IceSword
Rootkit
Detector

IceSword

IceSword ist ein Sicherheitstool, welches versteckte schädliche Software auf dem PC findet. Dazu werden in einer übersichtlichen Weise alle laufende Prozesse, offene Ports, gestartete Dienste, Kernel-Module usw. dargestellt.
In der Rubrik SSDT werden offene und versteckte Systemdienste angezeigt - eventuell schädliche wird rot gekennzeichnet.



Software/IceSword | IceSword122en.zip | IceSwordvista.zip

IceSword - Anleitung FileReg öffnet ein Kommandozeilenfenster, von dem aus man das Dateisystem und die Registry bearbeiten kann. Dazu gehört auch eine einfache Suchfunktion, die ähnlich wie Rootkit Revealer nach verstecken Dateien sucht . Damit lässt sich zum Beispiel Rustock.B (alias lzx32.sys) finden.



IceSword - Anleitung

abkopieren, falls notwendig:
oben rechts auf das "Schwert-Symbol" klicken
Edit - Select All
wieder auf das Schwertsymbol klicken
Edit - Copy
dann mit der rechten Maustaste - einfügen , wo man das Log zeigen will (z.b. in einem Forum)
Kernel Module
IceSword - Kernel Module

das kann man abkopieren - "Log" - als module.txt abspeichern

Kernel Module

IceSword

eventuell schädlich wird rot gekennzeichnet

rot gekennzeichnet

IceSword - eventuell schädlich wird rot gekennzeichnet
BHO´s
IceSword - BHO

IceSword - BHO
Winsock
IceSword - Winsock

IceSword - Winsock
Windows-Services
IceSword - Windows-Services

Started Service:
Service Name:AcrSch2Svc Display Name:Acronis Scheduler2 Service
Service Name:ALG Display Name:Gatewaydienst auf Anwendungsebene
Service Name:Ati HotKey Poller Display Name:Ati HotKey Poller

IceSword
Startup (gestartete Anwendungen)
IceSword - Startup

IceSword - Startup
Ports
IceSword - Ports

Port (Beispiel)

Protocol Local Address Foreign Address State PID PathName

TCP 192.168.6.50 : 1593 192.168.6.7 : 139 ESTABLISHED 4 NT OS Kernel

TCP 127.0.0.1 : 1038 127.0.0.1 : 1039 ESTABLISHED 1424 C:\tibco\tibrv\bin\rvd.exe

TCP 127.0.0.1 : 1040 127.0.0.1 : 1041 ESTABLISHED 1424 C:\tibco\tibrv\bin\rvd.exe

TCP 192.168.6.50 : 1113 192.168.6.13 : 1352 ESTABLISHED 2568 C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE

IceSword
Prozesse
IceSword - prozesse

Prozess (Beispiel)
System Idle Process
System

C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
D:\backups\utils\antispy\IceSword_en1.12\is_en\IceSword.exe
C:\WINDOWS\system32\svchost.exe

rechtsklick auf den suspekten Prozess -> Thread Information - oder Terminate Process (beendet)

IceSword - Terminate Process

Thread Information -> Terminate beendet den Prozess -> Kill(Force) löscht den Prozess !!

IceSword - löscht den Prozess

über diesen Button kommt man direkt in die Registry

IceSword - Registry

will man einen Schlüssel löschen, klickt man mit rechtsklick auf den betreffenden Eintrag -> delete

IceSword

über diesen Button kommt man auf C:\ oder andere Partitionen

IceSword- Partitionen

IceSword - Partitionen


nun kann man jede beliebige Datei suchen (Beispiel: C:\Windows), man sieht Grösse, Erstellungszeitpunkt, oder zu welchem Zeitpunkt die Datei verändert wurde.

IceSword - Grösse, Erstellungszeitpunkt 

TuneUp

weiter System warten PC-Probleme beheben Leistung steigern Windows anpassen optimale Leistung
gleich kaufen oder: kostenlose Testversion (30 Tage) laden 

Kaspersky PURE

weiter Das ultimative Schutzpaket für Ihren PC
Kaspersky PURE ist das ultimative Schutzpaket für Ihren PC. Es geht weit über den Schutz bisheriger Internet-Security-Pakete hinaus. Sie erhalten damit ein Höchstmaß an Immunität vor den unterschiedlichsten Internet-Bedrohungen. Kaspersky PURE sichert die einwandfreie Funktion Ihres Computers und schützt Ihre digitalen Daten. So müssen Sie sich keine Sorgen mehr um Ihre PC-Sicherheit machen.
virus-protect.org
startseite Valid HTML 4.01 Transitional Ranking-Hits antispam