://www.virusalert.nl/?show=virus&id=1410

Met beschrijving wat het allemaal doet op je pc en verwijderingsinstructies......heb zelf geen ervaring met deze trojan, dus op eigen risiko

deze had ik zelf ook al gevonden maar de aangegeven files zijn niet aanwezig op het systeem dus helaas je gaat niet door voor de koelkast

maandag 23 juli 2007 20:51

Acties:

0 Henk 'm!

Guardian Angel

Bejaard en langharig tuig

Verwijderd in "Postbank virus dat om TAN codes vraagt"..

Geen DLL's gevonden? (te laat.

)

[ Voor 6% gewijzigd door Guardian Angel op 23-07-2007 20:52 ]

ARME AOW’er

maandag 23 juli 2007 20:53

Acties:

0 Henk 'm!

Groentenman

Topicstarter

ben nog niet langsgeweest

dus kan je er nog niets over vertellen

maandag 23 juli 2007 21:03

Acties:

0 Henk 'm!

ralpje

Deugpopje

Groentenman schreef op maandag 23 juli 2007 @ 20:53:
ben nog niet langsgeweest dus kan je er nog niets over vertellen

Dan eerst ff die files zoeken voordat je (als je dat gaat doen) formatteren. Dan kunnen de anti-virus boeren zoals Schouw er nog iets mee, als je ze submit

[ Voor 1% gewijzigd door ralpje op 23-07-2007 21:03 . Reden: foute woordkeuze ]

Freelance (Microsoft) Cloud Consultant & Microsoft Certified Trainer

dinsdag 24 juli 2007 09:55

Acties:

0 Henk 'm!

Verwijderd

Probeer nog wat online scanners, NOD32/ESET heeft er nu ook een; http://www.eset.com/threat-center/cac.php en doe bijvoorbeeld ook eens de online scan van a-squared anti-malware; http://www.emsisoft.com/en/software/ax/
En installeer een programma als Prevx 2.0 en scan daar je systeem eens mee.

Je kunt nu wel gaan formatteren maar dan kan het morgen wel weer in je systeem zitten, lijkt mij verstandiger om te uit te zoeken waar de rommel zit en die dan door te sturen naar de verschillende AV bedrijven.

dinsdag 24 juli 2007 10:00

Acties:

0 Henk 'm!

Arnout

frickY schreef op maandag 23 juli 2007 @ 14:43:
Weet overigens wel dat ze je logingegevens al hebben, en dus volledige inzage in je account.
De TAN-codes zijn ht enige wat ze nog weghoud van overboekingen.

Hoe komen ze aan mijn inloggegevens dan?

dinsdag 24 juli 2007 10:16

Acties:

0 Henk 'm!

chromeeh

the Gnome

Arnout schreef op dinsdag 24 juli 2007 @ 10:00:
[...]
Hoe komen ze aan mijn inloggegevens dan?

keylogging + rootkit
feitelijk hebben 'ze' toegang tot al je gegevens...

"Some day, I hope to find the nuggets on a chicken."

dinsdag 24 juli 2007 10:41

Acties:

0 Henk 'm!

iMars

Full time prutser

Als ze je inloggegevens hebben, en proberen geld over te boeken, waardoor jij de verzoeken krijgt om TAN codes in te voeren, lijkt het me dat je in je overzicht openstaande transacties moet hebben staan...

Ik gebruik de Rabobank en geen Postbank, dus weet verder niet hoe het eruit ziet.

Mijn advies:
- Kijk of er openstaande verzoeken staan.
- Zo ja, dan hebben ze je gegevens, dan zou ik per direct naar de postbank gaan.
- Neem sowieso contact op met de postbank.
- Neem ook geen risico met je computer -> formateren

Koop hier mijn P1 reader :)

zaterdag 14 juni 2008 21:30

Acties:

0 Henk 'm!

frickY

Ik zit nu bij een vriend op zijn pc, en hij heeft hetzelfde probleem.

Ik heb NOD32 geinstalleerd maar die vind niets. Ik heb de postbank TAN tool van Kaspersky (http://www.kaspersky.nl/postbank) maar die vind hem ook niet.

Ik vond het vreemd dat het SSL certificaat van de bewuste pagina gewoon in orde is. Er lijkt lokaal een programma actief te zijn die de HTML gewoon aanpast naar het TAN-code formulier. In Firefox doet het probleem zich dan ook niet voor.

Bereft een legitiem WinXP SP2 systeem met IE7. Ik ben momenteel de Online Scanner van Kaspersky aan het downloaden om te zien wat die tegen komt.
De eerder genoemde DLL-files zijn ook niet te vinden.

Is dit een bekende variant, of een een format en schone install een goed idee?

zondag 15 juni 2008 03:11

Acties:

0 Henk 'm!

Verwijderd

Scan eens met Prevx CSI (NL info) en Rootkit Buster en nog wat andere scanners die ook rootkits kunnen detecteren.

zondag 15 juni 2008 10:01

Acties:

0 Henk 'm!

LuckY

Alles wat je vind graag doorsturen naar;

Verwijderd schreef op maandag 23 juli 2007 @ 14:29:
[...]

Wie zegt dat er sprake is van een rootkit?

[...]

De 'officiële' benaming voor deze malwarefamilie is Sinowal of Torpig.
In een windows directory zul je zéér waarschijnlijk ibm[cijfers].dll bestanden vinden - vind de directory en stuur de betreffende bestanden eens naar virus@kaspersky.nl svp.
Vergeet niet het zoeken naar verborgen/systeem bestanden aan te zetten.

Kan je tevens kijken of er openstaande verbindingen zijn (netstat /a).
En of de DNS gegevens wel kloppen ... Dat je niet zomaar geroute word via een fake server (tracert https://mijn.postbank.nl)

zondag 15 juni 2008 10:24

Acties:

0 Henk 'm!

EnnaN

Toys in the attic

wcduck schreef op maandag 23 juli 2007 @ 20:27:
[...]

Niet helemaal mee eens, maar dan is er nog een tweede punt: bij sommige rootkits helpt formatteren ook niet.

lijkt me onzin? tenminste, als je niet een aparte windows gaat opstarten, en dan de windows format gebruikt (het enige wat ik kan bedenken), maar gewoon via een installer, of een linux-live, iig van cd, of van mijn part een low-level format doet....waar wil die rootkit zich dan nog hebben staan? heeft ook niet de 'tijd' gehad om nog wat te doen...zeker als je een knoppix pakt, en even daarmee wat klust, hoezo kun je dan nog rootkit hebben?

Verder: als je ergens over een topic moet maken waar discussie ontstaat over hoe het weg moet, is het dus duidelijk dat het niet triviaal is. Verder gaat het over bankgegevens, en dus lijkt mij de enige logische conclusie dat als je ooit nog met zekerheid naar mijnpostbank.nl wilt kunnen gaan dat je overnieuw begint. ...

ik zie dan ook niet in waarom er geen reinstall gedaan kan worden. zo moeilijk is dat nou ook weer niet.

sig

zondag 15 juni 2008 16:43

Acties:

0 Henk 'm!

Verwijderd

EnnaN schreef op zondag 15 juni 2008 @ 10:24:
[...]

lijkt me onzin?

Een jaar geleden nog wel, nu niet meer. Nieuwere varianten van Sinowal zijn bootsector rootkits.
Dit houdt in dat als je alleen de/een partitie formatteert, de MBR onaangeraakt blijft.

Oplossingen? Van XP cd opstarten, recovery console ingaan en "fixmbr" commando uitvoeren.
Dit verwijdert de trojan code niet, maar maakt deze inoperabel.

Eventueel de nieuwe versie van KAV/KIS gebruiken die deze malware kan detecteren en verwijderen terwijl de rootkit actief is. klik

zondag 15 juni 2008 22:38

Acties:

0 Henk 'm!

frickY

LuckyY schreef op zondag 15 juni 2008 @ 10:01:
En of de DNS gegevens wel kloppen ... Dat je niet zomaar geroute word via een fake server (tracert https://mijn.postbank.nl)

Dat was ook mijn eerste idee. Ik dacht dat dat de gebruikte methode was.
Maar hij verwijst gewoon naar het juiste IP, en het SSL-certificaat klopt ook gewoon.

@EnnaN
Het is een DELL pc van een vriend die uiteraard de bijbehorende Windows CD niet weet te liggen, en geen goede methode heeft om zijn gygabytes aan foto's te backuppen. Vandaar liever het voorkomen van een fresh install. Het voordeel van dit Postbank virus is dat je het heel goed weet wanneer hij weg is; het TAN-scherm blijft achterwege.

@Schouw
Het kan dus goed zijn dat dit virus vanuit de MBR meeopgestart wordt? Dan zal ik de volgende keer mijn CD's een meenemen en fixmbr doen.
Hij heeft de online scan van KAS gedraait maar zou me de log nog toemailen. Toen ik naar huis ging hadhij 2 files en 3 objecten gevonden (terwijl een uptodate NOD32 niets vond). Is dus even afwachten of hiermee het probleem misschien al weg is.

zondag 15 juni 2008 23:09

Acties:

0 Henk 'm!

Verwijderd

Probeer eens het diagnose programmaatje Stealth MBR rootkit detector.

Download; http://www2.gmer.net/mbr/mbr.exe
(uitvoeren, er verschijnt heel even een dos/cmd venstertje en je vindt daarna een mbr.log op je buroblad)

Als er geen MBR rootkit wordt gevonden vindt je deze tekst in het mbr.log;

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Wordt er wel wat gevonden dan zie je iets als dit:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
MBR rootkit code detected !
malicious code @ sector 0xe4f8121 size 0x2c3 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix

(locatie/sector kan natuurlijk verschillen)

maandag 16 juni 2008 09:48

Acties:

0 Henk 'm!

frickY

Dat is nog eens een oplossing op een zilver blaadje

Dank je. Ik zal proberen hem vanavond dit te laten proberen, morgen is hij 2 weken op vakantie.

dinsdag 17 juni 2008 09:10

Acties:

0 Henk 'm!

Dirtbiter

Mijn vader heeft ook flink last gehad van dit virus, en ik ben natuurlijk degene die het op mag lossen...

De hierboven genoemde Stealth MBR Rootkit Detector deed voor mij de truc!
Eerst natuurlijk de PC geschoond met diverse tools:

Daarna die MBR er overheen, met -f dus. Inderdaad iets gevonden, en opgelost.
Dat probleem was eerder ook al gevonden door PrevX CSI, maar die kon het niet verwijderen zonder licentie.
Nadat MBR gedraaid had, was de computer schoon. Een nieuwe test met PrevX CSI bevestigde dat, en een testje op postbank.nl ook.

Ik ben nu voor de volledigheid nog even een keer Kaspersky aan het draaien, maar het lijkt erop dat het virus er _eindelijk_ af is!

[ Voor 2% gewijzigd door Dirtbiter op 17-06-2008 09:12 . Reden: Nog een tool toegevoegd ]

dinsdag 17 juni 2008 10:36

Acties:

0 Henk 'm!

frickY

Als ik het goed begrijp kan de MBR.exe die het virus vind deze ook verwijderen met de -f flag, zonder dat je windows-installatie daarvan het dupe wordt?

Wellicht enigzins offtopic, maar hoe kan een virus opstarten vanuit het MBR, als het OS dan nog niet draait? Nestelt die zich dan al in het geheugen oid?

Ik heb hem het programma doorgestuurd, ik hoop dat dit de oplossing biedt. De online scanner van Kaspersky heeft hem, denk ik, niet gevonden. Hij vond wel;

\Java\Deployment\cache\javapi\v1.0\jar\jvmimpro.jar-51fad18-3c836c37.zip/vmain.class
Infected: Exploit.Java.Gimsh.a

\Mijn documenten\Mijn muziek\TOTALLY HIP TRACK (winehouse).wma
Infected: Trojan-Downloader.WMA.Wimad.l

Ik gok dat de 2de de bron van het virus is geweest, maar het virus zelf staat er naar mijn idee niet tussen.

dinsdag 17 juni 2008 10:41

Acties:

0 Henk 'm!

Dirtbiter

frickY schreef op dinsdag 17 juni 2008 @ 10:36:
Als ik het goed begrijp kan de MBR.exe die het virus vind deze ook verwijderen met de -f flag, zonder dat je windows-installatie daarvan het dupe wordt?

Daar lijkt het wel op ja.

MBR.exe vind namelijk ook een kopie van je MBR ergens (dat geeft ie aan) en de getroffen sectors vervangt hij door de data uit die kopie.

dinsdag 17 juni 2008 11:36

Acties:

0 Henk 'm!

Verwijderd

Als je de optie "mbr.exe -f" gebruikt zal de originele mbr weer hersteld worden, er is immers een kopie van de originele mbr gevonden.

Log zal er dan zo uitzien;

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
MBR rootkit code detected !
malicious code @ sector 0xe4f8121 size 0x2c3 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
original MBR restored successfully !

dinsdag 17 juni 2008 11:40

Acties:

0 Henk 'm!

Verwijderd

Prevx CSI is inderdaad ook een erg goed gereedschap om zéér snel je systeem mee te controleren op actieve malware, NL uitleg vindt je hier.

Als er iets gevonden wordt dan kun je (ook in de Prevx database) verder uitzoeken wat het precies is en hoe te verwijderen.

dinsdag 8 juli 2008 10:49

Acties:

0 Henk 'm!

TheJoker

Damn, ik heb bijna een week lopen scannen met allelei tools en programma's, iedere keer niks, nada, noppes en Mijn Postbank bleef maar vragen om TAN codes

.
Toen gelukkig een helder moment gehad en even op GoT gesnuffeld tot ik dit topic vond... dank jullie allemaal voor de tips $_/-\o_$

Dat programmatje MBR rootkit detector is echt meesterlijk; binnen 5 secondes wist ik dat ook bij mij de rootkit in het MBR stond, 'mbr -f' en nog eens 5 seconden later was mijn originele MBR weer hersteld.
Daarna even een reboot en een echte virusscanner geinstalleerd (exit AVG en welkom Kapersky) en die heeft de hele nacht lopen pruttelen.

Kapersky kon maar 1 item vinden wat te maken heeft met het virus:

schoongemaakt: trojan Backdoor.Win32.Sinowal.ck
Fysieke sector op schijf: \Device\Harddisk1\DR1

Ik neem aan dat dit alles was, Postbank zegt nu iig weer dat het inloggen met de combinatie test/test niet mag, eerder ging dit wel en vroeg ie direct om TAN codes...

Nu alleen nog zien uit te vinden waar het virus vandaan is gekomen (geen flauw idee) en mijzelf slappen omdat ik altijd als administrator werk... als ik gewoon als normale gebruiker had gewerkt had de rootkit zichzelf nooit in het MBR kunnen nestelen.

Tweakers.net profiel | Computer specs | BF2 stats

woensdag 21 januari 2009 16:57

Acties:

0 Henk 'm!

Kev!n

Ik had even een vraag over dit virus.. want hoe kan het virus de browser redirecten naar een nepsite?
Want je tikt neem ik aan www.mijn.postbank.nl in of iets dergelijks en moet jou toch ongezien doorsturen naar een andere site met nog steeds in de url-bar mijn.postbank.nl??

Hoe doen ze dit of is dit al een benaamde methode? zoek namelijk meer informatie hoe internetcriminaliteit zich op de nederlandse markt voordoet..

Alvast bedankt

woensdag 21 januari 2009 17:00

Acties: