was tun bei POP 3 Exploit Angriff ??

SAX · 20.04.2006, 09:31

Hallo habe jetzt ein dickes aua in meinem Windows bekomme immer nen blauen bildschrim
bis jetzt konnte ich den angriff eindämmen ! aber was hab ich für möglichkeiten so einen pop3 server angriff abzuwehren ? kaspersky zeigte mir zwar warnmeldungen
dannach der blaue bildschrim

ch glaub ich rufe e-mails ab !? aber das programm zum e-mail abrufen is zu kriege immer einen geklatscht bei port 110 Intrusion.Win.Mssql.wormhelkern !?

wie kann ich mich den jetzt vor sowas schützen ? oder welches ports muss ich dicht machen ?? hab schon das remove tool laufen !

wie kann ich mich in zukunft davor schützten oder kann ich die ports einfach wechseln ? hoffe es sind keine festen !

http://www.securityfocus.com/bid/894

Danke für Jede Hilfe vorab

SAX · 20.04.2006, 10:47

Code:

ATTFilter

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\progra~1\softwin\bitdef~1\bdswitch.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Softwin\BitDefender9\bdoesrv.exe
C:\progra~1\softwin\bitdef~1\bdnagent.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\SSCMntr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\vssvc.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
D:\Platten Inhalt\Proxomitron\Proxomitron.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Azureus\Azureus.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender9\vsserv.exe
c:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\WINDOWS\system32\mmc.exe
D:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:xxxx
R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [BDSwitchAgent] "c:\progra~1\softwin\bitdef~1\bdswitch.exe"
O4 - HKLM\..\Run: [BDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] "C:\Programme\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "c:\progra~1\softwin\bitdef~1\bdnagent.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - Startup: Proxomitron.exe.lnk = D:\Platten Inhalt\Proxomitron\Proxomitron.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{87651BDA-CB56-4D67-B862-25006DAC5E97}: NameServer = xxxxxx
O17 - HKLM\System\CCS\Services\Tcpip\..\{A44E5980-CC76-4D46-A133-C795859DDF0E}: NameServer = xxxxxxx
O23 - Service: Abel - oxid.it - D:\Hack tools\Cain\Abel.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: GFI LANguard N.S.S. 7.0 Attendant Service - Unknown owner - C:\Programme\GFI\LANguard Network Security Scanner 7.0\lnssatt.exe" -service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: NMap - Unknown owner - D:\Hack tools\nmap\bin\nmapserv.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Serv-U FTP Server (Serv-U) - Cat Soft - C:\PROGRA~1\Serv-U\ServUDaemon.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SSC Monitor (SSCMntr) - SuperSpeed Software, Inc. - C:\WINDOWS\System32\SSCMntr.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

cosinus · 20.04.2006, 17:28

Service Pack 2 für Windows XP drauf (Dein Logfile ist nicht volständig gepostet)?

Zitat:

O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - (no file)
O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - (no file)

Unnötige Einträge, die kannst Du fixen.

Zitat:

D:\Hack tools\Cain\Abel.exe

Mhh...diese Datei mal bei Kaspersky auswerten lassen und Ergebnis posten.

**Sunny** · 20.04.2006, 17:43

Zitat:

Zitat von cosinus

Mhh...diese Datei mal bei Kaspersky auswerten lassen und Ergebnis posten.

Mal kurz einmisch! Wofür brauchst du sowas? Passwordknacker

dann kommt nur sowas dabei heraus Sophos

Gruß
Daniel

Markus1234 · 20.04.2006, 18:54

Damit hast du dir selbst die Suppe versalzen ...
Wenn, dann wenigstens die von Steganos .. tztz ...

mfg,
Markus

SAX · 20.04.2006, 19:39

wo für ich die sachen brauch muss ich ja wohl nicht erklären auserdem haben eure antworten nichts mit meiner frage zu tun ! die datein sind ok !

nicht böse gemeint aber wie wärs bitte mit hilfe ?

irrlicht · 20.04.2006, 19:50

Hallo Sax,
erst sich selbst ins Knie schießen und dann nach einer Operation rufen.
Frag doch mal dort wo du deine Tools beziehst..

Hier jedenfalls ist es so,das Scripzkiddys ihre eingebrockte Suppe selber auslöffeln müssen.
Neuaufsetzen und dann Finger von den Sachen lassen die deinen Horizont übersteigen.

Irrlicht

SAX · 20.04.2006, 19:55

Zitat:

Zitat von irrlicht

Hallo Sax,
erst sich selbst ins Knie schießen und dann nach einer Operation rufen.
Frag doch mal dort wo du deine Tools beziehst..

Hier jedenfalls ist es so,das Scripzkiddys ihre eingebrockte Suppe selber auslöffeln müssen.
Neuaufsetzen und dann Finger von den Sachen lassen die deinen Horizont übersteigen.

Irrlicht

Öhm wieso behauptest du das ich ein script kid bin ? ich bin 32 jahre alt und benutzte dieses tool zu testzwecken an meinen eigenen netzwerk mensch muss ich mich immer rechtfertigen ? dieses tool schädigt nix ! wie ist es den jetzt mit hilfe ?

cronos · 21.04.2006, 00:05

@ SAX

Bezogen auf den Thread-Titel:

In deinem Fall- Duck and Cover

SCNR

MightyMarc · 21.04.2006, 00:14

Zitat:

Zitat von SAX

Öhm wieso behauptest du das ich ein script kid bin ? ich bin 32 jahre alt und benutzte dieses tool zu testzwecken an meinen eigenen netzwerk mensch muss ich mich immer rechtfertigen ?

Wenn ich mal kurz überfliege was Du hier so schreibst, gewinne ich nicht den Eindruck, Du seist in der Lage ein Netzwerk zu testen.
Hier geht es im übrigen nicht um Rechtfertigung sondern darum, dass hier niemand Lust hat sich auf den Arm nehmen zu lassen.

cosinus · 21.04.2006, 00:19

Irgendwie grotesk...

21.04.2006, 00:19	#11
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	was tun bei POP 3 Exploit Angriff ?? Irgendwie grotesk... __________________ Logfiles bitte immer in CODE-Tags posten

was tun bei POP 3 Exploit Angriff ??

Plagegeister aller Art und deren Bekämpfung: was tun bei POP 3 Exploit Angriff ??