Анализ
Поиск {01BD6AAA-0419-498A-BAE3-B50D078BEA18}
в сети приводит к появлению пары журналов диагностики, в которых появляется один и тот же GUID :
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{01BD6AAA-0419-498A-BAE3-B50D078BEA18}" = ServeToMe
O4 - Startup: C:\Users\AdrianJ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ServeToMe.lnk = C:\Users\AdrianJ\AppData\Roaming\Microsoft\Installer\{01BD6AAA-0419-498A-BAE3-B50D078BEA18}\_2A3423A49F6BC3B3E88E06.exe ()
GUID действительно связан с ServeToMe, приложением сервера потокового мультимедиа.
StreamToMe - это приложение для воспроизведения мультимедиа для устройств Mac и iOS (iPad, iPhone и iPod Touch), которое воспроизводит видео, музыку и файлы фотографий (в самых разных форматах), передаваемые по сети с другого Mac или ПК.
Файлы транскодируются в естественном формате для вашего устройства, поэтому вам не нужно предварительно конвертировать медиафайлы. Адаптивные битрейты означают, что вы можете передавать по Wi-Fi или 3G.
Программа была установлена 2014/01/02 в 22:02 путем выбора параметра Все во время установки (установите для всех, кто использует этот компьютер). Выбор Just me установил бы эти .exe файлы в C:\Users\<Name>\AppData\Roaming\Microsoft\Installer\{01BD6AAA-0419-498A-BAE3-B50D078BEA18}
.
Дополнительная информация
.exe
файл с шестнадцатеричным именем является заглушкой запуска, просто файлом значков с другим расширением и не запускается вручную, потому что, очевидно, это не так, потому что это вообще не исполняемый файл. Вот выдержка из содержимого файла:
00000000 00 00 01 00 05 00 0D 00 00 00 49 48 44 52 89 5C ..........IHDR‰\
00000010 01 00 56 00 00 00 30 30 00 00 01 00 20 00 68 26 ..V...00.... .h&
00000020 00 00 DF 5C 01 00 20 20 00 00 01 00 20 00 28 11 ..ß\.. .... .(.
00000030 00 00 47 83 01 00 18 18 00 00 01 00 20 00 B8 09 ..Gƒ........ .¸.
00000040 00 00 6F 94 01 00 10 10 00 00 01 00 20 00 68 04 ..o”........ .h.
00000050 00 00 27 9E 01 00 89 50 4E 47 0D 0A 1A 0A 00 00 ..'ž..‰PNG......
00000060 00 0D 49 48 44 52 00 00 01 00 00 00 00 00 08 06 ..IHDR..........
00000070 00 00 00 5C 72 A8 66 00 00 04 24 69 43 43 50 49 ...\r¨f...$iCCPI
00000080 43 43 20 50 72 6F 66 69 6C 65 00 00 38 11 85 55 CC Profile..8.…U
00000090 DF 6F DB 54 14 3E 89 6F 52 A4 16 3F 20 58 47 87 ßoÛT.>‰oR¤.? XG‡
000000A0 8A C5 AF 55 53 5B B9 1B 1A AD C6 06 49 93 A5 ED ŠÅ¯US[¹...Æ.I“¥í
Фактическая программа находится в C:\Program Files (x86)\Zqueue\ServeToMe\ServeToMe.exe
в 64-разрядной версии Windows.
Это свойства файла и контрольная сумма / хэши для версии 3.9.0.3053, которая является последней доступной с официального сайта:
File: _2A3423A49F6BC3B3E88E06.exe
File size: 104 KB (107151 bytes)
---
CRC-32: 6ce38c7c
MD4: ce2ab0e3e4fc50c5404c0cfb34d80a6a
MD5: 95173b90d8b163f18d9d2d5d5e15c580
SHA-1: 16e9801bb550b9dd9ea8de89e65de83d540e41da
File: ServeToMe.exe
File size: 177 KB (181760 bytes)
---
CRC-32: 377c83d0
MD4: ecde064905360067b5fb7a8bca6ece40
MD5: 13d2c9bf99b300d9cf58e19c1ad752e4
SHA-1: 16658941876752798e9a39acd7792815d0b8e55c
Ускоренный осмотр
Когда программа установлена для всех, полный путь к ярлыку - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ServeToMe.lnk
. Если вы проверите свойства, вы увидите, что поле назначения неактивно и недоступно для изменения. Это потому, что это особый, так называемый рекламируемый ярлык, созданный установщиком Windows:
Установщик Windows представляет специальный тип ярлыков, который, хотя и прозрачен для пользователя, содержит дополнительные метаданные, которые установщик Windows использует при интеграции оболочки для проверки состояния установки указанного приложения перед его запуском.
Мы можем подтвердить это, проанализировав ярлык:
[Filename]: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ServeToMe.lnk
[Header]
Date created: Unknown
Last accessed: Unknown
Last modified: Unknown
File size: 0 bytes
File attributes: 0x00000000 (None)
Icon index: 0
ShowWindow value: 1 (SW_SHOWNORMAL / SW_NORMAL)
Hot key value: 0x0000 (None)
Link flags: 0x000050f9 (HasLinkTargetIDList, HasRelativePath, HasWorkingDir, HasArguments, HasIconLocation, IsUnicode, HasDarwinID, HasExpIcon)
[Link Target ID List]
CLSID: 20d04fe0-3aea-1069-a2d8-08002b30309d = My Computer
Drive: C:\
Last modified: 01/16/2014 (18:48:54.0) [UTC]
Folder attributes: 0x00000010 (FILE_ATTRIBUTE_DIRECTORY)
Short directory name: Windows
Date created: 07/14/2009 (03:20:10.0) [UTC]
Last accessed: 01/16/2014 (18:48:54.0) [UTC]
Long directory name: Windows
Last modified: 01/17/2014 (11:56:26.0) [UTC]
Folder attributes: 0x00000016 (FILE_ATTRIBUTE_HIDDEN, FILE_ATTRIBUTE_SYSTEM, FILE_ATTRIBUTE_DIRECTORY)
Short directory name: INSTAL~1
Date created: 12/15/2013 (18:45:12.0) [UTC]
Last accessed: 01/17/2014 (11:56:26.0) [UTC]
Long directory name: Installer
Last modified: 01/17/2014 (11:56:26.0) [UTC]
Folder attributes: 0x00000010 (FILE_ATTRIBUTE_DIRECTORY)
Short directory name: {01BD6~1
Date created: 01/17/2014 (11:56:26.0) [UTC]
Last accessed: 01/17/2014 (11:56:26.0) [UTC]
Long directory name: {01BD6AAA-0419-498A-BAE3-B50D078BEA18}
File size: 107151 bytes
Last modified: 01/17/2014 (11:56:26.0) [UTC]
File attributes: 0x00000021 (FILE_ATTRIBUTE_READONLY, FILE_ATTRIBUTE_ARCHIVE)
8.3 filename: _2A3423A49F6BC3B3E88E06.exe
Date created: 01/17/2014 (11:56:26.0) [UTC]
Last accessed: 01/17/2014 (11:56:26.0) [UTC]
Long filename: _2A3423A49F6BC3B3E88E06.exe
[String Data]
Relative path (UNICODE): ..\..\..\..\..\..\Windows\Installer\{01BD6AAA-0419-498A-BAE3-B50D078BEA18}\_2A3423A49F6BC3B3E88E06.exe
Working Directory (UNICODE): C:\Program Files (x86)\Zqueue\ServeToMe\
Arguments (UNICODE): startup
Icon location (UNICODE): C:\Windows\Installer\{01BD6AAA-0419-498A-BAE3-B50D078BEA18}\_2A3423A49F6BC3B3E88E06.exe
[Darwin Properties]
Application identifier (ASCII): Q9UW!o_!_?09WJ'i$c!+>Ipj.(bOirX&j$Vp+8v_j
Application identifier (UNICODE): Q9UW!o_!_?09WJ'i$c!+>Ipj.(bOirX&j$Vp+8v_j
[Icon Location]
Icon location (ASCII): %SystemRoot%\Installer\{01BD6AAA-0419-498A-BAE3-B50D078BEA18}\_2A3423A49F6BC3B3E88E06.exe
Icon location (UNICODE): %SystemRoot%\Installer\{01BD6AAA-0419-498A-BAE3-B50D078BEA18}\_2A3423A49F6BC3B3E88E06.exe
_2A3423A49F6BC3B3E88E06.exe
служит только расположением значков, а ServeToMe.exe
нигде не упоминается; пока ярлык работает. Как так? Флаг HasDarwinID
включен, что означает, что ярлык содержит DarwinDataBlock:
Структура DarwinDataBlock определяет идентификатор приложения, который можно использовать вместо целевого IDList ссылки для установки приложения при активации ссылки на оболочку .
В этом случае идентификатор приложения - Q9UW!o_!_?09WJ'i$c!+>Ipj.(bOirX&j$Vp+8v_j
, который находится в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Assemblies\C:|Program Files (x86)|Zqueue|ServeToMe|ServeToMe.exe
.
Эта загадочная строка, которую иногда называют «дескриптором Дарвина», на самом деле представляет собой закодированное представление определенного продукта, компонента и функции. Если это дополнительное значение существует, установщик Windows декодирует данные и использует их для выполнения проверок этого продукта и компонента. Если будет обнаружено, что компонент отсутствует или поврежден, установщик Windows запустит восстановление, чтобы восстановить отсутствующий файл или данные, и, наконец, запустит указанное приложение в обычном режиме, передав ему соответствующие параметры командной строки.
разрешение
Если вы используете ServeToMe, вы можете отключить загрузочную запись, если хотите избежать автоматического запуска. Затем вам нужно будет запустить программу вручную при необходимости. Если вам это не нужно, вы можете просто удалить его.
Рекомендации