Wahnsinn... Bin immer wieder begeistert über die Leute hier...
Gegen Alternate Data Streams (also Dateien, die sich hinter anderen Dateien verstecken) gibt es was auf technet von Mark Russinovich, einem der Obergurus von M$. Wobei ich zugeben muß, daß nicht alle Anwendungen schlecht sind, z.B. das Zonenkonzept (Sichere Zone und Internet Zone), wo so eine Datei bewirkt, daß wenigstens rückgefragt wird, ob von Unsicherer in Sichere Zone verschoben werden darf, oder wo der Start von bestimmten Programmen erst mal blockiert wird.
Aber wer tut jetzt was gegen diese "Layered Service Provider (LSP)" DLL Hooks im TCP/UDP/RAW/NETBIOS-tauglichen WinSock 2.0 Stack?
EDIT: Ich experimentiere dazu grad mit dem Kommando Netsh rum, in der Hoffnung daß dort die LSP auflistbar sein werden...
EDIT 2: Sind sie. Der Befehl lautet im Dos-Fenster:
netsh winsock show catalog > C:\LSP.TXT
Die eingehakten DLL sind anschließend im C:\-Verzeichnis unter LSP.TXT abgespeichert.
Jetzt gehts mal ans analysieren...
EDIT 3: OH GRAUS: 10 mal Einträge mit dem Titel "Mehrschicht-Dienstanbieter": TCP-SPY via TCP, via UDP, via NETBIOS, via... alles was Gott verboten hat. Na super. Und was jetzt?
EDIT 4: Die Anbieterkennung (das Zeug in {................}, sowas heißt glaub ich GUID ) hab ich mal gegoogelt. Einige Sachen scheinen "koscher", z.B. Spybot-Search & Destroy, siehe Forum. Viele andere sind aber leider nicht aufzufinden... Jetzt komm ich ins grübeln: Via netsh rauslöschen oder nicht?
EDIT 5: Offenbar kann HijackThis solche unbekannten Stack-Hooks erkennen! (Was für ein saublöder Name für ein Sicherheitstool: "Entführe das da!" - da glaubt man ja eher an Malware!)
Ein Eintrag im obigen Forum zeigte nämlich folgende "HiJackthis"-Analyse:
O10 - Unknown file in Winsock LSP: e:\progra~1\tcpspy~1\tcpspylsp.dll
Mal sehen, ob der das auch bei mir findet - und ob er was dagegen tun kann...