Struktura skripta za storitev

V prvi vrstici glave skripta so podatki o različici orodja (ev), različici GUI (gv) in različici dnevnika (lv). S temi podatki lahko sledite morebitnim spremembam v datoteki .xml, ki ustvari skript in prepreči morebitne nedoslednosti med izvedbo. Ne spreminjajte tega dela skripta.

Preostali del skripta je razdeljen v razdelke. V njih so elementi, ki jih je mogoče urejati (označite tiste, ki jih bo skript obdelal). Elemente označite za obdelavo tako, da znak »-« pred elementom zamenjate z znakom »+«. Razdelki v skriptu so med seboj ločeni s prazno vrstico. Vsak razdelek ima številko in naslov.

01) Izvajajoči se procesi

V tem razdelku je seznam vseh procesov, ki se izvajajo v sistemu. Vsak proces je določen s potjo UNC in z razprševalno kodo CRC16 v zvezdici (*).

example

Primer

01) Running processes:
- \SystemRoot\System32\smss.exe *4725*
- C:\Windows\system32\svchost.exe *FD08*
+ C:\Windows\system32\module32.exe *CF8A*
[...]

V tem primeru je bil izbran proces module32.exe (označen z znakom »+«); proces se bo po izvedbi skripta končal.

02) Naloženi moduli

V tem razdelku so trenutno uporabljeni moduli sistema.

example

Primer

02) Loaded modules:
- c:\windows\system32\svchost.exe
- c:\windows\system32\kernel32.dll
+ c:\windows\system32\khbekhb.dll
- c:\windows\system32\advapi32.dll
[...]

V tem primeru je bil z znakom »+« označen modul khbekhb.dll. Ko bo skript zagnan, bo s tem modulom prepoznal procese in jih zaustavil.

03) Povezave TCP

V tem razdelku so informacije o obstoječih povezavah TCP.

example

Primer

03) TCP connections:
- Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe
- Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006,
- Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE
- Listening on *, port 135 (epmap), owner: svchost.exe
+ Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System
[...]

Ko je skript zagnan, poišče lastnika vtičnice v označenih povezavah TCP in jo zaustavi, s tem pa sprosti sistemska sredstva.

04) Končne točke UDP

V tem razdelku so informacije o obstoječih končnih točkah UDP.

example

Primer

04) UDP endpoints:
- 0.0.0.0, port 123 (ntp)
+ 0.0.0.0, port 3702
- 0.0.0.0, port 4500 (ipsec-msft)
- 0.0.0.0, port 500 (isakmp)
[...]

Ko je skript zagnan, poišče lastnika vtičnice v označenih končnih točkah UDP in jo zaustavi.

05) Vnosi v strežniku DNS

V tem razdelku so informacije o trenutni konfiguraciji strežnika DNS.

example

Primer

05) DNS server entries:
+ 204.74.105.85
- 172.16.152.2
[...]

Ko zaženete skript, bodo označeni vnosi v strežniku DNS odstranjeni.

06) Pomembni vnosi v registru

V tem razdelku so informacije o pomembnih vnosih v registru.

example

Primer

06) Important registry entries:
* Category: Standard Autostart (3 items)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HotKeysCmds = C:\Windows\system32\hkcmd.exe
- IgfxTray = C:\Windows\system32\igfxtray.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Google Update = “C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe” /c
* Category: Internet Explorer (7 items)
HKLM\Software\Microsoft\Internet Explorer\Main
+ Default_Page_URL = http://thatcrack.com/
[...]

Pri zagonu skripta bodo označeni vnosi izbrisani, zmanjšani na vrednost 0 bajtov ali ponastavljeni na privzete vrednosti. Dejanje, ki bo uporabljeno za določen vnos, je odvisno od kategorije vnosa in vrednosti ključa v določenem registru.

07) Storitve

V tem razdelku je seznam storitev, registriranih v sistemu.

example

Primer

07) Services:
- Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup: Automatic
- Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup: Automatic
- Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: Manual
[...]

Pri zagonu skripta bodo zaustavljene in odstranjene označene storitve in njihove odvisne storitve.

08) Gonilniki

V tem razdelku je seznam nameščenih gonilnikov.

example

Primer

08) Drivers:
- Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot
- Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32\drivers\adihdaud.sys, state: Running, startup: Manual
[...]

Ko zaženete skript, bodo izbrani gonilniki zaustavljeni. Nekaterih gonilnikov morda ne bo mogoče zaustaviti.

09) Kritične datoteke

V tem razdelku so informacije o datotekah, ki so kritične za pravilno delovanje operacijskega sistema.

example

Primer

09) Critical files:
* File: win.ini
- [fonts]
- [extensions]
- [files]
- MAPI=1
[...]
* File: system.ini
- [386Enh]
- woafont=dosapp.fon
- EGA80WOA.FON=EGA80WOA.FON
[...]
* File: hosts
- 127.0.0.1 localhost
- ::1 localhost
[...]

Izbrani elementi bodo bodisi izbrisani bodisi ponastavljeni na svoje prvotne vrednosti.

10) Razporejena opravila

V tem razdelku so informacije o razporejenih opravilih.

example

Primer

10) Scheduled tasks

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe /c

- c:\users\admin\appdata\local\google\update\googleupdate.exe /ua /installsource

- %windir%\system32\appidpolicyconverter.exe

- %windir%\system32\appidcertstorecheck.exe

- aitagent

[...]