Alternate Data
Streams

Streams - ADS Aufspürer - ADS Spy

Alternate Data Streams als Versteck für Schädlinge

ADS Spy ADS Spy

A small tool to list, view or delete Alternate Data Streams (ADS) on Windows 2000/XP with NTFS file systems.






ADSSpy is a way of storing meta-information for files without actually storing the information in the file it belongs to, carried over from early MacOS compatibility from Windows NT4. Recently browser hijackers began using this technique to store hidden information on the system, and even store trojan executable files in ADS streams of random files on the system. Use with caution.

- Quick scan
- Ignore system info data streams
- Calculate MD5 checksums of streams' contents

- wenn der Scan beendet ist, klicke mit der rechten Maustaste auf das Fenster
- Save scan results to disk
- nenne die textdatei (z.B) scan.txt -> speichern

ADS Spy

nun erscheint auf dem Bildschirm : ADS Spy -> mit der rechten Maustaste den Text markieren -> kopieren -> im Forum, wo du einen Beitrag eroeffnet hast -> einfügen

Beispiel
C:\WINNT\Angler.bmp : jnqcp (3063 bytes)
C:\WINNT\desktop.ini : wfoza (56832 bytes)
C:\WINNT\esellerateEngine.dll : anwth (56832 bytes)






Alternate Data Streams als Versteck für Schädlinge

ADS Spy Alternate Data Streams als Versteck für Schädlinge:
Microsofts NTFS-Dateisystem speichert zusätzliche Informationen in Alternate Data Streams, die man mit Windows-Bordmitteln schwer sichtbar machen kann. Auch Schädlinge können sich in solchen Streams verstecken, denn nicht alle Virenscanner erkennen Malware in Streams zuverlässig. weiter... [www.heise.de]


ADS-Aufspürer - Spybot

ADS Spy ADS-Aufspürer / Spybot kann benutzt werden, um alternative Datenströme (ADS) aufzufinden. ADS ist eine Technologie die verwendet wird, um zusätzliche Informationen direkt bei den betroffenen Dateien zu speichern, und wird vom System selbst bereits zu legitim Zwecken benutzt.
Deshalb sucht dieses Werkzeug nur nach benutzerdefinierten ADS-Einträgen, wie sie manchmal von Spyware, Malware und Viren verwendet werden. - weiter... [www.safer-networking.org]

ADS-Aufspürer Spybot

Dieses kleine Werkzeug ADS-Aufspürer Spybot hilft, Dateien zu finden, die typische CoolWebSearch-Charakteristika verwenden.
Wenn Sie von einer neuen CWS-Variante betroffen sind, könnten Sie ADS-Aufspürer Spybot benutzen, um nach verdächtigen Dateien zu suchen (einfach den Suchpfad eingeben und den Knopf anklicken (siehe Screenshot) Die Ergebnisse werden in Archiv-Dateien auf dem Desktop gespeichert, die suspicious-files.cab, so wie in diesem Beispiel:

Suspicious File Locator
Suspicious File Locator

AboutBuster

ADS Spy AboutBuster - weiter... [www.spychecker.com]

1. Alle Dateien in einen Ordner entpacken
2. die Readme Datei lesen
3. starte in den abgesicherten Modus (XP/Win2000 "F8" druecken, wenn der PC bootet)

4. Klicke auf "Start".
(Warte bis der initiale ADS Scan fertig ist.)
5. Klicke "Yes", um zu erlauben, dass jede IE-Anwendung beendet wird.
(Warte bis der about:blank Scan fertig ist.)
6. Klicke auf "Ok", um den Scan nochmal laufen zu lassen.
7. Klicke auf "Yes", um zu erlauben, dass jede IE-Anwendung beendet wird.
8. Klicke auf "Yes", um die zweite Runde zu beginnen.
9. Klicke auf "Save log" (speichere das Logfile).
10. Klicke auf "Exit".

Das Programm bietet am Ende an: Donate oder Exit.
Beim Anwählen von Exit kommt ein Hinweis, dass automatisch ein Logfile im selben Ordner erzeugt wird und dass frühere Logfiles damit überschrieben werden.
Es ist also erforderlich, den Logfile vom 1. Scan umzubenennen, bevor man ein 2. Mal scannt, sonst ist die Information vom 1. Scan gelöscht.

AboutBuster reference file 28
------------------------------------------------
Removed Stream! C:\WINDOWS\Angler.bmp:bumtzu
Removed Stream! C:\WINDOWS\ctpu.exe:fxirxr
Removed File! : C:\Windows\wgrhv.dat
Removed File! : C:\Windows\System32\anoke.dat
Removed File! : C:\Windows\System32\fjghg.dat


rkfiles

ADS Spy rkfiles.zip - weiter...

* entpacken
* boote in den abgesicherten Modus:
* Doppelklick (Ausführen)-- rkfiles.bat -- warten bis sich das DOS-Fenster schliesst --- poste C:\log.txt falls in einem Sicherheitsforum verlangt.


F-Secure BlackLight

ADS Spy F-Secure BlackLight - weiter...


HijackThis

ADS Spy HijackThis - weiter...

Um das ADS Spy Dienstprogramm zu nutzen, würden Sie HijackThis starten und auf Config klicken. Dann klicken Sie auf Misc Tools, um dann letzendlich auf ADS Spy zu klicken. Wenn sich das ADS Spy Dienstprogramm öffnet, werden Sie einen Schirm ähnlich Figur 10 sehen.

ADS Spy
Klicken Sie auf scan und das Programm wird anfangen Ihren Windows Ordner nach jeglichen ADS Dateien zu scannen. Wenn das Programm irgendwelche Dateien finden sollte, so wird es diese auf ein Art illustrieren, die der in Figur 11 ähnelt.

ADS Spy

Figure 11: Liste der gefundenen Alternate Data Streams

Um eine der aufgelisteten ADS Dateien zu entfernen, setzen Sie einfach ein Häckchen neben den Eintrag und klicken Sie auf Remove selected. Dies wird die ADS Datei von Ihrem System entfernen. Wenn Sie fertig sind, klicken Sie auf Back neben dem Remove Selected Button, bis Sie wieder auf dem Hauptschirm angelangt sind.


SDFIX

ADS Spy SDFIX - weiter... - erkennt/löscht ebenfalls im Stream versteckte Dateien

Beispiel:
ADS Check
C:\WINDOWS:windowsXP.exe 0
Total size: 0 bytes.
WINDOWS: deleted 0 bytes in 1 streams


-Windows Systemsoftware-
Windows Systemsoftware
-Sicherheitssoftware-
Sicherheitssoftware
-Virendiagnostik Tools-
Tools Utilities Virendiagnostik
-Online-Virus-Scanner-
Online-Virus-Scanner
-Desktop Firewall Windows-
Desktop Firewall
virus-protect.org
startseite Valid HTML 4.01 Transitional Ranking-Hits