Analyse
À la recherche de {01BD6AAA-0419-498A-BAE3-B50D078BEA18} sur le réseau permet d'obtenir un quelques journaux de diagnostic où les mêmes GUID apparaît :
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{01BD6AAA-0419-498A-BAE3-B50D078BEA18}" = ServeToMe
O4 - Startup: C:\Users\AdrianJ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ServeToMe.lnk = C:\Users\AdrianJ\AppData\Roaming\Microsoft\Installer\{01BD6AAA-0419-498A-BAE3-B50D078BEA18}\_2A3423A49F6BC3B3E88E06.exe ()
Le GUID est en effet lié à ServeToMe , une application de serveur de médias en continu.
StreamToMe est un lecteur multimédia pour Mac et appareils iOS (iPad, iPhone et iPod Touch) qui lit des fichiers vidéo, musicaux et photo (dans une grande variété de formats) diffusés sur le réseau à partir d'un autre Mac ou PC.
Les fichiers sont transcodés en direct dans le format natif de votre appareil, de sorte que vous n'avez pas besoin de préconvertir vos médias. Grâce aux débits binaires adaptatifs, vous pouvez diffuser en continu sur le WiFi ou la 3G.
Le programme a été installé le 2014/01/02 à 22:02 en sélectionnant l'option Tout le monde lors de la configuration ( Installer pour tous ceux qui utilisent cet ordinateur ). Choisir Juste moi installerait ces fichiers .exe dans C:\Users\<Name>\AppData\Roaming\Microsoft\Installer\{01BD6AAA-0419-498A-BAE3-B50D078BEA18} au lieu de cela.
Informations complémentaires
Le nom hexadécimal .exe est une startup stub n'est qu'un fichier icône avec une extension différente et ne s'exécute pas manuellement parce qu'apparemment ce n'est pas le but recherché parce que c'est pas un fichier exécutable. Voici un extrait du contenu du fichier :
00000000 00 00 01 00 05 00 0D 00 00 00 49 48 44 52 89 5C ..........IHDR‰\
00000010 01 00 56 00 00 00 30 30 00 00 01 00 20 00 68 26 ..V...00.... .h&
00000020 00 00 DF 5C 01 00 20 20 00 00 01 00 20 00 28 11 ..ß\.. .... .(.
00000030 00 00 47 83 01 00 18 18 00 00 01 00 20 00 B8 09 ..Gƒ........ .¸.
00000040 00 00 6F 94 01 00 10 10 00 00 01 00 20 00 68 04 ..o”........ .h.
00000050 00 00 27 9E 01 00 89 50 4E 47 0D 0A 1A 0A 00 00 ..'ž..‰PNG......
00000060 00 0D 49 48 44 52 00 00 01 00 00 00 00 00 08 06 ..IHDR..........
00000070 00 00 00 5C 72 A8 66 00 00 04 24 69 43 43 50 49 ...\r¨f...$iCCPI
00000080 43 43 20 50 72 6F 66 69 6C 65 00 00 38 11 85 55 CC Profile..8.…U
00000090 DF 6F DB 54 14 3E 89 6F 52 A4 16 3F 20 58 47 87 ßoÛT.>‰oR¤.? XG‡
000000A0 8A C5 AF 55 53 5B B9 1B 1A AD C6 06 49 93 A5 ED ŠuUS[¹...Æ.I“¥í
Le programme actuel se trouve à l'adresse suivante C:\Program Files (x86)\Zqueue\ServeToMe\ServeToMe.exe sur un système d'exploitation Windows 64 bits.
Voici les propriétés du fichier et les sommes de contrôle pour la version 3.9.0.3053 qui est la dernière version disponible sur le site officiel :
File: _2A3423A49F6BC3B3E88E06.exe
File size: 104 KB (107151 bytes)
---
CRC-32: 6ce38c7c
MD4: ce2ab0e3e4fc50c5404c0cfb34d80a6a
MD5: 95173b90d8b163f18d9d2d5d5e15c580
SHA-1: 16e9801bb550b9dd9ea8de89e65de83d540e41da
File: ServeToMe.exe
File size: 177 KB (181760 bytes)
---
CRC-32: 377c83d0
MD4: ecde064905360067b5fb7a8bca6ece40
MD5: 13d2c9bf99b300d9cf58e19c1ad752e4
SHA-1: 16658941876752798e9a39acd7792815d0b8e55c
Raccourci inspection
Lorsque le programme est installé pour tous, le chemin complet du raccourci est le suivant C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ServeToMe.lnk . Si vous vérifiez les propriétés, vous pouvez voir que le champ cible est grisé et ne peut pas être modifié. Cela s'explique par le fait qu'il s'agit d'un champ particulier, appelé raccourci annoncé créé par Windows Installer :
Windows Installer introduit un type spécial de raccourci qui, tout en étant transparent pour l'utilisateur, contient des métadonnées supplémentaires que Windows Installer utilise par le biais de son intégration Shell pour vérifier l'état de l'installation de l'application spécifiée avant de lancer l'application.
Nous pouvons le confirmer en analyse syntaxique le raccourci :
[Filename]: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ServeToMe.lnk
[Header]
Date created: Unknown
Last accessed: Unknown
Last modified: Unknown
File size: 0 bytes
File attributes: 0x00000000 (None)
Icon index: 0
ShowWindow value: 1 (SW_SHOWNORMAL / SW_NORMAL)
Hot key value: 0x0000 (None)
Link flags: 0x000050f9 (HasLinkTargetIDList, HasRelativePath, HasWorkingDir, HasArguments, HasIconLocation, IsUnicode, HasDarwinID, HasExpIcon)
[Link Target ID List]
CLSID: 20d04fe0-3aea-1069-a2d8-08002b30309d = My Computer
Drive: C:\
Last modified: 01/16/2014 (18:48:54.0) [UTC]
Folder attributes: 0x00000010 (FILE_ATTRIBUTE_DIRECTORY)
Short directory name: Windows
Date created: 07/14/2009 (03:20:10.0) [UTC]
Last accessed: 01/16/2014 (18:48:54.0) [UTC]
Long directory name: Windows
Last modified: 01/17/2014 (11:56:26.0) [UTC]
Folder attributes: 0x00000016 (FILE_ATTRIBUTE_HIDDEN, FILE_ATTRIBUTE_SYSTEM, FILE_ATTRIBUTE_DIRECTORY)
Short directory name: INSTAL~1
Date created: 12/15/2013 (18:45:12.0) [UTC]
Last accessed: 01/17/2014 (11:56:26.0) [UTC]
Long directory name: Installer
Last modified: 01/17/2014 (11:56:26.0) [UTC]
Folder attributes: 0x00000010 (FILE_ATTRIBUTE_DIRECTORY)
Short directory name: {01BD6~1
Date created: 01/17/2014 (11:56:26.0) [UTC]
Last accessed: 01/17/2014 (11:56:26.0) [UTC]
Long directory name: {01BD6AAA-0419-498A-BAE3-B50D078BEA18}
File size: 107151 bytes
Last modified: 01/17/2014 (11:56:26.0) [UTC]
File attributes: 0x00000021 (FILE_ATTRIBUTE_READONLY, FILE_ATTRIBUTE_ARCHIVE)
8.3 filename: _2A3423A49F6BC3B3E88E06.exe
Date created: 01/17/2014 (11:56:26.0) [UTC]
Last accessed: 01/17/2014 (11:56:26.0) [UTC]
Long filename: _2A3423A49F6BC3B3E88E06.exe
[String Data]
Relative path (UNICODE): ..\..\..\..\..\..\Windows\Installer\{01BD6AAA-0419-498A-BAE3-B50D078BEA18}\_2A3423A49F6BC3B3E88E06.exe
Working Directory (UNICODE): C:\Program Files (x86)\Zqueue\ServeToMe\
Arguments (UNICODE): startup
Icon location (UNICODE): C:\Windows\Installer\{01BD6AAA-0419-498A-BAE3-B50D078BEA18}\_2A3423A49F6BC3B3E88E06.exe
[Darwin Properties]
Application identifier (ASCII): Q9UW!o_!_?09WJ'i$c!+>Ipj.(bOirX&j$Vp+8v_j
Application identifier (UNICODE): Q9UW!o_!_?09WJ'i$c!+>Ipj.(bOirX&j$Vp+8v_j
[Icon Location]
Icon location (ASCII): %SystemRoot%\Installer\{01BD6AAA-0419-498A-BAE3-B50D078BEA18}\_2A3423A49F6BC3B3E88E06.exe
Icon location (UNICODE): %SystemRoot%\Installer\{01BD6AAA-0419-498A-BAE3-B50D078BEA18}\_2A3423A49F6BC3B3E88E06.exe
_2A3423A49F6BC3B3E88E06.exe ne sert que d'emplacement pour les icônes et ServeToMe.exe n'est pas référencé n'importe où ; pourtant le raccourci fonctionne. Comment cela se fait-il ? Les HasDarwinID est activé, ce qui signifie que le raccourci contient un élément DarwinDataBlock :
La structure DarwinDataBlock spécifie un identifiant d'application qui peut être utilisé à la place d'un cible du lien IDList pour installer une application lorsqu'un Shell Lien est activée.
Dans ce cas, l'identifiant de l'application est Q9UW!o_!_?09WJ'i$c!+>Ipj.(bOirX&j$Vp+8v_j qui se trouve dans la base de données HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Assemblies\C:|Program Files (x86)|Zqueue|ServeToMe|ServeToMe.exe clé de registre.
Cette chaîne d'apparence énigmatique, parfois appelée "Darwin Descriptor", est en fait une représentation codée d'un produit, d'un composant et d'une fonctionnalité spécifiques. Si cette valeur supplémentaire existe, Windows Installer décode les données et les utilise pour effectuer des contrôles sur ce produit et ce composant. Si le composant est manquant ou corrompu, Windows Installer lancera une réparation pour restaurer le fichier ou les données manquantes, et lancera finalement l'application référencée comme d'habitude, en lui passant les options de ligne de commande appropriées.
Résolution
Si vous utilisez ServeToMe vous pouvez désactiver l'entrée de démarrage si vous souhaitez éviter le lancement automatique. Vous devrez alors exécuter le programme manuellement lorsque vous en aurez besoin. Si vous n'en avez pas besoin, vous pouvez simplement le désinstaller.
Références
