부팅시 시작되는 항목 (작업 관리자 => 시작)을 확인할 때 첫 번째 항목이 “C : \ Windows \ Installer {01BD6AAA-0419-498A-BAE3-B50D078BEA18} _2A3423A49F6BC3B3E88E06.exe”라는 exe 인 것을 알았습니다.
재부팅 후 항목은 폴더 및 시작 목록에 남아
있습니다. 유사한 guid 이름의 파일이 있지만 시작 항목에는 나열되지 않습니다. exe 파일을 수동으로 시작하면이 파일을 내 PC에서 실행할 수 없다는 오류가 표시됩니다.
그것이 무엇인지, 왜 그것을 제거 할 수 있는지, 왜 (아직) 있는지 알 수 있습니까?
답변
분석
찾고 {01BD6AAA-0419-498A-BAE3-B50D078BEA18}상기 순 수익률에 진단 로그의 부부가 같은 GUID가 나타납니다 :
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{01BD6AAA-0419-498A-BAE3-B50D078BEA18}" = ServeToMe
O4 - Startup: C:\Users\AdrianJ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ServeToMe.lnk = C:\Users\AdrianJ\AppData\Roaming\Microsoft\Installer\{01BD6AAA-0419-498A-BAE3-B50D078BEA18}\_2A3423A49F6BC3B3E88E06.exe ()
GUID는 실제로 스트리밍 미디어 서버 응용 프로그램 인 ServeToMe 와 관련이 있습니다.
StreamToMe는 다른 Mac 또는 PC에서 네트워크를 통해 스트리밍되는 비디오, 음악 및 사진 파일 (다양한 형식)을 재생하는 Mac 및 iOS 장치 (iPad, iPhone 및 iPod Touch) 용 미디어 플레이어 응용 프로그램입니다.
파일은 장치의 기본 형식으로 실시간 코드 변환되므로 미디어를 사전 변환 할 필요가 없습니다. 적응 형 비트 전송률은 WiFi 또는 3G를 통해 스트리밍 할 수 있음을 의미합니다.
이 프로그램은 설치하는 동안 Everyone 옵션 을 선택하여 2014/01/02에 22:02에 설치되었습니다 ( 이 컴퓨터를 사용하는 사람을 위해 설치 ). 선택 그저 .exe 파일을 C:\Users\<Name>\AppData\Roaming\Microsoft\Installer\{01BD6AAA-0419-498A-BAE3-B50D078BEA18}대신 설치 합니다.
추가 정보
진수 이름의 .exe파일은 시작 스텁 다른 확장자를 가진 단지 아이콘 파일 및 실행되지 않습니다 분명히 그것은 너무 의미하지 있기 때문에 수동으로 이 있기 때문에 하지 의 모든 실행 파일. 파일 내용의 일부는 다음과 같습니다.
00000000 00 00 01 00 05 00 0D 00 00 00 49 48 44 52 89 5C ..........IHDR‰\
00000010 01 00 56 00 00 00 30 30 00 00 01 00 20 00 68 26 ..V...00.... .h&
00000020 00 00 DF 5C 01 00 20 20 00 00 01 00 20 00 28 11 ..ß\.. .... .(.
00000030 00 00 47 83 01 00 18 18 00 00 01 00 20 00 B8 09 ..Gƒ........ .¸.
00000040 00 00 6F 94 01 00 10 10 00 00 01 00 20 00 68 04 ..o”........ .h.
00000050 00 00 27 9E 01 00 89 50 4E 47 0D 0A 1A 0A 00 00 ..'ž..‰PNG......
00000060 00 0D 49 48 44 52 00 00 01 00 00 00 00 00 08 06 ..IHDR..........
00000070 00 00 00 5C 72 A8 66 00 00 04 24 69 43 43 50 49 ...\r¨f...$iCCPI
00000080 43 43 20 50 72 6F 66 69 6C 65 00 00 38 11 85 55 CC Profile..8.…U
00000090 DF 6F DB 54 14 3E 89 6F 52 A4 16 3F 20 58 47 87 ßoÛT.>‰oR¤.? XG‡
000000A0 8A C5 AF 55 53 5B B9 1B 1A AD C6 06 49 93 A5 ED ŠÅ¯US[¹...Æ.I“¥í
실제 프로그램은 C:\Program Files (x86)\Zqueue\ServeToMe\ServeToMe.exe64 비트 Windows에 있습니다.
공식 웹 사이트에서 제공되는 최신 버전 인 3.9.0.3053 의 파일 속성 및 체크섬 / 해시입니다 .
File: _2A3423A49F6BC3B3E88E06.exe
File size: 104 KB (107151 bytes)
---
CRC-32: 6ce38c7c
MD4: ce2ab0e3e4fc50c5404c0cfb34d80a6a
MD5: 95173b90d8b163f18d9d2d5d5e15c580
SHA-1: 16e9801bb550b9dd9ea8de89e65de83d540e41da
File: ServeToMe.exe
File size: 177 KB (181760 bytes)
---
CRC-32: 377c83d0
MD4: ecde064905360067b5fb7a8bca6ece40
MD5: 13d2c9bf99b300d9cf58e19c1ad752e4
SHA-1: 16658941876752798e9a39acd7792815d0b8e55c
바로 가기 검사
프로그램이 모든 사람에게 설치되면 바로 가기 전체 경로는 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ServeToMe.lnk입니다. 속성을 확인하면 대상 필드가 회색으로 표시되어 변경할 수 없습니다. 이는 Windows Installer가 만든 특별한 광고 바로 가기 이기 때문입니다 .
Windows Installer에는 사용자에게 투명하지만 Windows Installer가 셸 통합을 통해 응용 프로그램을 시작하기 전에 지정된 응용 프로그램의 설치 상태를 확인하는 데 사용하는 추가 메타 데이터가 포함 된 특수한 바로 가기 유형이 도입되었습니다.
바로 가기 를 파싱 하여 확인할 수 있습니다 .
[Filename]: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ServeToMe.lnk
[Header]
Date created: Unknown
Last accessed: Unknown
Last modified: Unknown
File size: 0 bytes
File attributes: 0x00000000 (None)
Icon index: 0
ShowWindow value: 1 (SW_SHOWNORMAL / SW_NORMAL)
Hot key value: 0x0000 (None)
Link flags: 0x000050f9 (HasLinkTargetIDList, HasRelativePath, HasWorkingDir, HasArguments, HasIconLocation, IsUnicode, HasDarwinID, HasExpIcon)
[Link Target ID List]
CLSID: 20d04fe0-3aea-1069-a2d8-08002b30309d = My Computer
Drive: C:\
Last modified: 01/16/2014 (18:48:54.0) [UTC]
Folder attributes: 0x00000010 (FILE_ATTRIBUTE_DIRECTORY)
Short directory name: Windows
Date created: 07/14/2009 (03:20:10.0) [UTC]
Last accessed: 01/16/2014 (18:48:54.0) [UTC]
Long directory name: Windows
Last modified: 01/17/2014 (11:56:26.0) [UTC]
Folder attributes: 0x00000016 (FILE_ATTRIBUTE_HIDDEN, FILE_ATTRIBUTE_SYSTEM, FILE_ATTRIBUTE_DIRECTORY)
Short directory name: INSTAL~1
Date created: 12/15/2013 (18:45:12.0) [UTC]
Last accessed: 01/17/2014 (11:56:26.0) [UTC]
Long directory name: Installer
Last modified: 01/17/2014 (11:56:26.0) [UTC]
Folder attributes: 0x00000010 (FILE_ATTRIBUTE_DIRECTORY)
Short directory name: {01BD6~1
Date created: 01/17/2014 (11:56:26.0) [UTC]
Last accessed: 01/17/2014 (11:56:26.0) [UTC]
Long directory name: {01BD6AAA-0419-498A-BAE3-B50D078BEA18}
File size: 107151 bytes
Last modified: 01/17/2014 (11:56:26.0) [UTC]
File attributes: 0x00000021 (FILE_ATTRIBUTE_READONLY, FILE_ATTRIBUTE_ARCHIVE)
8.3 filename: _2A3423A49F6BC3B3E88E06.exe
Date created: 01/17/2014 (11:56:26.0) [UTC]
Last accessed: 01/17/2014 (11:56:26.0) [UTC]
Long filename: _2A3423A49F6BC3B3E88E06.exe
[String Data]
Relative path (UNICODE): ..\..\..\..\..\..\Windows\Installer\{01BD6AAA-0419-498A-BAE3-B50D078BEA18}\_2A3423A49F6BC3B3E88E06.exe
Working Directory (UNICODE): C:\Program Files (x86)\Zqueue\ServeToMe\
Arguments (UNICODE): startup
Icon location (UNICODE): C:\Windows\Installer\{01BD6AAA-0419-498A-BAE3-B50D078BEA18}\_2A3423A49F6BC3B3E88E06.exe
[Darwin Properties]
Application identifier (ASCII): Q9UW!o_!_?09WJ'i$c!+>Ipj.(bOirX&j$Vp+8v_j
Application identifier (UNICODE): Q9UW!o_!_?09WJ'i$c!+>Ipj.(bOirX&j$Vp+8v_j
[Icon Location]
Icon location (ASCII): %SystemRoot%\Installer\{01BD6AAA-0419-498A-BAE3-B50D078BEA18}\_2A3423A49F6BC3B3E88E06.exe
Icon location (UNICODE): %SystemRoot%\Installer\{01BD6AAA-0419-498A-BAE3-B50D078BEA18}\_2A3423A49F6BC3B3E88E06.exe
_2A3423A49F6BC3B3E88E06.exe아이콘 위치로만 사용되며 어디에서나ServeToMe.exe 참조되지 않습니다 . 그러나 바로 가기가 작동합니다. 어떻게 요? 플래그는 바로 가기가 포함되어 의미 사용할 수 있습니다 DarwinDataBlock를 :HasDarwinID
DarwinDataBlock 구조 는 쉘 링크 가 활성화 될 때 응용 프로그램을 설치하기 위해 링크 대상 IDList 대신 사용할 수있는 응용 프로그램 ID를 지정합니다 .
이 경우 응용 프로그램 식별자는 입니다. 레지스트리 키 Q9UW!o_!_?09WJ'i$c!+>Ipj.(bOirX&j$Vp+8v_j에서 찾을 수 있습니다 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Assemblies\C:|Program Files (x86)|Zqueue|ServeToMe|ServeToMe.exe.
때때로 “다윈 디스크립터 (Darwin Descriptor)”라고하는이 암호처럼 보이는 문자열은 실제로 특정 제품, 구성 요소 및 기능의 인코딩 된 표현입니다. 이 추가 값이 존재하면 Windows Installer는 데이터를 해독하고이를 사용하여 해당 제품 및 구성 요소를 검사합니다. 구성 요소가 없거나 손상된 것으로 확인되면 Windows Installer는 복구를 시작하여 누락 된 파일 또는 데이터를 복원 한 다음 마지막으로 참조 된 응용 프로그램을 실행하여 적절한 명령 줄 옵션을 전달합니다.
해결
당신이 사용한다면 ServeToMe을 당신이 자동 실행을 방지하려는 경우, 당신은 시작 항목을 비활성화 할 수 있습니다. 그런 다음 필요할 때 프로그램을 수동으로 실행해야합니다. 필요하지 않은 경우 간단히 제거하면됩니다.