• Startseite
• Onlinescans
• Bitdef./Online
• Eset-Scanner
• Antivirus Software
• Antivirus free
• Antivirus trial
• Antispyware
• Avira
• Avast
• Malwarebytes
• AVZ Scanner
• Dr.Web Antivirus
• Kaspersky
• Sdfix
• AdAware
• Escan
• MS-Antivirus
• SpywareDoctor
• Vipre/Counterspy

• Hijackthis
• CCleaner
• Systemscan
• Gmer
• Rootkitscanner
• Sandboxie
• Combofix
• Otscanit
• Random
• Avenger
• Regsearch
• Browsercheck
• GSI Parser

• Desktop Firewall
• TuneUp
• Process Viewer
• Port Authority
• Doorcleaner
• TcpView
• Thunderbird
• Firefox
• Silentrunner
• Knoppix

IceSword

IceSword ist ein Sicherheitstool, welches versteckte schädliche Software auf dem PC findet. Dazu werden in einer übersichtlichen Weise alle laufende Prozesse, offene Ports, gestartete Dienste, Kernel-Module usw. dargestellt. In der Rubrik SSDT werden offene und versteckte Systemdienste angezeigt - eventuell schädliche wird rot gekennzeichnet.

---

software/IceSword
IceSword-Site

IceSword122en.zip
zip-Datei

is120en_vista.zip
für Vista

---

IceSword - Anleitung

FileReg öffnet ein Kommandozeilenfenster, von dem aus man das Dateisystem und die Registry bearbeiten kann. Dazu gehört auch eine einfache Suchfunktion, die ähnlich wie Rootkit Revealer nach verstecken Dateien sucht . Damit lässt sich zum Beispiel Rustock.B (alias lzx32.sys) finden.






das kann man abkopieren, falls es notwendig ist - oben rechts auf das "Schwert-Symbol" klicken - Edit - Select All - wieder auf das Schwertsymbol klicken - Edit - Copy - dann mit der rechten Maustaste - einfügen , wo man das Log zeigen will


Kernel Module


das kann man abkopieren - "Log" - als module.txt abspeichern







eventuell schädlich wird rot gekennzeichnet







BHO´s







Winsock







Windows-Services



Started Service:

Service Name:AcrSch2Svc Display Name:Acronis Scheduler2 Service
Service Name:ALG Display Name:Gatewaydienst auf Anwendungsebene
Service Name:Ati HotKey Poller Display Name:Ati HotKey Poller





Startup (gestartete Anwendungen)







Ports



Port

Protocol Local Address Foreign Address State PID PathName
TCP 192.168.6.50 : 1593 192.168.6.7 : 139 ESTABLISHED 4 NT OS Kernel
TCP 127.0.0.1 : 1038 127.0.0.1 : 1039 ESTABLISHED 1424 C:\tibco\tibrv\bin\rvd.exe
TCP 127.0.0.1 : 1040 127.0.0.1 : 1041 ESTABLISHED 1424 C:\tibco\tibrv\bin\rvd.exe
TCP 192.168.6.50 : 1113 192.168.6.13 : 1352 ESTABLISHED 2568 C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE





Prozesse



Process

System Idle Process
System
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
D:\backups\utils\antispy\IceSword_en1.12\is_en\IceSword.exe
C:\WINDOWS\system32\svchost.exe

rechtsklick auf den suspekten Prozess -> Thread Information - oder Terminate Process (beendet)





Thread Information -> Terminate beendet den Prozess -> Kill(Force) löscht den Prozess !!





über diesen Button kommt man direkt in die Registry



will man einen Schlüssel löschen, klickt man mit rechtsklick auf den betreffenden Eintrag -> delete




über diesen Button kommt man auf C:\ oder andere Partitionen





nun kann man jede beliebige Datei suchen (Beispiel: C:\Windows), man sieht Grösse, Erstellungszeitpunkt, oder zu welchem Zeitpunkt die Datei verändert wurde.