Análise
Procurando por {01BD6AAA-0419-498A-BAE3-B50D078BEA18}
no rendimento líquido, uma Alguns registros de diagnóstico , onde o mesmo GUID aparece:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{01BD6AAA-0419-498A-BAE3-B50D078BEA18}" = ServeToMe
O4 - Startup: C:\Users\AdrianJ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ServeToMe.lnk = C:\Users\AdrianJ\AppData\Roaming\Microsoft\Installer\{01BD6AAA-0419-498A-BAE3-B50D078BEA18}\_2A3423A49F6BC3B3E88E06.exe ()
O GUID está de fato relacionado ao ServeToMe , um aplicativo de servidor de mídia de fluxo contínuo.
StreamToMe is a media player application for Macs and iOS devices (iPad, iPhone and iPod Touch) that plays video, music and photo files (in a wide variety of formats) streamed over the network from another Mac or PC.
Files are live-transcoded into the native format for your device so you don't need to pre-convert your media. Adaptive bitrates mean that you can stream over WiFi or 3G.
O programa foi instalado em 2014/01/02 às 22:02, selecionando a opção Todos durante a instalação ( Instalar para qualquer pessoa que use este computador ). Escolher Just me instalaria esses arquivos .exe em C:\Users\<Name>\AppData\Roaming\Microsoft\Installer\{01BD6AAA-0419-498A-BAE3-B50D078BEA18}
.
Informações adicionais
O arquivo .exe
com o nome hexadecimal é um stub de inicialização apenas um arquivo de ícone com uma extensão diferente e não será executado manualmente porque aparentemente não foi feito porque não é um arquivo executável. Aqui está um trecho do conteúdo do arquivo:
00000000 00 00 01 00 05 00 0D 00 00 00 49 48 44 52 89 5C ..........IHDR‰\
00000010 01 00 56 00 00 00 30 30 00 00 01 00 20 00 68 26 ..V...00.... .h&
00000020 00 00 DF 5C 01 00 20 20 00 00 01 00 20 00 28 11 ..ß\.. .... .(.
00000030 00 00 47 83 01 00 18 18 00 00 01 00 20 00 B8 09 ..Gƒ........ .¸.
00000040 00 00 6F 94 01 00 10 10 00 00 01 00 20 00 68 04 ..o”........ .h.
00000050 00 00 27 9E 01 00 89 50 4E 47 0D 0A 1A 0A 00 00 ..'ž..‰PNG......
00000060 00 0D 49 48 44 52 00 00 01 00 00 00 00 00 08 06 ..IHDR..........
00000070 00 00 00 5C 72 A8 66 00 00 04 24 69 43 43 50 49 ...\r¨f...$iCCPI
00000080 43 43 20 50 72 6F 66 69 6C 65 00 00 38 11 85 55 CC Profile..8.…U
00000090 DF 6F DB 54 14 3E 89 6F 52 A4 16 3F 20 58 47 87 ßoÛT.>‰oR¤.? XG‡
000000A0 8A C5 AF 55 53 5B B9 1B 1A AD C6 06 49 93 A5 ED ŠÅ¯US[¹...Æ.I“¥í
O programa atual está localizado em C:\Program Files (x86)\Zqueue\ServeToMe\ServeToMe.exe
em um Windows de 64 bits.
Estas são as propriedades do arquivo e checksum / hashes para a versão 3.9.0.3053 , que é a última disponível no site oficial:
File: _2A3423A49F6BC3B3E88E06.exe
File size: 104 KB (107151 bytes)
---
CRC-32: 6ce38c7c
MD4: ce2ab0e3e4fc50c5404c0cfb34d80a6a
MD5: 95173b90d8b163f18d9d2d5d5e15c580
SHA-1: 16e9801bb550b9dd9ea8de89e65de83d540e41da
File: ServeToMe.exe
File size: 177 KB (181760 bytes)
---
CRC-32: 377c83d0
MD4: ecde064905360067b5fb7a8bca6ece40
MD5: 13d2c9bf99b300d9cf58e19c1ad752e4
SHA-1: 16658941876752798e9a39acd7792815d0b8e55c
Inspeção de atalhos
Quando o programa é instalado para todos, o caminho completo do atalho é C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ServeToMe.lnk
. Se você verificar as propriedades, poderá ver que o campo de destino está esmaecido e não pode ser alterado. Isso ocorre porque é um chamado anúncio de atalho criado pelo Windows Installer:
Windows Installer introduces a special type of shortcut which, while transparent to the user, contains additional metadata that Windows Installer uses through its shell integration to verify the state of the specified application's installation prior to launching the application.
Podemos confirmar que, ao analisar , o atalho:
[Filename]: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ServeToMe.lnk
[Header]
Date created: Unknown
Last accessed: Unknown
Last modified: Unknown
File size: 0 bytes
File attributes: 0x00000000 (None)
Icon index: 0
ShowWindow value: 1 (SW_SHOWNORMAL / SW_NORMAL)
Hot key value: 0x0000 (None)
Link flags: 0x000050f9 (HasLinkTargetIDList, HasRelativePath, HasWorkingDir, HasArguments, HasIconLocation, IsUnicode, HasDarwinID, HasExpIcon)
[Link Target ID List]
CLSID: 20d04fe0-3aea-1069-a2d8-08002b30309d = My Computer
Drive: C:\
Last modified: 01/16/2014 (18:48:54.0) [UTC]
Folder attributes: 0x00000010 (FILE_ATTRIBUTE_DIRECTORY)
Short directory name: Windows
Date created: 07/14/2009 (03:20:10.0) [UTC]
Last accessed: 01/16/2014 (18:48:54.0) [UTC]
Long directory name: Windows
Last modified: 01/17/2014 (11:56:26.0) [UTC]
Folder attributes: 0x00000016 (FILE_ATTRIBUTE_HIDDEN, FILE_ATTRIBUTE_SYSTEM, FILE_ATTRIBUTE_DIRECTORY)
Short directory name: INSTAL~1
Date created: 12/15/2013 (18:45:12.0) [UTC]
Last accessed: 01/17/2014 (11:56:26.0) [UTC]
Long directory name: Installer
Last modified: 01/17/2014 (11:56:26.0) [UTC]
Folder attributes: 0x00000010 (FILE_ATTRIBUTE_DIRECTORY)
Short directory name: {01BD6~1
Date created: 01/17/2014 (11:56:26.0) [UTC]
Last accessed: 01/17/2014 (11:56:26.0) [UTC]
Long directory name: {01BD6AAA-0419-498A-BAE3-B50D078BEA18}
File size: 107151 bytes
Last modified: 01/17/2014 (11:56:26.0) [UTC]
File attributes: 0x00000021 (FILE_ATTRIBUTE_READONLY, FILE_ATTRIBUTE_ARCHIVE)
8.3 filename: _2A3423A49F6BC3B3E88E06.exe
Date created: 01/17/2014 (11:56:26.0) [UTC]
Last accessed: 01/17/2014 (11:56:26.0) [UTC]
Long filename: _2A3423A49F6BC3B3E88E06.exe
[String Data]
Relative path (UNICODE): ..\..\..\..\..\..\Windows\Installer\{01BD6AAA-0419-498A-BAE3-B50D078BEA18}\_2A3423A49F6BC3B3E88E06.exe
Working Directory (UNICODE): C:\Program Files (x86)\Zqueue\ServeToMe\
Arguments (UNICODE): startup
Icon location (UNICODE): C:\Windows\Installer\{01BD6AAA-0419-498A-BAE3-B50D078BEA18}\_2A3423A49F6BC3B3E88E06.exe
[Darwin Properties]
Application identifier (ASCII): Q9UW!o_!_?09WJ'i$c!+>Ipj.(bOirX&j$Vp+8v_j
Application identifier (UNICODE): Q9UW!o_!_?09WJ'i$c!+>Ipj.(bOirX&j$Vp+8v_j
[Icon Location]
Icon location (ASCII): %SystemRoot%\Installer\{01BD6AAA-0419-498A-BAE3-B50D078BEA18}\_2A3423A49F6BC3B3E88E06.exe
Icon location (UNICODE): %SystemRoot%\Installer\{01BD6AAA-0419-498A-BAE3-B50D078BEA18}\_2A3423A49F6BC3B3E88E06.exe
_2A3423A49F6BC3B3E88E06.exe
serve apenas como localização de ícone e ServeToMe.exe
não é referenciado em qualquer lugar ; ainda o atalho funciona. Como assim? O sinalizador HasDarwinID
está ativado, o que significa que o atalho contém um DarwinDataBlock :
The DarwinDataBlock structure specifies an application identifier that can be used instead of a link targetIDList to install an application when a shell link is activated.
Nesse caso, o identificador do aplicativo é Q9UW!o_!_?09WJ'i$c!+>Ipj.(bOirX&j$Vp+8v_j
, que pode ser encontrado na chave de registro HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Assemblies\C:|Program Files (x86)|Zqueue|ServeToMe|ServeToMe.exe
.
This cryptic-looking string, sometimes referred to as a "Darwin Descriptor," is actually an encoded representation of a specific product, component, and feature. If this extra value exists, Windows Installer will decode the data, and use it to perform checks against that product and component. If the component is found to be missing or corrupt, Windows Installer will launch a repair to restore the missing file or data, and finally launch the referenced application as normal, passing the appropriate command-line options to it.
Resolução
Se você usar ServeToMe , poderá desativar a entrada de inicialização se quiser evitar o início automático. Você precisaria executar o programa manualmente quando necessário. Se você não precisa, você pode simplesmente desinstalá-lo.