Tjänsteskript

Tjänsteskript är ett verktyg hjälper till kunder som använder ESET SysInspector genom att enkelt ta bort oönskade objekt från systemet.

Tjänsteskriptet gör det möjligt för användaren att exportera hela ESET SysInspector-loggen eller markerade delar i den. Efter export går det att markera oönskade objekt som ska tas bort. Kör sedan den ändrade loggen för att ta bort markerade objekt.

Tjänsteskriptet är lämpligt för avancerade användare som har tidigare erfarenhet av att diagnostisera problem i systemet. Icke-kvalificerade ändringar kan orsaka skada på operativsystemet.

Exempel

Följ anvisningarna nedan om du misstänker att datorn har infekterats av ett virus som inte har upptäckts av antivirusprogrammet.

1. Kör ESET SysInspector för att skapa en ny avbildning av systemet.

2. Markera alla objekt genom att markera det första objektet i sektionen till vänster (i trädstrukturen), tryck på Shift och markera sedan det sista objektet.

3. Högerklicka på de markerade objekten och välj Exportera markerade sektioner till tjänsteskript.

4. De markerade objekten exporteras till en ny logg.

5. Följande steg är det viktigaste i hela proceduren: öppna den nya loggen och ändra - attributet till + för alla objekt som du vill ta bort. Kontrollera att inga viktiga filer/objekt i operativsystemet markeras.

6. Öppna ESET SysInspector, klicka på Arkiv > Kör tjänsteskript och ange sökvägen till skriptet.

7. Klicka på OK för att köra skriptet.

3.10.6.4.1 Generera tjänsteskript

Generera ett skript genom att högerklicka på ett objekt i menyträdet (i det vänstra fönstret) i ESET SysInspector huvudfönster. Välj antingen Exportera alla sektioner till tjänsteskript eller Exportera markerade sektioner till tjänsteskript.

OBS!

Det går inte att exportera tjänsteskriptet när två loggar jämförs.

3.10.6.4.2 Tjänsteskriptets struktur

Den första raden i skriptets rubrik innehåller information om motorversion (ev), GUI-version (gv) och loggversion (lv). Använd dessa uppgifter för att spåra eventuella ändringar i .xml-filen som genererar skriptet och förhindra motsägelser under körning. Denna del av skriptet bör inte ändras.

Resten av filen delas in i sektioner i vilka det går att redigera objekt (ange dem som bearbetas av skriptet). Markera objekt till bearbetning genom att byta tecknet - framför objektet med tecknet +. Sektionerna i skriptet avskiljs från varandra med en tom rad. Varje sektion har ett nummer och en rubrik.

01) Processer som körs

Denna sektion innehåller en lista med alla processer som körs på systemet. Varje process identifieras av sin UNC-sökväg och därefter sin CRC16-hashkod mellan asterisker (*).

02) Inlästa moduler

Denna sektion visar systemmoduler som används.

Exempel:

I detta exempel markerades modulen khbekhb.dll med ett +. När skriptet körs känner det igen processerna som använder den modulen och avslutar dem.

03) TCP-anslutningar

Denna sektion innehåller information om befintliga TCP-anslutningar.

Exempel:

03) TCP connections:

- Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe - Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006,

- Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE - Listening on *, port 135 (epmap), owner: svchost.exe

+ Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner:

System [...]

När skriptet körs söker det efter ägaren till en socket i de markerade TCP-anslutningarna och stoppar denna socket och frigör systemresurser.

04) UDP-slutpunkter

Denna sektion innehåller information om befintliga UDP-slutpunkter.

Exempel:

När skriptet körs söker det efter ägaren till en socket i de markerade TCP-anslutningarna och stoppar denna socket.

05) DNS-serverposter

Denna sektion innehåller information om den aktuella DNS-serverkonfigurationen.

Exempel:

05) DNS server entries:

+ 204.74.105.85 - 172.16.152.2 [...]

Markerade DNS-serverposter tas bort när skriptet körs.

06) Viktiga registerposter

Denna sektion innehåller information om viktiga registerposter.

Exempel:

06) Important registry entries:

* Category: Standard Autostart (3 items)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - HotKeysCmds = C:\Windows\system32\hkcmd.exe - IgfxTray = C:\Windows\system32\igfxtray.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

- Google Update = "C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe" /c

* Category: Internet Explorer (7 items)

HKLM\Software\Microsoft\Internet Explorer\Main + Default_Page_URL = http://thatcrack.com/

[...]

De markerade posterna tas bort, reducerade till 0-bytevärden eller återställda till sina standardvärden när skriptet körs. Åtgärden som vidtas för en viss post beror på postens kategori och nyckelns värde i det specifika registret.

07) Tjänster

Denna sektion visar tjänster som registrerats i systemet.

Exempel:

07) Services:

- Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup: Automatic

- Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup: Automatic

- Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: Manual

[...]

De markerade tjänsterna och deras beroende tjänster stoppas och avinstalleras när skriptet körs.

08) Drivrutiner

Denna sektion visar installerade drivrutiner.

Exempel:

08) Drivers:

- Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot

- Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:

\windows\system32\drivers\adihdaud.sys, state: Running, startup: Manual [...]

När skriptet körs, stoppas de valda drivrutinerna. Observera att en del drivrutiner inte tillåter att de stoppas.

09) Kritiska filer

Detta avsnitt innehåller information om filer som är kritiska för operativsystemets funktion.

Exempel:

3.10.6.4.3 Köra tjänsteskript

Markera alla önskade objekt, spara och stäng sedan skriptet. Kör det redigerade skriptet direkt i ESET SysInspector huvudfönster genom att välja alternativet Kör tjänsteskript från Arkiv-menyn. När du öppnar ett skript, visar

programmet följande meddelande: Vill du köra tjänsteskriptet %Skriptnamn%? När valet bekräftats, visas kanske en annan varning som talar om att tjänsteskriptet du försöker köra inte har signerats. Klicka på Kör för att starta

skriptet.

Ett dialogfönster bekräftar att skriptet kördes.

Om det endast gick att delvis bearbeta skriptet, visas ett dialogfönster med följande meddelande: Tjänsteskriptet har delvis körts. Vill du visa felrapporten? Välj Ja för att visa en utförlig felrapport med åtgärderna som inte utfördes.

Om skriptet inte kändes igen, visas ett dialogfönster med följande meddelande: Det markerade tjänsteskriptet är inte signerat. Om du kör osignerade och okända skript kan datorns information skadas avsevärt. Vill du köra skriptet och utföra åtgärderna? Detta kan orsakas av motsägelser i skriptet (skadad rubrik, skadad sektionsrubrik, saknad tom rad mellan sektioner osv.). Det går att antingen öppna skriptfilen på nytt och rätta till felen eller skapa ett nytt tjänsteskript.