˄˅

Tjänsteskriptets struktur

Den första raden i skriptets rubrik innehåller information om motorversion (ev), GUI-version (gv) och loggversion (lv). Använd dessa uppgifter för att spåra eventuella ändringar i .xml-filen som genererar skriptet och förhindra motsägelser under körning. Denna del av skriptet bör inte ändras.

Resten av filen delas in i sektioner i vilka det går att redigera objekt (ange dem som bearbetas av skriptet). Markera objekt till bearbetning genom att byta tecknet - framför objektet med tecknet +. Sektionerna i skriptet avskiljs från varandra med en tom rad. Varje sektion har ett nummer och en rubrik.

01) Processer som körs

Denna sektion innehåller en lista med alla processer som körs på systemet. Varje process identifieras av sin UNC-sökväg och därefter sin CRC16-hashkod mellan asterisker (*).

Exempel

01) Running processes:
- \SystemRoot\System32\smss.exe *4725*
- C:\Windows\system32\svchost.exe *FD08*
+ C:\Windows\system32\module32.exe *CF8A*
[...]

I detta exempel valdes processen module32.exe (markerad med ett plustecken), processen avslutas när skriptet körs.

02) Inlästa moduler

Denna sektion visar systemmoduler som används.

Exempel

02) Loaded modules:
- c:\windows\system32\svchost.exe
- c:\windows\system32\kernel32.dll
+ c:\windows\system32\khbekhb.dll
- c:\windows\system32\advapi32.dll
[...]

I detta exempel markerades modulen khbekhb.dll med ett +. När skriptet körs känner det igen processerna som använder den modulen och avslutar dem.

03) TCP-anslutningar

Denna sektion innehåller information om befintliga TCP-anslutningar.

Exempel

03) TCP connections:
- Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe
- Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006,
- Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE
- Listening on *, port 135 (epmap), owner: svchost.exe
+ Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System
[...]

När skriptet körs söker det efter ägaren till en socket i de markerade TCP-anslutningarna och stoppar denna socket och frigör systemresurser.

04) UDP-slutpunkter

Denna sektion innehåller information om befintliga UDP-slutpunkter.

Exempel

04) UDP endpoints:
- 0.0.0.0, port 123 (ntp)
+ 0.0.0.0, port 3702
- 0.0.0.0, port 4500 (ipsec-msft)
- 0.0.0.0, port 500 (isakmp)
[...]

När skriptet körs söker det efter ägaren till en socket i de markerade TCP-anslutningarna och stoppar denna socket.

05) DNS-serverposter

Denna sektion innehåller information om den aktuella DNS-serverkonfigurationen.

Exempel

05) DNS server entries:
+ 204.74.105.85
- 172.16.152.2
[...]

Markerade DNS-serverposter tas bort när skriptet körs.

06) Viktiga registerposter

Denna sektion innehåller information om viktiga registerposter.

Exempel

06) Important registry entries:
* Category: Standard Autostart (3 items)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HotKeysCmds = C:\Windows\system32\hkcmd.exe
- IgfxTray = C:\Windows\system32\igfxtray.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Google Update = “C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe” /c
* Category: Internet Explorer (7 items)
HKLM\Software\Microsoft\Internet Explorer\Main
+ Default_Page_URL = http://thatcrack.com/
[...]

De markerade posterna tas bort, reducerade till 0-bytevärden eller återställda till sina standardvärden när skriptet körs. Åtgärden som vidtas för en viss post beror på postens kategori och nyckelns värde i det specifika registret.

07) Tjänster

Denna sektion visar tjänster som registrerats i systemet.

Exempel

07) Services:
- Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup: Automatic
- Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup: Automatic
- Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: Manual
[...]

De markerade tjänsterna och deras beroende tjänster stoppas och avinstalleras när skriptet körs.

08) Drivrutiner

Denna sektion visar installerade drivrutiner.

Exempel

08) Drivers:
- Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot
- Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32\drivers\adihdaud.sys, state: Running, startup: Manual
[...]

När skriptet körs, stoppas de valda drivrutinerna. Observera att en del drivrutiner inte tillåter att de stoppas.

09) Kritiska filer

Detta avsnitt innehåller information om filer som är kritiska för operativsystemets funktion.

Exempel

09) Critical files:
* File: win.ini
- [fonts]
- [extensions]
- [files]
- MAPI=1
[...]
* File: system.ini
- [386Enh]
- woafont=dosapp.fon
- EGA80WOA.FON=EGA80WOA.FON
[...]
* File: hosts
- 127.0.0.1 localhost
- ::1 localhost
[...]

De valda objekten antingen tas bort eller återställs till sina ursprungliga värden.

10) Schemalagda aktiviteter

Det här avsnittet innehåller information om schemalagda aktiviteter.

Exempel

10) Scheduled tasks

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe /c

- c:\users\admin\appdata\local\google\update\googleupdate.exe /ua /installsource

- %windir%\system32\appidpolicyconverter.exe

- %windir%\system32\appidcertstorecheck.exe

- aitagent

[...]

˄˅