˄˅

Structuur van het servicescript

In de eerste regel van de kop van het script kunt u informatie vinden over de engine-versie (ev), GUI-versie (gv) en de logbestandsversie (lv). U kunt deze gegevens gebruiken om eventuele wijzigingen op te sporen in het XML-bestand waarmee het script wordt gegenereerd om eventuele inconsistenties tijdens de uitvoering te voorkomen. Dit deel van het script moet niet worden gewijzigd.

De rest van het bestand is onderverdeeld in secties waarin items kunnen worden bewerkt (geef de items aan die door het script moeten worden verwerkt). U markeert items voor verwerking door het minteken ("-") voor een item te vervangen door een plusteken ("+"). Secties in het script worden van elkaar gescheiden door een witregel. Iedere sectie heeft een nummer en titel.

01) Uitgevoerde processen

Deze sectie bevat een lijst met alle processen die in het systeem worden uitgevoerd. Ieder proces wordt aangeduid met het UNC-pad en vervolgens de CRC16-hash-code in sterretjes (*).

Voorbeeld

01) Running processes:
- \SystemRoot\System32\smss.exe *4725*
- C:\Windows\system32\svchost.exe *FD08*
+ C:\Windows\system32\module32.exe *CF8A*
[...]

In dit voorbeeld is een proces, module32.exe, geselecteerd (gemarkeerd met een plusteken, "+"). Het proces wordt beëindigd bij uitvoering van het script.

02) Geladen modules

In deze sectie staan alle momenteel gebruikte systeemmodules.

Voorbeeld

02) Loaded modules:
- c:\windows\system32\svchost.exe
- c:\windows\system32\kernel32.dll
+ c:\windows\system32\khbekhb.dll
- c:\windows\system32\advapi32.dll
[...]

In dit voorbeeld is de module khbekhb.dll gemarkeerd met een "+". Wanneer het script wordt uitgevoerd, worden de processen herkend die die specifieke module gebruiken en deze worden beëindigd.

03) TCP-verbindingen

Deze sectie bevat informatie over bestaande TCP-verbindingen.

Voorbeeld

03) TCP connections:
- Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe
- Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006,
- Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE
- Listening on *, port 135 (epmap), owner: svchost.exe
+ Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System
[...]

Wanneer het script wordt uitgevoerd, wordt de eigenaar van de socket in de gemarkeerde TCP-verbindingen gelokaliseerd en wordt de socket gestopt waardoor systeembronnen worden vrijgemaakt.

04) UDP-eindpunten

Deze sectie bevat informatie over bestaande UDP-eindpunten.

Voorbeeld

04) UDP endpoints:
- 0.0.0.0, port 123 (ntp)
+ 0.0.0.0, port 3702
- 0.0.0.0, port 4500 (ipsec-msft)
- 0.0.0.0, port 500 (isakmp)
[...]

Wanneer het script wordt uitgevoerd, wordt de eigenaar van de socket op de gemarkeerde UDP-eindpunten geïsoleerd en wordt de socket gestopt.

05) DNS-serververmeldingen

Deze sectie bevat informatie over de huidige DNS-serverconfiguratie.

Voorbeeld

05) DNS server entries:
+ 204.74.105.85
- 172.16.152.2
[...]

Gemarkeerde DNS-serververmeldingen worden verwijderd wanneer u het script uitvoert.

06) Belangrijke registervermeldingen

Deze sectie bevat informatie over belangrijke registervermeldingen.

Voorbeeld

06) Important registry entries:
* Category: Standard Autostart (3 items)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HotKeysCmds = C:\Windows\system32\hkcmd.exe
- IgfxTray = C:\Windows\system32\igfxtray.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Google Update = “C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe” /c
* Category: Internet Explorer (7 items)
HKLM\Software\Microsoft\Internet Explorer\Main
+ Default_Page_URL = http://thatcrack.com/
[...]

De gemarkeerde vermeldingen worden bij uitvoering van het script verwijderd, teruggebracht tot waarden van 0 byte of teruggezet op de standaardwaarden. De actie die wordt uitgevoerd op een bepaalde vermelding is afhankelijk van de categorie van de vermelding en de sleutelwaarde in het specifieke register.

07) Services

Deze sectie bevat de services die binnen het systeem geregistreerd zijn.

Voorbeeld

07) Services:
- Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup: Automatic
- Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup: Automatic
- Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: Manual
[...]

De gemarkeerde services en de bijbehorende onderliggende services worden gestopt en verwijderd wanneer het script wordt uitgevoerd.

08) Stuurprogramma's

Deze sectie bevat de geïnstalleerde stuurprogramma's.

Voorbeeld

08) Drivers:
- Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot
- Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32\drivers\adihdaud.sys, state: Running, startup: Manual
[...]

Wanneer u het script uitvoert, worden de geselecteerde stuurprogramma's stopgezet. Houd er rekening mee dat bepaalde stuurprogramma's zich niet laten stopzetten.

09) Belangrijke bestanden

Deze sectie bevat informatie over bestanden die essentieel zijn voor een goede werking van het besturingssysteem.

Voorbeeld

09) Critical files:
* File: win.ini
- [fonts]
- [extensions]
- [files]
- MAPI=1
[...]
* File: system.ini
- [386Enh]
- woafont=dosapp.fon
- EGA80WOA.FON=EGA80WOA.FON
[...]
* File: hosts
- 127.0.0.1 localhost
- ::1 localhost
[...]

De geselecteerde items worden verwijderd of teruggezet naar de oorspronkelijke waarden.

10) Geplande taken

In dit gedeelte vindt u informatie over geplande taken.

Voorbeeld

10) Scheduled tasks

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe /c

- c:\users\admin\appdata\local\google\update\googleupdate.exe /ua /installsource

- %windir%\system32\appidpolicyconverter.exe

- %windir%\system32\appidcertstorecheck.exe

- aitagent

[...]

˄˅