Hi,
bei HijackThis gibt es wie ich gestern festgestellt habe ja noch ein paar zusatzfunktionen.(Misc-Tools)
Darunter auch so tollte sachen wie Delete file on reboot.(Heißt das Killbox ist überflüssig?)

Naja leider kann ich mit dem Tool ADS-Spy nicht soviel anfangen.
Auf http://www.primacom.net/~z6295510/adsspy.html hab ich folgendes dazu gelesen:

"
Mit ADS sind weitere Datei-Ströme gemeint, die unmittelbar nur mit einer Datei existieren können,
allerdings nur auf NTFS (New Technologie File System) Partitionen von Windows-Beriebssystemen.
Sie werden aber nicht im Windows-Explorer oder anderen Dateiverwaltungs-Programmen angezeigt, so daß eine Datei 0-Byte groß sein kann, aber zig MB als ADS auf der Festplatte belegt,
abgesehen davon, welche Informationen sich darin "verstecken" lassen."


Stellt sich nun die frage wie o kb dateien mehrer mb entahlten können.
Was das ganze mit dem windowsordner zu tuen hat (könnenn diese o kb dateien nur im win ordner sein)? Und warum die nur auf NTFS platten exsisiteren.

Auserdem müssen diese dateien wenn sie mit dem netz komunizieren doch sicher auch einen port benutzen (welchen? bzw. von welche programm)

Und werden diese streams bei str+alt+entf unter netzwerkauslastung angezeigt?

So hoffe irgendwerwer kennt sich damit aus.

keiner ne ahnung?

Kannst du dich nicht ab ujnd zu ein bisserl bemühen auch lesbar zu schreiben? Kennst du nicht einmal den Unterschied zwischen dem Buchstaben "o" und der Ziffer "0"?

die angezeigten 0 KB sind eben die Information die dem Dateisystem mitgegeben werden, die die Datei betreffen. ADS sind kein Inhalt der Datei, aber zur Datei gehörend, sie werden zu der Datei gespeichert, verändern aber die Größe der Datei nicht. Würde ja auch zu einem deutlichen Problem führen, wenn du so eine Datei auf ein anderes Dateisystem kopieren würdest. Sie sind nur ein "externes" Anhängsel.

Eine Datei kommuniziert nicht "irgendwie" mit dem Netz und unter "Datenströme" muss dir keinen Datenfluss vorstellen, wenn nicht gebraucht ist ein ADS genauso statisch wie die Datei selber, wenn die Datei selber benutzt wird, "strömt" sie genauso wie die ADS.

ADS können (als harmlose Ausprägung) Thumbnails sein, die Information ob eine Date aus dem Internet heruntergeladen wurde (der Zone-Identifier), etc..

Das Problem ist aber, dass du jede Datei (auch ausführbare Programme sind solche Dateien!) als ADS unsichtbar an jede beliebige Datei "dranpappen" kannst und trotzdem aufrufen kannst. Ein AV-Programm muss deshalb auch auf ADS scannen (können und tun).

Hier noch ein relativ gut verständlicher Link zum Thema ADS:

klick

Hm das erklärt warum die google viedeo dateien nur 0 kb groß sind
obwohl sie filme wiedergeben die mehrere mb groß sein müssen ;-)

Nein, dies sind ganz andere Streams.
(in dem Fall wirklich Datenströme die quasi durch deinen PC strömen und (normal) nicht gespeichert werden.)
ADS geht nur mit NTFS und NT (ist ein Bestandteil von NTFS), die Video-Strams funktionieren quasi mit allen Betriebssystemen (die den entsprechenden Client haben) und sie sind ABSOLUT unabhängig vom Dateisystem.

Hm , hab mir vorhin mal einen Bildschirmschoner von Fluch der Karibik2 runtergeladen.
Nach der installation meine a-squared das der eventuell maleware ist weil er mit dem internet kommuniziert.
Das fand ich für einen bildschirmschoner schon recht seltsam und hab es dann blockiert.

Wäre es den rein theoretisch möglich das der bildschirmschoner über solche AD-Streams Daten auf meinen rechner schaft?
Und wenn ja kriegt er dann einen port geöffnet weil der datenstrom ja quasi zur Datei gehört?
Oder kann er das nur wenn er andere programme dazu missbraucht?

Also zunächst handelt es sich bei .scr Dateien, diese Endung haben die meisten Bildschirmschoner, um ausführbare Dateien. Das Risiko des Ausführens solcher Dateien sollte dir als eifrigem Leser bekannt sein. Um dir also gefährlichen Code unterzujubeln brauchts kein ADS.
Shadow hat dir ausserdem schon erklärt, dass ADS sowieso nur auf NTFS Systemen läuft, alleine deswegen laufen Bildschirmschoner wie der von web.de oder Lycos z.B. auch auf Win 98.

Gut war ein schlechtes Beispiel.
Also ich lade mir jetz irgend eine 0 kb datei aus dem internet runter.
An diese wurde aber z.b. ein 20 Mb großer virus "drangepappt".
Lad ich den dann mit der datei gleichzeitig runter, oder holt sich die datei den erst aus dem netz wenn ich sie ausführe?
Wenn ja würde es mich interessieren wie diese datei das im großen und ganzen macht(nicht deteilliert sonst unterstellt mir wieder wer ich sei ein hacker)

Denn nach meinem jetzigen wissen bräuchte sie dazu einen port der nicht von einem anderen programm benutzt wir.
Und da ich die meisten nichtbenutzten ports ja hoffentlich geschlossen habe, und eine 0 kB datei ja warscheinlich keine ports öffnen kann , dürfte sie den virus ja nicht auf meinen rechner laden können.
oder?

p.s. Klar ist ein Bildschirmschoner eine ausführbare datei aber wenn man granixmehr runterladen darf was ausführbar ist macht das internet ja garkeinen spaß mehr.
Steht so ähnlich ja auch in deiner signatur ;-)

Da haste ein Bsp:

http://www.f-secure.com/v-descs/mailbot_az.shtml

Ich denke du hast nur ein Verständnissproblem, Du zäumst das Pferd von hinten auf.
Der ADS öffnet nicht Tür und Tor, sondern kommt als Gast mit.