|
|
|
IceSword ist ein Sicherheitstool, welches versteckte schädliche Software auf dem PC findet. Dazu werden in einer übersichtlichen Weise alle laufende Prozesse, offene Ports, gestartete Dienste, Kernel-Module usw. dargestellt. In der Rubrik SSDT werden offene und versteckte Systemdienste angezeigt - eventuell schädliche wird rot gekennzeichnet.
software/IceSword
IceSword-Site
IceSword122en.zip
zip-Datei
is120en_vista.zip
für Vista
IceSword -Anleitung
FileReg öffnet ein Kommandozeilenfenster, von dem aus man das Dateisystem und die Registry bearbeiten kann. Dazu gehört auch eine einfache Suchfunktion, die ähnlich wie Rootkit Revealer nach verstecken Dateien sucht . Damit lässt sich zum Beispiel Rustock.B (alias lzx32.sys) finden.
das kann man abkopieren, falls es notwendig ist - oben rechts auf das "Schwert-Symbol" klicken - Edit - Select All - wieder auf das Schwertsymbol klicken - Edit - Copy - dann mit der rechten Maustaste - einfügen , wo man das Log zeigen will
Kernel Module
das kann man abkopieren - "Log" - als module.txt abspeichern
eventuell schädlich wird rot gekennzeichnet
BHO´s
Winsock
Windows-Services
Started Service:
Service Name:AcrSch2Svc Display Name:Acronis Scheduler2 Service
Service Name:ALG Display Name:Gatewaydienst auf Anwendungsebene
Service Name:Ati HotKey Poller Display Name:Ati HotKey Poller
Startup (gestartete Anwendungen)
Ports
Port
Protocol Local Address Foreign Address State PID PathName
TCP 192.168.6.50 : 1593 192.168.6.7 : 139 ESTABLISHED 4 NT OS Kernel
TCP 127.0.0.1 : 1038 127.0.0.1 : 1039 ESTABLISHED 1424 C:\tibco\tibrv\bin\rvd.exe
TCP 127.0.0.1 : 1040 127.0.0.1 : 1041 ESTABLISHED 1424 C:\tibco\tibrv\bin\rvd.exe
TCP 192.168.6.50 : 1113 192.168.6.13 : 1352 ESTABLISHED 2568 C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
Prozesse
Process
System Idle Process
System
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
D:\backups\utils\antispy\IceSword_en1.12\is_en\IceSword.exe
C:\WINDOWS\system32\svchost.exe
rechtsklick auf den suspekten Prozess -> Thread Information - oder Terminate Process (beendet)
Thread Information -> Terminate beendet den Prozess -> Kill(Force) löscht den Prozess !!
über diesen Button kommt man direkt in die Registry
will man einen Schlüssel löschen, klickt man mit rechtsklick auf den betreffenden Eintrag -> delete
über diesen Button kommt man auf C:\ oder andere Partitionen
nun kann man jede beliebige Datei suchen (Beispiel: C:\Windows), man sieht Grösse, Erstellungszeitpunkt, oder zu welchem Zeitpunkt die Datei verändert wurde.
|
|