IceSword
Rootkit
Detector

IceSword - Prozesse, offene Ports, gestartete Dienste, Kernel-Module finden


IceSword ist ein Sicherheitstool, welches versteckte schädliche Software auf dem PC findet. Dazu werden in einer übersichtlichen Weise alle laufende Prozesse, offene Ports, gestartete Dienste, Kernel-Module usw. dargestellt.
In der Rubrik SSDT werden offene und versteckte Systemdienste angezeigt - eventuell schädliche wird rot gekennzeichnet.



Software/IceSword | IceSword122en.zip | IceSwordvista.zip


IceSword - Anleitung FileReg öffnet ein Kommandozeilenfenster, von dem aus man das Dateisystem und die Registry bearbeiten kann.

Dazu gehört auch eine einfache Suchfunktion, die ähnlich wie Rootkit Revealer nach verstecken Dateien sucht . Damit lässt sich zum Beispiel Rustock.B (alias lzx32.sys) finden.


IceSword - Anleitung

abkopieren, falls notwendig:
oben rechts auf das "Schwert-Symbol" klicken
Edit - Select All
wieder auf das Schwertsymbol klicken
Edit - Copy
dann mit der rechten Maustaste - einfügen , wo man das Log zeigen will (z.b. in einem Forum)
Kernel Module
IceSword - Kernel Module

das kann man abkopieren - "Log" - als module.txt abspeichern

Kernel Module

IceSword

eventuell schädlich wird rot gekennzeichnet

rot gekennzeichnet

IceSword - eventuell schädlich wird rot gekennzeichnet
BHO´s
IceSword - BHO

IceSword - BHO
Winsock
IceSword - Winsock

IceSword - Winsock
Windows-Services
IceSword - Windows-Services

Started Service:
Service Name:AcrSch2Svc Display Name:Acronis Scheduler2 Service
Service Name:ALG Display Name:Gatewaydienst auf Anwendungsebene
Service Name:Ati HotKey Poller Display Name:Ati HotKey Poller

IceSword
Startup (gestartete Anwendungen)
IceSword - Startup

IceSword - Startup
Ports
IceSword - Ports

Port (Beispiel)

Protocol Local Address Foreign Address State PID PathName

TCP 192.168.6.50 : 1593 xxxxxx ESTABLISHED 4 NT OS Kernel
TCP 127.0.0.1 : 1038 xxxxxx ESTABLISHED 1424 C:\tibco\tibrv\bin\rvd.exe
TCP 127.0.0.1 : 1040 xxxxxx ESTABLISHED 1424 C:\tibco\tibrv\bin\rvd.exe
TCP 192.168.6.50 : 1113 xxxxxx ESTABLISHED 2568 C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE

IceSword
Prozesse
IceSword - prozesse

Prozess (Beispiel)
System Idle Process
System

C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
D:\backups\utils\antispy\IceSword_en1.12\is_en\IceSword.exe
C:\WINDOWS\system32\svchost.exe

rechtsklick auf den suspekten Prozess -> Thread Information - oder Terminate Process (beendet)

IceSword - Terminate Process

Thread Information -> Terminate beendet den Prozess -> Kill(Force) löscht den Prozess !!

IceSword - löscht den Prozess

über diesen Button kommt man direkt in die Registry

IceSword - Registry

will man einen Schlüssel löschen, klickt man mit rechtsklick auf den betreffenden Eintrag -> delete

IceSword

über diesen Button kommt man auf C:\ oder andere Partitionen

IceSword- Partitionen

IceSword - Partitionen


nun kann man jede beliebige Datei suchen

(Beispiel: C:\Windows), man sieht Grösse, Erstellungszeitpunkt, oder zu welchem Zeitpunkt die Datei verändert wurde.

IceSword - Grösse, Erstellungszeitpunkt



-Windows Systemsoftware-
Windows Systemsoftware
-Sicherheitssoftware-
Sicherheitssoftware
-Virendiagnostik Tools-
Tools Utilities Virendiagnostik
-Online-Virus-Scanner-
Online-Virus-Scanner
-Desktop Firewall Windows-
Desktop Firewall
virus-protect.org
startseite Valid HTML 4.01 Transitional Ranking-Hits