Ik zat ff in mijn registry te snuffelen, vind ik opeens allemaal verdachte entries:
In de key:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\
staan 2 submappen met een nummer als
{75048700-EF1F-11D0-9888-006097DEACF9}, daar zit een map "Count" in en daar staan DUIZENDEN! registry entries.
Een paar voorbelden:
"HRZR_EHAPCY:\"P:\\JVAAG\\Flfgrz32\\gryrcuba.pcy\",Cubar naq Zbqrz Bcgvbaf"=hex:53,\
00,00,00,06,00,00,00,90,87,ea,f5,a8,31,c2,01
"HRZR_EHACNGU:\\\\fcnpronyy\\p$\\Qbphzragf naq Frggvatf\\byni\\Qrfxgbc\\FgrywrrvtraGhexfnzra.rkr"=hex:0a,\
00,00,00,06,00,00,00,80,f1,9a,2e,90,cb,c1,01
"HRZR_EHACNGU:P:\\Qbphzragf naq Frggvatf\\byni\\Qrfxgbc\\xyvxavrg.rkr"=hex:0a,\
00,00,00,06,00,00,00,a0,08,7e,1d,91,cb,c1,01
"HRZR_EHACNGU:P:\\JVAAG\\Flfgrz32\\arg.rkr"=hex:5e,00,00,00,07,00,00,00,00,70,\
e9,20,2c,4f,c2,01
"HRZR_EHACNGU:P:\\JVAAG\\flfgrz32\\yyfzte.rkr"=hex:0b,00,00,00,06,00,00,00,a0,\
19,14,b0,ec,cc,c1,01
"HRZR_EHACNGU:P:\\Qbphzragf naq Frggvatf\\byni\\Qrfxgbc\\qveg\\qnatreQVEG\\ppgenl.rkr"=hex:0b,\
00,00,00,06,00,00,00,a0,0f,59,ce,9c,cd,c1,01
"HRZR_EHACNGU:P:\\Qbphzragf naq Frggvatf\\byni\\Qrfxgbc\\qveg\\qnatreQVEG\\unfcfrg.rkr"=hex:0b,\
00,00,00,07,00,00,00,20,79,bd,89,9d,cd,c1,01
"HRZR_EHACNGU:P:\\Qbphzragf naq Frggvatf\\byni\\Qrfxgbc\\qveg\\qnatreQVEG\\uvafgnyy.rkr"=hex:0b,\
00,00,00,06,00,00,00,90,1f,0f,7c,9d,cd,c1,01
"HRZR_EHACNGU:R:\\VPNPYAG\\VPN32\\QVFX1\\FRGHC.RKR"=hex:0c,00,00,00,07,00,00,\
00,10,6d,d0,02,b9,ce,c1,01
Beetje onzinnig, maar als je het decrypt met ROT 13:
op
http://the-stable.lancs.ac.uk/~esarie/bibble/rot13.htm
Dan vind je (een beetje opgeschoond):
"UEME_RUNCPL:\"C:\\WINNT\\System32\\telephon.cpl\",Phone and Modem Options"=urk:53,\
"UEME_RUNPATH:\\\\spaceball\\c$\\Documents and Settings\\olav\\Desktop\\SteljeeigenTurksamen.exe"=urk:0n,\
"UEME_RUNPATH:C:\\Documents and Settings\\olav\\Desktop\\klikniet.exe"=urk:0n,\
"UEME_RUNPATH:C:\\WINNT\\System32\\net.exe"=urk:
"UEME_RUNPATH:C:\\WINNT\\system32\\llsmgr.exe"=urk:0o,00,00,00,06,00,00,00,n0,\
19,14,o0,rp,pp,p1,01
"UEME_RUNPATH:C:\\Documents and Settings\\olav\\Desktop\\dirt\\dangerDIRT\\cctray.exe"=urk:0o,\
"UEME_RUNPATH:C:\\Documents and Settings\\olav\\Desktop\\dirt\\dangerDIRT\\haspset.exe"=urk:0o,\
"UEME_RUNPATH:C:\\Documents and
Settings\\olav\\Desktop\\dirt\\dangerDIRT\\hinstall.exe"=urk:0o,\
"UEME_RUNPATH:E:\\ICACLNT\\ICA32\\DISK1\\SETUP.EXE"=urk:0p,00,00,00,07,00,00,\
Dit zijn programmatjes die ik minstens een jaar geleden voor het laatst gebruikt heb.
Als ik de hele file decrypt, dan zie ik mijn HELE pc geschiedenis vanaf de installatie!
Er zijn 2 dingen:
Alle handelingen zijn vastgelegd,
Al mijn favorites zijn vastgelegd. Vanaf het moment dat ik er een heb aangemaakt, staat hij erin.
Als ik een favorite delete, dan blijft hij daarin staan.
Nou vraag ik je: WAAROM wil ik een history van mijn favorietes? Dat gaat toch nergens over?
Ik gooi mijn temp internet file wekelijks weg: soms op de manier die Ms voorschrijft met IE, en soms hardcore met deltree.
Als ik de mappen in de registry verwijder, heeft win2k het even moeilijk, maar maakt vrolijk nieuwe mappen aan, die hij weer volpromt met mijn handelingen.
Als je in de map userassist een nieuwe map maakt, met de naam settings, en een dword daarin met de naam 'NoEncrypt' met de waarde 1, dan zie je (vanaf dan) wat M$ bijschrijft.
Grrrrrr.
Ik denk dat ik maar eens een scriptje ga schrijven dat de boel elke dag verwijdert.
In de key:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\
staan 2 submappen met een nummer als
{75048700-EF1F-11D0-9888-006097DEACF9}, daar zit een map "Count" in en daar staan DUIZENDEN! registry entries.
Een paar voorbelden:
"HRZR_EHAPCY:\"P:\\JVAAG\\Flfgrz32\\gryrcuba.pcy\",Cubar naq Zbqrz Bcgvbaf"=hex:53,\
00,00,00,06,00,00,00,90,87,ea,f5,a8,31,c2,01
"HRZR_EHACNGU:\\\\fcnpronyy\\p$\\Qbphzragf naq Frggvatf\\byni\\Qrfxgbc\\FgrywrrvtraGhexfnzra.rkr"=hex:0a,\
00,00,00,06,00,00,00,80,f1,9a,2e,90,cb,c1,01
"HRZR_EHACNGU:P:\\Qbphzragf naq Frggvatf\\byni\\Qrfxgbc\\xyvxavrg.rkr"=hex:0a,\
00,00,00,06,00,00,00,a0,08,7e,1d,91,cb,c1,01
"HRZR_EHACNGU:P:\\JVAAG\\Flfgrz32\\arg.rkr"=hex:5e,00,00,00,07,00,00,00,00,70,\
e9,20,2c,4f,c2,01
"HRZR_EHACNGU:P:\\JVAAG\\flfgrz32\\yyfzte.rkr"=hex:0b,00,00,00,06,00,00,00,a0,\
19,14,b0,ec,cc,c1,01
"HRZR_EHACNGU:P:\\Qbphzragf naq Frggvatf\\byni\\Qrfxgbc\\qveg\\qnatreQVEG\\ppgenl.rkr"=hex:0b,\
00,00,00,06,00,00,00,a0,0f,59,ce,9c,cd,c1,01
"HRZR_EHACNGU:P:\\Qbphzragf naq Frggvatf\\byni\\Qrfxgbc\\qveg\\qnatreQVEG\\unfcfrg.rkr"=hex:0b,\
00,00,00,07,00,00,00,20,79,bd,89,9d,cd,c1,01
"HRZR_EHACNGU:P:\\Qbphzragf naq Frggvatf\\byni\\Qrfxgbc\\qveg\\qnatreQVEG\\uvafgnyy.rkr"=hex:0b,\
00,00,00,06,00,00,00,90,1f,0f,7c,9d,cd,c1,01
"HRZR_EHACNGU:R:\\VPNPYAG\\VPN32\\QVFX1\\FRGHC.RKR"=hex:0c,00,00,00,07,00,00,\
00,10,6d,d0,02,b9,ce,c1,01
Beetje onzinnig, maar als je het decrypt met ROT 13:
op
http://the-stable.lancs.ac.uk/~esarie/bibble/rot13.htm
Dan vind je (een beetje opgeschoond):
"UEME_RUNCPL:\"C:\\WINNT\\System32\\telephon.cpl\",Phone and Modem Options"=urk:53,\
"UEME_RUNPATH:\\\\spaceball\\c$\\Documents and Settings\\olav\\Desktop\\SteljeeigenTurksamen.exe"=urk:0n,\
"UEME_RUNPATH:C:\\Documents and Settings\\olav\\Desktop\\klikniet.exe"=urk:0n,\
"UEME_RUNPATH:C:\\WINNT\\System32\\net.exe"=urk:
"UEME_RUNPATH:C:\\WINNT\\system32\\llsmgr.exe"=urk:0o,00,00,00,06,00,00,00,n0,\
19,14,o0,rp,pp,p1,01
"UEME_RUNPATH:C:\\Documents and Settings\\olav\\Desktop\\dirt\\dangerDIRT\\cctray.exe"=urk:0o,\
"UEME_RUNPATH:C:\\Documents and Settings\\olav\\Desktop\\dirt\\dangerDIRT\\haspset.exe"=urk:0o,\
"UEME_RUNPATH:C:\\Documents and
Settings\\olav\\Desktop\\dirt\\dangerDIRT\\hinstall.exe"=urk:0o,\
"UEME_RUNPATH:E:\\ICACLNT\\ICA32\\DISK1\\SETUP.EXE"=urk:0p,00,00,00,07,00,00,\
Dit zijn programmatjes die ik minstens een jaar geleden voor het laatst gebruikt heb.
Als ik de hele file decrypt, dan zie ik mijn HELE pc geschiedenis vanaf de installatie!
Er zijn 2 dingen:
Alle handelingen zijn vastgelegd,
Al mijn favorites zijn vastgelegd. Vanaf het moment dat ik er een heb aangemaakt, staat hij erin.
Als ik een favorite delete, dan blijft hij daarin staan.
Nou vraag ik je: WAAROM wil ik een history van mijn favorietes? Dat gaat toch nergens over?
Ik gooi mijn temp internet file wekelijks weg: soms op de manier die Ms voorschrijft met IE, en soms hardcore met deltree.
Als ik de mappen in de registry verwijder, heeft win2k het even moeilijk, maar maakt vrolijk nieuwe mappen aan, die hij weer volpromt met mijn handelingen.
Als je in de map userassist een nieuwe map maakt, met de naam settings, en een dword daarin met de naam 'NoEncrypt' met de waarde 1, dan zie je (vanaf dan) wat M$ bijschrijft.
Grrrrrr.
Ik denk dat ik maar eens een scriptje ga schrijven dat de boel elke dag verwijdert.
/u/29602/john_crazy.png?f=community)
:strip_exif()/u/14979/firewire.gif?f=community)
:strip_exif()/u/33743/icon.gif?f=community){kind=icon}
toch wel /u/50693/crop65155bae34ba4_cropped.png?f=community)
:strip_exif()/u/35573/0sm.gif?f=community)
/u/8680/crop67b363025f8f9_cropped.png?f=community)
:strip_exif()/u/25264/momentum.gif?f=community)
:strip_exif()/u/39854/Tanden_60.gif?f=community)
:strip_icc():strip_exif()/u/28033/032.jpg?f=community)
:strip_icc():strip_exif()/u/23850/aquarius.jpg?f=community)
/u/11437/wandcontactdoos.png?f=community)
/u/21638/crop626ad1243c0f9_cropped.png?f=community)
:strip_exif()/u/30814/newgot.gif?f=community)
:strip_icc():strip_exif()/u/44529/800V.jpg?f=community)
:strip_icc():strip_exif()/u/14/wildhagen60x60.jpg?f=community)
:strip_icc():strip_exif()/u/62320/Underground75.jpg?f=community)
:strip_exif()/u/27186/got.gif?f=community)
:strip_exif()/u/14214/crop6939721322549_cropped.gif?f=community)
:strip_icc():strip_exif()/u/37078/IMG_1518_1_icon_60.jpg?f=community){kind=icon}
:strip_exif()/u/39334/goticon.gif?f=community)
:strip_exif()/u/31311/bierpul.gif?f=community)
:strip_exif()/u/49483/mandarin_sm.gif?f=community)