Ich habe eben den o.a. Teil von HJT laufen lassen und dabei
wurden vier bmp-Dateien(Präriewind,Santa-Fe-Stuck, Seifenblase und
winnt256.bmp ) gefunden.

Sind die vier "gefährlich" und sollten gelöscht werden ?

Danke für einen Rat !

Wolf

@ wölfi...
Wie könnte man weiter vorgehen?
Überleg mal, das findest du selbst raus... .

Zitat:

Zitat von cronos

@ wölfi...
Wie könnte man weiter vorgehen?
Überleg mal, das findest du selbst raus... .

Tut mir leid, aber ich habe keine Lösung gefunden ? Es handelt sich bei den
vier Files um die Hintergrundbilder des Betriebssystems Windows 2000 SP 4.

Können die wirklich zu Problemen führen ?

Die Suche über GOOGLE führt (bei mir) leider auch zu keinem Ergebnis. Das hier finde ich: http://www.bleepingcomputer.com/files/adsspy.php

Gruss

Wolf

Zitat:

Zitat von wolfi

Tut mir leid, aber ich habe keine Lösung gefunden ? Es handelt sich bei den
vier Files um die Hintergrundbilder des Betriebssystems Windows 2000 SP

Von wann sind die Dateien, in welchem Ordner sind sie, wie groß sind sie?

Ein ADS an sich ist nichts böses.
"Auch Windows-Applikationen nutzen solche Streams seit langem und speichern dort etwa Miniaturbilder für die Vorschau"

Zitat:

Zitat von Shadow

Von wann sind die Dateien, in welchem Ordner sind sie, wie groß sind sie?

Es ist nun nach dem Ergebnis von ADSSPY in HJT noch die Datei
winnt256.bmp im Ordner WINNT aus 6/2004 mit einer Grösse von 48KB gefunden worden. Nach ADSSPY ist die Datei "infiziert" und sollte gelöscht
werden.

Und "ungefährlich" sind die ADS wohl auch nicht.

Siehe hier http://www.bleepingcomputer.com/foru...howtutorial=25

Dummfug, die meisten ADS sind ungefährlich (weil "normal" unter NTFS), aber sie können gefährlich sein.
Solltest Deinen Link auch mal lesen
"They have the legitimate uses, but can definitely be used for darker intentions."

Datum 6/2004 deutet allerdings auf eine Veränderung hin! Dies sind NICHT die Originaldateien, allerdings könntest auch Du sie selber geändert haben.

Vor dem Scan habe ich bei HJT ein Häckchen gesetzt bei:

Ignore safe(!) system info streams

Das Tool zeigt danach die o.a. bmp-Datei an. Andere werden ausgeschlossen.

Nach der Analyse durch ADSSPY, die wohl sehr sorgfältigt ist, scheint dann
doch ein Fehler vorzuliegen.

Oder sehe ich das falsch ?

Gruss

Wolf

Zitat:

Zitat von wolfi

Vor dem Scan habe ich bei HJT ein Häckchen gesetzt bei:

Ignore safe(!) system info streams

Das Tool zeigt danach die o.a. bmp-Datei an. Andere werden ausgeschlossen.

Nach der Analyse durch ADSSPY, die wohl sehr sorgfältigt ist, scheint dann
doch ein Fehler vorzuliegen.

Oder sehe ich das falsch ?

Gruss

Wolf

Nein, wie gesagt, mit dem Datum müssten IMHO die Dateien (bzw. ihr ADS) verändert worden sein.

Wie gross ist die "Bedrohung" durch ADS wirklich ? Bisher habe ich hierzu
kaum viel gelesen.

Gibt es damit weitere Erfahrungen ?

Gruss

Wolf

Hier ein von mir gefundener Artikel zu ADS:

http://www.heise.de/security/artikel/52139/0

Man sollte wohl auf die Sache achten !

Ist es zutreffend, daß alle von ADSspy gefundenen Bilddateien(gif,jpg.....)
nicht gelöscht werden müßen?

Sie stellen keine "Bedrohung" dar (?).

Gruss

Wolf

Zitat:

Zitat von wolfi

Ist es zutreffend, daß alle von ADSspy gefundenen Bilddateien(gif,jpg.....)
nicht gelöscht werden müßen?

Sie stellen keine "Bedrohung" dar (?).

Das ist nicht gesagt, aber richtig ist eben dass ein ADS keine Bedrohung an sich ist, genauso wenig wie der MDS (Main Data Stream = Die "Haupt"-Datei).
Deine Dateien habe ein falsches Datum, also sind sie mal verändert worden.

Zitat:

Zitat von wolfi

Ist es zutreffend, daß alle von ADSspy gefundenen Bilddateien(gif,jpg.....)
nicht gelöscht werden müßen?

Sie stellen keine "Bedrohung" dar (?).

Gruss

Wolf

Ich habe eben diesen Artikel gefunden:

http://support.microsoft.com/default...;EN-US;q319300

Bedeutet sein Inhalt, daß bei meinem NTFS - System alle Bilder mit ADS
ergänzt werden, ohne das ADS danach zu einer Gefährdung wird?

Ich finde ca. 800(!) Dateien mit ADS bei mir.

Gruss

Wolf

Wie ich schon weiter oben geschrieben habe: "Auch Windows-Applikationen nutzen solche Streams seit langem und speichern dort etwa Miniaturbilder für die Vorschau"
=> ist ein ADS
=> ist keine Gefährdung
"ich" kann aber den Dateien weitere Streams (ADS) anhängen die eine Gefährdung sind!
Das Vorhandensein von ADS ist genausowenig grundsätzlich eine Gefahr, wie eine exe-Datei, sehrwohl kann aber eine exe-Datei oder ein ADS Schadroutinen enthalten.
Selbst wenn Du 100.000 Dateien mit ADS hast, muss Dein System nicht gefährdet sein, dazu würde allerdings anderersherum schon ein "böser" Stream ausreichen.