KNOWLEDGE BASE

Knowledge Base
1Backup
Acronis
Antivirus
Email
Firewall
GFI Software
Mail
Monitoring
N-Able
Sicurezza
TSPlus
× Non sei ancora nostro cliente Eset? Diventa Partner CoreTech e visita il nostro configuratore prezzi

ESET - SysInspector - Script di servizio

Script di servizio ESET SysInspector

Lo script di servizio è uno strumento utile per i clienti che utilizzano ESET SysInspector in quanto consente di rimuovere facilmente gli oggetti indesiderati dal sistema.

Lo script di servizio consente all'utente di esportare l'intero rapporto di ESET SysInspector o le parti selezionate. Al termine dell'esportazione, è possibile selezionare gli oggetti indesiderati da eliminare. È quindi possibile eseguire il rapporto modificato per eliminare gli oggetti contrassegnati.

Lo script di servizio è adatto agli utenti avanzati che hanno già esperienza nella diagnostica dei problemi del sistema. Le modifiche effettuate da persone non qualificate potrebbero causare danni al sistema operativo.

Esempio di utilizzo di ESET SysInspector

Se sospettate che il computer sia infettato da un virus non rilevato dal programma antivirus, attenersi alle seguenti istruzioni dettagliate:

  1. eseguite ESET SysInspector per generare un nuovo snapshot del sistema;
  2. selezionate il primo elemento della sezione a sinistra (nella struttura ad albero), premere Shift ed evidenziare l'ultimo elemento per selezionarli tutti;
  3. fare clic con il pulsante destro del mouse sugli oggetti selezionati e scegliere Esporta sezioni selezionate a script di servizio;
  4. gli oggetti selezionati verranno esportati in un nuovo rapporto;
  5. questo è il passaggio più importante dell'intera procedura: aprite il nuovo rapporto e cambiare l'attributo - in + per tutti gli oggetti che desiderate rimuovere, facendo attenzione a non contrassegnare file/oggetti importanti del sistema operativo;
  6. aprite ESET SysInspector, fate clic su File > Esegui script di servizio e immettete il percorso dello script;
  7. fate clic su OK per eseguire lo script.

Generazione dello script di servizio

Per generare uno script, fate clic con il pulsante destro del mouse su qualsiasi voce della struttura del menu (nel riquadro a sinistra) nella finestra principale di ESET SysInspector; selezionate l'opzione Esporta tutte le sezioni a script di servizio o Esporta sezioni selezionate a script di servizio nel menu contestuale.

Notate che non è possibile esportare lo script di servizio quando vengono confrontati due rapporti.

Struttura dello script di servizio

Nella prima riga dell'intestazione dello script sono disponibili informazioni sulla versione del motore (ev), sulla versione dell'interfaccia utente (gv) e sulla versione del rapporto (lv). Questi dati possono essere utilizzati per tenere traccia delle possibili variazioni nel file XML che genera lo script e prevenire eventuali incoerenze durante l'esecuzione; non modificate questa parte dello script.

La restante parte del file è suddivisa in sezioni in cui è possibile modificare gli elementi (indicare quelli che saranno elaborati dallo script); è possibile contrassegnare gli elementi da elaborare sostituendo il carattere "-" davanti a un elemento con il carattere "+". Le sezioni dello script sono separate tra loro mediante una riga vuota e ad ogni sezione viene assegnato un numero e un titolo.

01. Processi in esecuzione

Questa sezione contiene un elenco di tutti i processi in esecuzione nel sistema. Ogni processo è identificato mediante il proprio percorso UNC e, successivamente, dal rispettivo codice hash CRC16 tra asterischi (*).

Esempio:

01) Running processes:
- \SystemRoot\System32\smss.exe *4725*
- C:\Windows\system32\svchost.exe *FD08*
+ C:\Windows\system32\module32.exe *CF8A*
[...]

Nell'esempio, è stato selezionato un processo, module32.exe (contrassegnato dal carattere "+"). Il processo terminerà all'esecuzione dello script.

02. Moduli caricati

In questa sezione sono contenuti i moduli di sistema attualmente in uso.

Esempio:

02) Loaded modules:
- c:\windows\system32\svchost.exe
- c:\windows\system32\kernel32.dll
+ c:\windows\system32\khbekhb.dll
- c:\windows\system32\advapi32.dll
[...]

Nell'esempio, il modulo khbekhb.dll è stato contrassegnato con "+". All'esecuzione dello script, i processi che eseguono tale modulo specifico verranno riconosciuti e interrotti.

03. Connessioni TCP

Questa sezione contiene informazioni sulle connessioni TCP esistenti.

Esempio:

03) TCP connections:
- Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe
- Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006,
- Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE
- Listening on *, port 135 (epmap), owner: svchost.exe
+ Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System
[...]

All'esecuzione dello script, verrà individuato il proprietario del socket nelle connessioni TCP contrassegnate e il socket verrà interrotto, liberando le risorse del sistema.

Banner

04. Endpoint UDP

Questa sezione contiene informazioni sugli endpoint UDP esistenti.

Esempio:

04) UDP endpoints:
- 0.0.0.0, port 123 (ntp)
+ 0.0.0.0, port 3702
- 0.0.0.0, port 4500 (ipsec-msft)
- 0.0.0.0, port 500 (isakmp)
[...]

All'esecuzione dello script, verrà isolato il proprietario del socket sugli endpoint UDP contrassegnati e il socket verrà interrotto.

05. Voci server DNS

Questa sezione contiene informazioni sulla configurazione del server DNS corrente.

Esempio:

05) DNS server entries:
+ 204.74.105.85
- 172.16.152.2
[...]

All'esecuzione dello script, le voci del server DNS contrassegnate verranno rimosse.

06. Voci importanti del Registro di sistema

Questa sezione contiene informazioni su importanti voci del Registro di sistema.

Esempio:

06) Important registry entries:
* Category: Standard Autostart (3 items)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HotKeysCmds = C:\Windows\system32\hkcmd.exe
- IgfxTray = C:\Windows\system32\igfxtray.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Google Update = "C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe" /c
* Category: Internet Explorer (7 items)
HKLM\Software\Microsoft\Internet Explorer\Main
+ Default_Page_URL = http://thatcrack.com/
[...]

All'esecuzione dello script, le voci contrassegnate verranno eliminate, ridotte a valori a 0 byte o ripristinate sui valori predefiniti; l’azione da eseguire su una particolare voce dipende dalla categoria della voce stessa e dal valore principale nel Registro di sistema specifico.

07. Servizi

In questa sezione sono riportati i servizi registrati all'interno del sistema.

Esempio:

Banner

07) Services:
- Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup: Automatic
- Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup: Automatic
- Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: Manual
[...]

All’esecuzione dello script, i servizi contrassegnati e i relativi servizi dipendenti verranno interrotti e disinstallati.

08. Driver

In questa sezione sono riportati i driver installati.

Esempio:

08) Drivers:
- Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot
- Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32\drivers\adihdaud.sys, state: Running, startup: Manual
[...]

Quando si esegue lo script, i driver selezionati verranno arrestati; tenete presente che alcuni driver non possono essere arrestati.

09. File critici

Questa sezione contiene informazioni sui file critici per il corretto funzionamento del sistema operativo.

Esempio:

09) Critical files:
* File: win.ini
- [fonts]
- [extensions]
- [files]
- MAPI=1
[...]
* File: system.ini
- [386Enh]
- woafont=dosapp.fon
- EGA80WOA.FON=EGA80WOA.FON
[...]
* File: hosts
- 127.0.0.1 localhost
- ::1 localhost
[...]

Gli elementi selezionati saranno eliminati o ripristinati sui valori originali.

Esecuzione degli script di servizio ESET SysInspector

Per eseguire gli script di servizio contrassegnate tutti gli elementi desiderati, quindi salvate e chiudete lo script; a questo punto eseguite lo script modificato direttamente dalla finestra principale di ESET SysInspector selezionando l'opzione Esegui script di servizio dal menu File. All'apertura di uno script, verrà visualizzato il seguente messaggio:

Eseguire lo script di servizio "%Scriptname%"?

Dopo aver confermato, verrà visualizzato un altro messaggio per segnalare che lo script di servizio che si sta cercando di eseguire non è stato firmato: fate clic su Esegui per avviare lo script, allorché verrà visualizzata una finestra di dialogo per confermare la corretta esecuzione dello script.

Se lo script è stato eseguito solo parzialmente, verrà visualizzata una finestra di dialogo contenente il seguente messaggio:

  • Lo script di servizio è stato eseguito parzialmente. Visualizzare il rapporto degli errori? Selezionate per visualizzare un rapporto completo degli errori in cui sono indicate le operazioni non eseguite.

Se lo script non viene riconosciuto, verrà visualizzata una finestra di dialogo contenente il seguente messaggio: 

  • Lo script di servizio selezionato non è firmato. L'esecuzione di script sconosciuti o non firmati potrebbe causare seri danni ai dati nel computer. Eseguire lo script e le azioni? Ciò potrebbe essere causato da incoerenze all'interno dello script (intestazione danneggiata, titolo della sezione danneggiato, linea vuota tra le sezioni e così via). È possibile riaprire il file script e correggere gli errori all'interno dello script o creare un nuovo script di servizio.