˄˅

Az eltávolító szkript struktúrája

A szkript fejlécének első sorában láthatók a motor verziójára (ev), a grafikus felhasználói felület verziójára (gv) és a napló verziójára (lv) vonatkozó információk. Ezek az adatok használhatók a szkriptet létrehozó és a végrehajtás során az eltéréseket megakadályozó .xml fájl lehetséges módosításainak a nyomon követéséhez. A szkript ezen részét nem célszerű módosítani.

A fájl többi része olyan szakaszokból áll, amelyekben szerkeszthetők az elemek (jelölje meg a szkript által feldolgozandókat). A feldolgozáshoz az egyes elemek előtt található „-” karakter „+” karakterré változtatásával jelölheti meg az elemeket. A szkriptben üres sor választja el egymástól a szakaszokat. Minden szakaszhoz tartozik egy szám és egy cím.

01) Running processes

Ez a szakasz a rendszerben futó összes folyamat listáját tartalmazza. Az egyes folyamatok azonosítására szolgál az UNC-útvonal és azt követően a CRC16 kivonatkód csillag jelek (*) között.

Példa

01) Running processes:
- \SystemRoot\System32\smss.exe *4725*
- C:\Windows\system32\svchost.exe *FD08*
+ C:\Windows\system32\module32.exe *CF8A*
[...]

Ebben a példában egy folyamat, a module32.exe a kiválasztott („+” karakterrel megjelölt); a folyamat a szkript végrehajtásakor fejeződik be.

02) Loaded modules

Ez a szakasz tartalmazza az aktuálisan használt rendszermodulokat.

Példa

02) Loaded modules:
- c:\windows\system32\svchost.exe
- c:\windows\system32\kernel32.dll
+ c:\windows\system32\khbekhb.dll
- c:\windows\system32\advapi32.dll
[...]

Ebben a példában a khbekhb.dll modul van megjelölve egy „+” karakterrel. Amikor a szkript fut, felismeri az adott modult használó folyamatokat, és befejezi azokat.

03) TCP connections

Ebben a szakaszban találhatók a meglévő TCP-kapcsolatokra vonatkozó adatok.

Példa

03) TCP connections:
- Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe
- Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006,
- Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE
- Listening on *, port 135 (epmap), owner: svchost.exe
+ Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System
[...]

Amikor a szkript fut, megkeresi a szoftvercsatorna tulajdonosát a megjelölt TCP-kapcsolatokban, bezárja a szoftvercsatornát, és így rendszererőforrásokat szabadít fel.

04) UDP endpoints

Ez a szakasz a meglévő UDP-végpontokról tartalmaz információkat.

Példa

04) UDP endpoints:
- 0.0.0.0, port 123 (ntp)
+ 0.0.0.0, port 3702
- 0.0.0.0, port 4500 (ipsec-msft)
- 0.0.0.0, port 500 (isakmp)
[...]

Amikor a szkript fut, elszigeteli a szoftvercsatorna tulajdonosát a megjelölt UDP-végpontoknál, és leállítja a szoftvercsatornát.

05) DNS server entries

Ez a szakasz az aktuális DNS-szerver konfigurációjáról tartalmaz információkat.

Példa

05) DNS server entries:
+ 204.74.105.85
- 172.16.152.2
[...]

A szkript futtatásakor a szoftver eltávolítja a megjelölt DNS-szerverbejegyzéseket.

06) Important registry entries

Ez a szakasz a beállításjegyzék (rendszerleíró adatbázis) fontos bejegyzéseiről tartalmaz információkat.

Példa

06) Important registry entries:
* Category: Standard Autostart (3 items)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HotKeysCmds = C:\Windows\system32\hkcmd.exe
- IgfxTray = C:\Windows\system32\igfxtray.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Google Update = “C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe” /c
* Category: Internet Explorer (7 items)
HKLM\Software\Microsoft\Internet Explorer\Main
+ Default_Page_URL = http://thatcrack.com/
[...]

A szkript végrehajtásakor a szoftver törli, 0 bájt értékre csökkenti, illetve az alapértékekre visszaállítja a megjelölt elemeket. Az egyes bejegyzésekhez alkalmazandó művelet az adott beállításjegyzékben szereplő bejegyzés kategóriájától és kulcsértékétől függ.

07) Services

Ez a szakasz jeleníti meg a rendszerben regisztrált szolgáltatásokat.

Példa

07) Services:
- Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup: Automatic
- Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup: Automatic
- Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: Manual
[...]

A szkript végrehajtásakor a szoftver leállítja és eltávolítja a megjelölt szolgáltatásokat és az azoktól függő szolgáltatásokat.

08) Drivers

Ez a szakasz a telepített illesztőprogramokat sorolja fel.

Példa

08) Drivers:
- Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot
- Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32\drivers\adihdaud.sys, state: Running, startup: Manual
[...]

A szkript végrehajtásakor a kijelölt illesztőprogramok leállnak. Vegye figyelembe, hogy egyes illesztőprogramok nem hagyják magukat leállítani.

09) Critical files

Ez a szakasz az operációs rendszer megfelelő működése szempontjából kritikus fájlokról tartalmaz információkat.

Példa

09) Critical files:
* File: win.ini
- [fonts]
- [extensions]
- [files]
- MAPI=1
[...]
* File: system.ini
- [386Enh]
- woafont=dosapp.fon
- EGA80WOA.FON=EGA80WOA.FON
[...]
* File: hosts
- 127.0.0.1 localhost
- ::1 localhost
[...]

A szoftver törli a kijelölt elemeket vagy visszaállítja azok eredeti értékeit.

10) Ütemezett feladatok

Ez a szakasz az ütemezett feladatokról tartalmaz információkat.

Példa

10) Scheduled tasks

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe /c

- c:\users\admin\appdata\local\google\update\googleupdate.exe /ua /installsource

- %windir%\system32\appidpolicyconverter.exe

- %windir%\system32\appidcertstorecheck.exe

- aitagent

[...]

˄˅