Trojan postbank hulp

[searcher]

Vandaag na de storing bij de postbank kreeg ik na het inloggen de volgende melding

Zowat wedder zekerheid voor wisselborgtocht , zijn voor zij 10 vigerend TANs ter zijn cijfers verlenen, b.v. (TAN-cijfers) - (TAN).

Uiteraard meteen uitgelogd en geen enkele TAN code ingevuld immers deze melding had ik nog nooit gehad.

Volgens de postbank medewerkster heb ik een Trojan op de pc staan.

Via fire fox waar ik de melding NIET kreeg heb ik mijn wachtwoord en gebruikersnaam meteen veranderd.
Rekening saldo klopt nog.

Elke dag draai ik mijn virus scanner,,,,

Nu vraag ik me af Welke trojan heb ik en hoe is deze te verwijderen / te vinden?

                                                                                                        mvg
                                                                                                        Searcher

[hifiman]

Vandaag na de storing bij de postbank kreeg ik na het inloggen de volgende melding

Zowat wedder zekerheid voor wisselborgtocht , zijn voor zij 10 vigerend TANs ter zijn cijfers verlenen, b.v. (TAN-cijfers) - (TAN).
                                                                                                 

Wat een rare zin zeg 

Maar goed om even op je probleem in te gaan..

Ik neem aan dat je internet explorer gebruikt? Installeer eens firefox (kan geen kwaad en je kan het er altijd weer afhalen als het je niet bevalt) en kijk of je dan hetzelfde gedonder krijgt?

Wat kom er verder in het URL veld van de browser te staan voordat je ingelogd bent (want inloggen zou ik even niet meer doen) bij die zogenaamde postbank? Ik vermoed dat je ge-redirect wordt naar een andere url dan die van de postbank..

Dit is wat er hoort te staan:
https://mijn.postbank.nl/internetbankieren/SesamLoginServlet

Groetjes,

Ronald

[hifiman]

En check even met een nslookup in een "dos box":

ronald@hammie:~\> nslookup mijnpostbank.nl
Server:         127.0.0.1
Address:        127.0.0.1#53

Non-authoritative answer:
Name:   mijnpostbank.nl
Address: 145.221.53.27

[hifiman]

Ik lees dit net nog op nu.nl

Naweeën

Maandagmiddag kampte de Postbanksite overigens nog wel met de naweeën van de storing. Volgens een woordvoerder kregen sommige klanten rond het middaguur foutmeldingen bij het inloggen. Die zouden veroorzaakt zijn door de opschoning van de database, naar aanleiding van de problemen van het weekeinde.

Na 13 uur zou ook deze storing zijn opgelost.

Is dat misschien van toepassing 

[searcher]

Hi,

Bedankt voor je tips.

Dat dacht ik dus ook dat de storing nog de oorzaak was.
Volgens de medewerkster was het echt een trojan,,,

Welke dan vroeg ik ?
Dit kon niet worden beantwoord.

Ik draai nu met een andere virus scanner en deze heeft de volgende Trojan gevonden:

trojan Win32/PSW.Sinowal.Gen

Wat deze Trojan doet is me niet duidelijk ook niet met google,,,,,

                                                                                                   Gr Searcher

[Jeroen V]

trojan Win32/PSW.Sinowal.Gen

Onderstaande stukje is wel interessant..... Toch maar even alles goed nalopen....

This arrives as a single file (usually through browser exploits) with a size of 89088 bytes. When executed it drops two files named ibm00001.dll and ibm00002.dll with sizes 49664 and 42496 bytes in the folder c:\\program files\\common files\\microsoft shared\\web folders and registers a service named "gb" to ensure its startup after reboot. The file ibm00001.dll implements the service part and ensures the startup of the malware after reboot. ibm00002.dll is injected in every running process and does the following actions:

    * Contacts the control server, which has the DNS name "vgnyarm.com" (which currently resolves to 194.146.207.12), with the backup servers "hurbia52.com" and "flickor32.com".
    * Receives a list of banking sites
    * Whenever such a banking site is accessed, a popup window is generated. The contents of the popup window are fetched from the control server and the caption of the window is modified to "Advanced card verification" to hide the fact that it is a browser window
    * Additionally the contents of form fields whose name contain at least one of the strings "login", "user", "name", "pass" or "auth" are captured and relayed back to the server

The malware is capable of functioning both with Internet Explorer and Firefox / Mozilla.

[Arno P]

Ik zie hier iets van key-logger staan:

http://www.vsantivirus.com/psw-sinowal-gen.htm

[Audiotwin]

Ga anders even naar het ASO(anti-spyware-offensief) forum en maak daar een HijackThis-log.
http://www.antispywareoffensief.nl/forum/

[searcher]

Nog vervelender:

http://www.webwereld.nl/articles/41357/duitstalige--windows-update--e-mail-bevat-trojaans-paard.html

Ik bewaar nooit wachtwoorden op de pc maar d.m.v deze Trojan worden de wachtwoorden meteen doorgestuurd naar de hacker.

klikken op verdachte attachments doe ik nooit,,,,,,,,het is mij dus een raadsel.

Het probleem nu is dat ondanks na de verwijdering ik niet echt durf in te loggen via internet explorer op de postbank site.

                                                                                      Gr Searcher

[searcher]

Het was dus echt een Trojan die meteen je gebruikers naam en wachtwoord naar de hacker toe stuurt.

Op tweakers wordt er al flink over gesproken.
Het vreemde is dat deze Trojan gewoon via surfen kan worden opgepikt dan wel via outlook.

Het nieuwe is dat je niet eerst een e-mail krijgt met open attachment ect,,,,,,, klik op deze link.

De harde schijf volledig geformateerd en de Trojan is weg bovendien draai ik nu nod32 die deze Trojan wel herkende.

                                                                           Gr Searcher

[hifiman]

Het nieuwe is dat je niet eerst een e-mail krijgt met open attachment ect,,,,,,, klik op deze link.

Fijn dat het opgelost is :-)
Dat is niet echt nieuw, IE is volledig geintegreerd met het windows besturingssysteem en kan dus ongevraagd "zooi" installeren. Dat is ook de reden dat ik je het gebruik van firefox aanraad dan heb je dat gedonder niet !