• Startseite
• Onlinescans
• Bitdef./Online
• Eset-Scanner
• Antivirus Software
• Antivirus free
• Antivirus trial
• Antispyware
• Avira
• Avast
• Malwarebytes
• AVZ Scanner
• Dr.Web Antivirus
• Kaspersky
• Sdfix
• AdAware
• Escan
• MS-Antivirus
• SpywareDoctor
• Vipre/Counterspy

• Hijackthis
• CCleaner
• Systemscan
• Gmer
• Icesword
• Rootkitscanner
• Sandboxie
• Combofix
• Otscanit
• Random
• Avenger
• Regsearch
• Browsercheck
• GSI Parser

• Desktop Firewall
• TuneUp
• Process Viewer
• Port Authority
• Doorcleaner
• TcpView
• Thunderbird
• Firefox
• Silentrunner
• Knoppix

Streams - ADS Aufspürer - ADS Spy - Alternate Data Streams als Versteck für Schädlinge

Virus an Bord ? Windows Probleme ? - Sicherheitsforum Protecus

---

ADS Spy

A small tool to list, view or delete Alternate Data Streams (ADS) on Windows 2000/XP with NTFS file systems.

ADS is a way of storing meta-information for files without actually storing the information in the file it belongs to, carried over from early MacOS compatibility from Windows NT4. Recently browser hijackers began using this technique to store hidden information on the system, and even store trojan executable files in ADS streams of random files on the system. Use with caution. Currently at version: 1.09

ADSSpy.exe
ADSSpy.exe

ADSSpy.exe
- Quick scan
- Ignore system info data streams
- Calculate MD5 checksums of streams' contents

wenn der Scan beendet ist, klicke mit der rechten Maustaste auf das Fenster
Save scan results to disk

nenne die textdatei (z.B) scan.txt -> speichern



nun erscheint auf dem Bildschirm : -> mit der rechten Maustaste den Text markieren -> kopieren -> im Forum, wo du einen Beitrag eroeffnet hast -> einfuegen

Beispiel:
C:\WINNT\Angler.bmp : jnqcp (3063 bytes)
C:\WINNT\desktop.ini : wfoza (56832 bytes)
C:\WINNT\esellerateEngine.dll : anwth (56832 bytes)

---

Kaspersky

http://virus-protect.org/onlinescan.html
C:\WINNT\desktop.ini:wfoza:$DATA/data0001.html Infected: Trojan-Downloader.Win32.WinShow.ak
C:\WINNT\esellerateEngine.dll:anwth:$DATA/data0001.html Infected: Trojan-Downloader.Win32.WinShow.ak
C:\WINNT\yhueg.txtrjva:$DATA/data0001.html Infected: Trojan-Downloader.Win32.WinShow.ak

---

Alternate Data Streams als Versteck für Schädlinge

http://www.heise.de/security/artikel/52139/0

---

ADS-Aufspürer / Spybot

Dieses kleine Werkzeug kann benutzt werden, um alternative Datenströme (ADS) aufzufinden. ADS ist eine Technologie die verwendet wird, um zusätzliche Informationen direkt bei den betroffenen Dateien zu speichern, und wird vom System selbst bereits zu legitim Zwecken benutzt. Deshalb sucht dieses Werkzeug nur nach benutzerdefinierten ADS-Einträgen, wie sie manchmal von Spyware, Malware und Viren verwendet werden.

http://www.safer-networking.org/de/tools/tools_ads.html



Dieses kleine Werkzeug hilft uns, Dateien zu finden, die typische CoolWebSearch-Charakteristika verwenden. Wenn Sie von einer neuen CWS-Variante betroffen sind und einem unserer Detektive geschrieben haben, könnte er Sie bitten, dieses Werkzeug zu benutzen, um nach verdächtigen Dateien zu suchen (einfach den Suchpfad eingeben und den Knopf anklicken (siehe Screenshot)), und ihm diese zu schicken. Die Ergebnisse werden in Archiv-Dateien afu dem Desktop gespeichert, die suspicious-files.cab, so wie in diesem Beispiel:

Suspicious File Locator

---

AboutBuster

Download Aboutbuster:
http://www.spychecker.com/program/aboutbuster.html

1. Alle Dateien in einen Ordner entpacken
2. die Readme Datei lesen
3. starte in den abgesicherten Modus (XP/Win2000 "F8" druecken, wenn der PC bootet)

4. Klicke auf "Start".
(Warte bis der initiale ADS Scan fertig ist.)
5. Klicke "Yes", um zu erlauben, dass jede IE-Anwendung beendet wird.
(Warte bis der about:blank Scan fertig ist.)
6. Klicke auf "Ok", um den Scan nochmal laufen zu lassen.
7. Klicke auf "Yes", um zu erlauben, dass jede IE-Anwendung beendet wird.
8. Klicke auf "Yes", um die zweite Runde zu beginnen.
9. Klicke auf "Save log" (speichere das Logfile).
10. Klicke auf "Exit".

Das Programm bietet am Ende an: Donate oder Exit.
Beim Anwählen von Exit kommt ein Hinweis, dass automatisch ein Logfile im selben Ordner erzeugt wird und dass frühere Logfiles damit überschrieben werden.
Es ist also erforderlich, den Logfile vom 1. Scan umzubenennen, bevor man ein 2. Mal scannt, sonst ist die Information vom 1. Scan gelöscht.


AboutBuster 5.0 reference file 28
Scan started on [09.08.2005] at [22:59:22]
------------------------------------------------
Removed Stream! C:\WINDOWS\Angler.bmp:bumtzu
Removed Stream! C:\WINDOWS\ctpu.exe:fxirxr

Removed File! : C:\Windows\wgrhv.dat
Removed File! : C:\Windows\System32\anoke.dat
Removed File! : C:\Windows\System32\fjghg.dat

---

rkfiles.zip
http://skads.org/special/rkfiles.zip
*entpacken
*gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
*Doppelklick (Ausführen)-- rkfiles.bat -- warten bis sich das DOS-Fenster schliesst --- poste C:\log.txt

---

F-Secure BlackLight

F-Secure black Light

---

delete an ADS

http://www.heysoft.de/nt/ntfs-ads.htm
How does somebody delete an ADS?
Let us assume you know there is a file important.exe with an ADS attached to it. The file is very important and the ADS very dangerous. You need to hold the main stream and delete the ADS. Let us assume there is no FAT drive on your network, otherwise you could move the file to this drive and than move it back again. All you need to do is:

ren important.exe temp.exe
cat temp.exe > important.exe
del temp.exe


The method above does not work when the ADS is attached to a directory. If you need to remove, for instance c:\Windows:harmful.exe without reinstalling Windows, you could use this trick. (If you use NT 5.x, you need a copy of Notepad.exe from NT 4!)

1. Open the ADS with Notepad:
C:\NT4Tools\Notepad.exe c:\Windows:harmful.exe
2. Delete the entire content of the ADS
3. Close notepad. It will ask whether you want to save your changes
4. Answer YES
5. Notpad will tell you that the file is empty and that it will delete it

Now you are done, the ADS is gone.

I have developed a command line tool called LADS (List Alternate Data Streams), which scans the entire drive or a given directory. It lists the names and size of all alternate data streams it finds. You can download the current Freeware version of LADS. This software is provided "as is", without warranty of any kind! Use it on your own risk!

http://www.heysoft.de/nt/ntfs-ads.htm

1. Open a command window, for instance click Start --> click Run --> type cmd --> click OK
2. Go into the directory where LADS sits
3. Enter "LADS" and press the ENTER button of the keyboard
4. Read the Readme file for more information

---

HijackThis

http://virus-protect.org/hjtkurz.html

Um das ADS Spy Dienstprogramm zu nutzen, würden Sie HijackThis starten und auf Config klicken. Dann klicken Sie auf Misc Tools, um dann letzendlich auf ADS Spy zu klicken. Wenn sich das ADS Spy Dienstprogramm öffnet, werden Sie einen Schirm ähnlich Figur 10 sehen.

ADS Spy

Klicken Sie auf scan und das Programm wird anfangen Ihren Windows Ordner nach jeglichen ADS Dateien zu scannen. Wenn das Programm irgendwelche Dateien finden sollte, so wird es diese auf ein Art illustrieren, die der in Figur 11 ähnelt.



Figure 11: Liste der gefundenen Alternate Data Streams

Um eine der aufgelisteten ADS Dateien zu entfernen, setzen Sie einfach ein Häckchen neben den Eintrag und klicken Sie auf Remove selected. Dies wird die ADS Datei von Ihrem System entfernen. Wenn Sie fertig sind, klicken Sie auf Back neben dem Remove Selected Button, bis Sie wieder auf dem Hauptschirm angelangt sind.

---

SDFIX

SDFIX - erkennt/löscht ebenfalls im Stream versteckte Dateien

Beispiel:

ADS Check :

C:\WINDOWS:windowsXP.exe 0
Total size: 0 bytes.
WINDOWS: deleted 0 bytes in 1 streams.