˄˅

Štruktúra servisného skriptu

V prvom riadku hlavičky skriptu sa nachádzajú informácie o verzii jadra (ev – engine version), verzii grafického rozhrania (gv – GUI version) a verzii protokolu (lv – log version). Tieto údaje môžete použiť pri hľadaní možných zmien v súbore .xml, ktorý generuje skript, a zamedziť všetkým nezrovnalostiam počas spúšťania skriptu. Túto časť skriptu by ste nemali meniť.

Zvyšok súboru je rozdelený do sekcií, v ktorých sa môžu jednotlivé položky upravovať (označiť tie, ktoré budú spracované skriptom). Položky označíte na spracovanie tak, že zameníte znak „–“ pred položkou za znak „+“. Jednotlivé sekcie v skripte sú oddelené prázdnym riadkom. Každá sekcia ma číslo a nadpis.

01) Running processes

Táto sekcia obsahuje zoznam všetkých spustených procesov v systéme. Každý proces je identifikovaný svojou UNC cestou a následne aj kontrolným súčtom CRC16 medzi hviezdičkami (*).

Príklad

01) Spustené procesy:
- \SystemRoot\System32\smss.exe *4725*
- C:\Windows\system32\svchost.exe *FD08*
+ C:\Windows\system32\module32.exe *CF8A*
[...]

V tomto príklade bol vybraný proces module32.exe (označený znakom „+“); proces bude ukončený pri spustení skriptu.

02) Loaded modules

Táto sekcia obsahuje zoznam aktuálne použitých systémových modulov.

Príklad

02) Načítané moduly:
- c:\windows\system32\svchost.exe
- c:\windows\system32\kernel32.dll
+ c:\windows\system32\khbekhb.dll
- c:\windows\system32\advapi32.dll
[...]

V tomto príklade bol modul khbekhb.dll označený znakom „+“. Keď sa skript spustí, rozpozná procesy, ktoré používajú tento špecifický modul, a ukončí ich.

03) TCP connections

Táto sekcia obsahuje informácie o existujúcich pripojeniach TCP.

Príklad

03) Pripojenia TCP:
- Aktívne pripojenie: 127.0.0.1:30606 -> 127.0.0.1:55320, vlastník: ekrn.exe
- Aktívne pripojenie: 127.0.0.1:50007 -> 127.0.0.1:50006,
- Aktívne pripojenie: 127.0.0.1:55320 -> 127.0.0.1:30606, vlastník: OUTLOOK.EXE
- Počúva na *, port 135 (epmap), vlastník: svchost.exe
+ Počúva na *, port 2401, vlastník: fservice.exe Počúva na *, port 445 (microsoft-ds), vlastník: System
[...]

Keď sa skript spustí, nájde vlastníka socketu v označených pripojeniach TCP a zastaví tento socket, čím uvoľní systémové prostriedky.

04) UDP endpoints

Táto sekcia obsahuje informácie o existujúcich koncových bodoch UDP.

Príklad

04) Koncové body UDP:
- 0.0.0.0, port 123 (ntp)
+ 0.0.0.0, port 3702
- 0.0.0.0, port 4500 (ipsec-msft)
- 0.0.0.0, port 500 (isakmp)
[...]

Keď sa skript spustí, izoluje vlastníka socketu v označených koncových bodoch UDP a zastaví tento socket.

05) DNS server entries

Táto sekcia obsahuje informácie o súčasnej konfigurácii DNS serverov.

Príklad

05) Záznamy DNS servera:
+ 204.74.105.85
- 172.16.152.2
[...]

Označené záznamy DNS budú odstránené, keď spustíte skript.

06) Important registry entries

Táto sekcia obsahuje informácie o dôležitých položkách databázy Registry.

Príklad

06) Dôležité položky databázy Registry:
* Kategória: Štandardné samospúšťanie (3 položky)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HotKeysCmds = C:\Windows\system32\hkcmd.exe
- IgfxTray = C:\Windows\system32\igfxtray.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Google Update = “C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe” /c
* Kategória: Internet Explorer (7 položiek)
HKLM\Software\Microsoft\Internet Explorer\Main
+ Default_Page_URL = http://thatcrack.com/
[...]

Označené záznamy budú po spustení skriptu zmazané, zredukované na 0-bajtové hodnoty alebo obnovené do predvolených hodnôt. Akcia, ktorá sa na konkrétnu položku uplatní po spustení skriptu, závisí od kategórie daného záznamu a hodnoty kľúča v špecifickej vetve v databáze Registry.

07) Services

Táto sekcia obsahuje zoznam služieb, ktoré sú zaregistrované v systéme.

Príklad

07) Služby:
- Názov: Služba Filtrov Andrea ADI, cesta k exe súboru: c:\windows\system32\aeadisrv.exe, stav: Spustená, spustenie: Automatické
- Názov: Služba spokojnosti s aplikáciami, cesta k exe súboru: c:\windows\system32\aelupsvc.dll, stav: Spustená, spustenie: Automatické
- Názov: Služba brány aplikačnej vrstvy, cesta k exe súboru: c:\windows\system32\alg.exe, stav: Pozastavená, spustenie: Manuálne
[...]

Služby, ktoré sú označené, a tiež služby, ktoré sú na nich závislé, budú po spustení skriptu zastavené a odinštalované.

08) Drivers

Táto sekcia obsahuje zoznam nainštalovaných ovládačov.

Príklad

08) Ovládače:
- Názov: Microsoft ACPI Ovládač, cesta k exe súboru: c:\windows\system32\drivers\acpi.sys, stav: Spustená, spustenie: Pri spúšťaní systému
- Názov: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32\drivers\adihdaud.sys, stav: Spustená, spustenie: Manuálne
[...]

Keď spustíte skript, zvolené ovládače budú pozastavené. Všimnite si, že niektoré ovládače nie je možné pozastaviť.

09) Critical files

Táto sekcia obsahuje informácie o súboroch, ktoré sú kritické pre správne fungovanie operačného systému.

Príklad

09) Kritické súbory:
* Súbor: win.ini
- [písmo]
- [vylúčenia]
- [súbory]
- MAPI=1
[...]
* Súbor: system.ini
- [386Enh]
- woafont=dosapp.fon
- EGA80WOA.FON=EGA80WOA.FON
[...]
* Súbor: hostitelia
- 127.0.0.1 localhost
- ::1 localhost
[...]

Zvolené položky budú buď odstránené, alebo obnovené do ich pôvodných hodnôt.

10) Scheduled tasks

Táto sekcia obsahuje informácie o naplánovaných úlohách.

Príklad

10) Naplánované úlohy

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe /c

- c:\users\admin\appdata\local\google\update\googleupdate.exe /ua /installsource

- %windir%\system32\appidpolicyconverter.exe

- %windir%\system32\appidcertstorecheck.exe

- aitagent

[...]

˄˅