Hallo Dezipaitor, nö das funkt tadellos.

Verwende so ein Teil als "NOT AUS" bei Virenbefall.

Dh. suspende alle Threads ausser des "Local Security Authority Subsystem Service" (LSASS.EXE) und
CSRSS.exe (Thread und WindowCreation) und des Session Manager (SMSS.exe).

Starte IceSword, und suspende dann auch noch die LSASS.EXE und CSRSS.exe.

Jetzt wird das System ausgemistet, Gegenseitige Prozess und Dateiüberwachung der Schädlinge nicht mehr möglich.

Lokal funktioniert dies perfekt!! (W2K, XP getestet.)

Remote übers Netzwerk gibt es Probleme weil Winlogon und das Gesammte Netzwerk lahmgelegt wird.
ISt aber auch möglich wenn mal Winlogon.exe und die Netzwerdienste in den zugehörigen svchost.exe'n nicht
lahmlegt. Allerdings kann man dann einen Sasser, der ja im Kontext der svchost.exe und Winlogon.exe läuft nicht mehr entfernen.

PS. Versuch mal das beigelegte Sample, und urteile erst dann.

PSS. Noch besser Du besorgst dir den Processexplorer von Sysinternals, und Suspendest mit diesem mal alle relevanten
Prozesse, um vorab mal genau zu checken was du bei den einzelnen OS (W2K, XP, Vista, W7 machen darfst und was nicht!
Dienste nicht vergessen, keine Angst der SCM dein Alias Dienstemanager springt dich nicht an!

lg. Astat