Problème explorer.exe 50% pross + messagerie facebook virus
Polzo76
Messages postés
11
Date d'inscription
Statut
Membre
Dernière intervention
-
Destrio5 Messages postés 85985 Date d'inscription Statut Modérateur Dernière intervention -
Destrio5 Messages postés 85985 Date d'inscription Statut Modérateur Dernière intervention -
Bonjour a tous,
Voilà, il y a environs une semaine, quelqu'un m'a envoyé un objet sur facebook téléchargeable. C'était une photo avec écrit "hahaha" en commentaire.
J'ai cliqué dessus et surprise, le pc s'est mit totalement a ramer.
En ouvrant mon gestionnaire des taches, il se trouve que 4 "explorer.exe *32" se sont rajouter en plus de mon explorer.exe de base. Un de ces explorer tourne environs a 500 000K et augmente au fur et a mesure, et un autre monte a 50 au niveau "processeur".
Ces explorer partent de temps en temps, et reviennent tous les jours.
En plus ce ca, ce matin, un message a été envoyé a tout mes contacts facebook avec devinez quel message ? "hahaha + photo"! Je suis entrain de scanner mon pc avec avast et super antispyware mais rien ne se passe. Je commence a péter les plombs, HELP ME! :p
Merci d'avance.
Paul
Voilà, il y a environs une semaine, quelqu'un m'a envoyé un objet sur facebook téléchargeable. C'était une photo avec écrit "hahaha" en commentaire.
J'ai cliqué dessus et surprise, le pc s'est mit totalement a ramer.
En ouvrant mon gestionnaire des taches, il se trouve que 4 "explorer.exe *32" se sont rajouter en plus de mon explorer.exe de base. Un de ces explorer tourne environs a 500 000K et augmente au fur et a mesure, et un autre monte a 50 au niveau "processeur".
Ces explorer partent de temps en temps, et reviennent tous les jours.
En plus ce ca, ce matin, un message a été envoyé a tout mes contacts facebook avec devinez quel message ? "hahaha + photo"! Je suis entrain de scanner mon pc avec avast et super antispyware mais rien ne se passe. Je commence a péter les plombs, HELP ME! :p
Merci d'avance.
Paul
A voir également:
- Problème explorer.exe 50% pross + messagerie facebook virus
- Story facebook comment ça marche - Guide
- Virus mcafee - Accueil - Piratage
- Voir qui regarde mon profil facebook - Guide
- Facebook lite gratuit - iam - Télécharger - Messagerie
- Compte facebook désactivé - Guide
21 réponses
Bonjour,
On va regarder avec un outil de diagnostic :
--> Télécharge ZHPDiag (de Nicolas Coolman).
--> Double-clique sur le fichier d'installation. Installe ZHPDiag avec les paramètres par défaut (laisse "Créer une icône sur le Bureau" coché).
--> Lance ZHPDiag en double-cliquant sur le raccourci présent sur ton Bureau.
--> Clique sur "Complet".
--> Une fois le scan terminé, un rapport est créé sur le Bureau.
--> Héberge-le sur pjjoint.malekal.com puis copie-colle le lien donné par le site dans ton prochain message.
On va regarder avec un outil de diagnostic :
--> Télécharge ZHPDiag (de Nicolas Coolman).
--> Double-clique sur le fichier d'installation. Installe ZHPDiag avec les paramètres par défaut (laisse "Créer une icône sur le Bureau" coché).
--> Lance ZHPDiag en double-cliquant sur le raccourci présent sur ton Bureau.
--> Clique sur "Complet".
--> Une fois le scan terminé, un rapport est créé sur le Bureau.
--> Héberge-le sur pjjoint.malekal.com puis copie-colle le lien donné par le site dans ton prochain message.
Bonjour Destrio5, merci de venir a mon secours ! ^^
Voilà : https://pjjoint.malekal.com/files.php?id=ZHPDiag_20140603_i12h11b5q8k6
Dans mon "démarrage" il y a un truc qui s'appel "AAAAAAAAAA...." que j'ai justement désactivé. En lisant le rapport j'ai remarqué qu'un deuxieme a apparu!
Voilà : https://pjjoint.malekal.com/files.php?id=ZHPDiag_20140603_i12h11b5q8k6
Dans mon "démarrage" il y a un truc qui s'appel "AAAAAAAAAA...." que j'ai justement désactivé. En lisant le rapport j'ai remarqué qu'un deuxieme a apparu!
--> Désinstalle Ad-Aware Antivirus (il est inutile).
--> Copie tout le texte présent en gras ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").
Script ZHPFix
SysRestore
R3 - URLSearchHook: (no name) [64Bits] - {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} . (.Microsoft Corporation - Navigateur Internet.) (No version) -- (.not file.)
O3 - Toolbar\WebBrowser: (no name) - [HKCU]{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E} Clé orpheline
O4 - HKCU\..\Run: [AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA] Clé orpheline
O4 - HKCU\..\Run: [svchost] regsvr32 \s C:\Temp:00D5D397.dat (.not file.)
O4 - HKUS\S-1-5-21-4067599432-67590582-4139912651-1000\..\Run: [AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA] Clé orpheline
O4 - HKUS\S-1-5-21-4067599432-67590582-4139912651-1000\..\Run: [svchost] regsvr32 \s C:\Temp:00D5D397.dat (.not file.)
O42 - Logiciel: VLC Media Player Packages - (...) [HKCU][64Bits] -- VLC Media Player Packages
O43 - CFD: 19/09/2012 - 01:10:24 - [] ----D C:\Users\Paul\AppData\Local\CRE
O51 - MPSK:{bd974cba-1d1b-11e2-850a-0019dbd14d30}\AutoRun\command. (...) -- E:\Installer.exe (.not file.)
O53 - SMSR:HKLM\...\startupreg\svchost [Key] . (...) -- regsvr32 \s "C:\Temp:00D5D397.dat" (.not file.)
O69 - SBI: prefs.js [Paul - nmmx5jr8.default] user_pref("extensions.crossriderapp4479.4479.plugins.plugin_4.code", "/*! jQuery v1.7.1 jquery.com | jquery.org/license */\n(funct[...]
O69 - SBI: SearchScopes [HKCU] {B76DACDB-2E9C-4247-A4C0-FBC49C1D007D} - (uTorrentBar_FR Customized Web Search) - http://search.conduit.com
[HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\VLC Media Player Packages]
[HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{21111111-1111-1111-1111-110011441179}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{6c97a91e-4524-4019-86af-2aa2d567bf5c}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\29799DE249E7DBC459FC6C8F07EB8375]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0238BBE24EA3A70408B81E4BB89C15E5]
[HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011441179}]
[HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110011441179}]
C:\Users\Paul\AppData\Roaming\VLCMediaPlayerPackages
EmptyFlash
EmptyTemp
--> Lance ZHPFix depuis le raccourci situé sur ton Bureau.
--> Clique sur le bouton IMPORTER. Dans l'encadré principal, tu verras les lignes que tu as copié précédemment apparaître.
--> Clique sur GO et confirme pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.
--> Accepte la désinstallation des programmes si proposé, mais refuse le redémarrage de ton PC si également proposé, car cela stopperait ZHPFix.
--> Une fois terminé, héberge le rapport sur pjjoint.malekal.com puis copie-colle le lien dans ton prochain message.
--> Copie tout le texte présent en gras ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").
Script ZHPFix
SysRestore
R3 - URLSearchHook: (no name) [64Bits] - {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} . (.Microsoft Corporation - Navigateur Internet.) (No version) -- (.not file.)
O3 - Toolbar\WebBrowser: (no name) - [HKCU]{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E} Clé orpheline
O4 - HKCU\..\Run: [AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA] Clé orpheline
O4 - HKCU\..\Run: [svchost] regsvr32 \s C:\Temp:00D5D397.dat (.not file.)
O4 - HKUS\S-1-5-21-4067599432-67590582-4139912651-1000\..\Run: [AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA] Clé orpheline
O4 - HKUS\S-1-5-21-4067599432-67590582-4139912651-1000\..\Run: [svchost] regsvr32 \s C:\Temp:00D5D397.dat (.not file.)
O42 - Logiciel: VLC Media Player Packages - (...) [HKCU][64Bits] -- VLC Media Player Packages
O43 - CFD: 19/09/2012 - 01:10:24 - [] ----D C:\Users\Paul\AppData\Local\CRE
O51 - MPSK:{bd974cba-1d1b-11e2-850a-0019dbd14d30}\AutoRun\command. (...) -- E:\Installer.exe (.not file.)
O53 - SMSR:HKLM\...\startupreg\svchost [Key] . (...) -- regsvr32 \s "C:\Temp:00D5D397.dat" (.not file.)
O69 - SBI: prefs.js [Paul - nmmx5jr8.default] user_pref("extensions.crossriderapp4479.4479.plugins.plugin_4.code", "/*! jQuery v1.7.1 jquery.com | jquery.org/license */\n(funct[...]
O69 - SBI: SearchScopes [HKCU] {B76DACDB-2E9C-4247-A4C0-FBC49C1D007D} - (uTorrentBar_FR Customized Web Search) - http://search.conduit.com
[HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\VLC Media Player Packages]
[HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{21111111-1111-1111-1111-110011441179}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{6c97a91e-4524-4019-86af-2aa2d567bf5c}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\29799DE249E7DBC459FC6C8F07EB8375]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0238BBE24EA3A70408B81E4BB89C15E5]
[HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011441179}]
[HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110011441179}]
C:\Users\Paul\AppData\Roaming\VLCMediaPlayerPackages
EmptyFlash
EmptyTemp
--> Lance ZHPFix depuis le raccourci situé sur ton Bureau.
--> Clique sur le bouton IMPORTER. Dans l'encadré principal, tu verras les lignes que tu as copié précédemment apparaître.
--> Clique sur GO et confirme pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.
--> Accepte la désinstallation des programmes si proposé, mais refuse le redémarrage de ton PC si également proposé, car cela stopperait ZHPFix.
--> Une fois terminé, héberge le rapport sur pjjoint.malekal.com puis copie-colle le lien dans ton prochain message.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Ok...
--> Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.
Attention : tu dois prendre la version compatible avec ton système : 32 ou 64 bits.
--> Ferme toutes les applications en cours.
--> Lance FRST (Sous Windows Vista/7/8, clic droit sur FRST > Exécuter en tant qu'administrateur).
--> Coche la case Addition.txt.
--> Clique sur Scan.
--> Une fois le scan terminé, deux rapports FRST.txt et Addition.txt seront présents sur le Bureau.
--> Héberge les deux rapports sur pjjoint.malekal.com et copie-colle les liens fournis dans ta prochaine réponse.
--> Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.
Attention : tu dois prendre la version compatible avec ton système : 32 ou 64 bits.
--> Ferme toutes les applications en cours.
--> Lance FRST (Sous Windows Vista/7/8, clic droit sur FRST > Exécuter en tant qu'administrateur).
--> Coche la case Addition.txt.
--> Clique sur Scan.
--> Une fois le scan terminé, deux rapports FRST.txt et Addition.txt seront présents sur le Bureau.
--> Héberge les deux rapports sur pjjoint.malekal.com et copie-colle les liens fournis dans ta prochaine réponse.
--> Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes).
--> Copie-colle le texte en gras ci-dessous dans le Bloc-notes :
start
SearchScopes: HKCU - {B76DACDB-2E9C-4247-A4C0-FBC49C1D007D} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2851639
HKU\S-1-5-21-4067599432-67590582-4139912651-1000\...\Run: [AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA] => 1
HKU\S-1-5-21-4067599432-67590582-4139912651-1000\...\Run: [svchost] => regsvr32 /s "C:\Temp:00D5D397.dat"
AlternateDataStreams: C:\temp:00A8370A.dat
AlternateDataStreams: C:\temp:00D594D3.dat
AlternateDataStreams: C:\temp:00D5D397.dat
AlternateDataStreams: C:\temp:list3
AlternateDataStreams: C:\temp:pid1
AlternateDataStreams: C:\temp:pid2
AlternateDataStreams: C:\temp:srv
AlternateDataStreams: C:\Windows:83841F41179643A6
end
--> Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
--> Lance FRST (Sous Windows Vista/7/8, clic droit sur FRST > Exécuter en tant qu'administrateur).
--> Clique sur Fix. Patiente le temps de la correction.
Note : si l'outil a besoin d'un redémarrage, laisse le système redémarrer normalement, l'outil terminera son travail.
--> Une fois la correction terminée, un rapport Fixlog.txt sera présent sur le Bureau.
--> Héberge le rapport sur pjjoint.malekal.com et copie-colle le lien fourni dans ta prochaine réponse.
--> Copie-colle le texte en gras ci-dessous dans le Bloc-notes :
start
SearchScopes: HKCU - {B76DACDB-2E9C-4247-A4C0-FBC49C1D007D} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2851639
HKU\S-1-5-21-4067599432-67590582-4139912651-1000\...\Run: [AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA] => 1
HKU\S-1-5-21-4067599432-67590582-4139912651-1000\...\Run: [svchost] => regsvr32 /s "C:\Temp:00D5D397.dat"
AlternateDataStreams: C:\temp:00A8370A.dat
AlternateDataStreams: C:\temp:00D594D3.dat
AlternateDataStreams: C:\temp:00D5D397.dat
AlternateDataStreams: C:\temp:list3
AlternateDataStreams: C:\temp:pid1
AlternateDataStreams: C:\temp:pid2
AlternateDataStreams: C:\temp:srv
AlternateDataStreams: C:\Windows:83841F41179643A6
end
--> Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
--> Lance FRST (Sous Windows Vista/7/8, clic droit sur FRST > Exécuter en tant qu'administrateur).
--> Clique sur Fix. Patiente le temps de la correction.
Note : si l'outil a besoin d'un redémarrage, laisse le système redémarrer normalement, l'outil terminera son travail.
--> Une fois la correction terminée, un rapport Fixlog.txt sera présent sur le Bureau.
--> Héberge le rapport sur pjjoint.malekal.com et copie-colle le lien fourni dans ta prochaine réponse.
J'ai encore lancé ZHPFix, mais ce logiciel a encore planté. C'est peut etre un probleme d'installation ? Si je désinstalle et réinstalle le logiciel ? Faudrait-il que je refasse un diagnostic avec ZHPDiag?
"Si je désinstalle et réinstalle le logiciel ?"
--> Tu peux essayer.
"Faudrait-il que je refasse un diagnostic avec ZHPDiag?"
--> Oui.
--> Tu peux essayer.
"Faudrait-il que je refasse un diagnostic avec ZHPDiag?"
--> Oui.
La réinstallation a été faite. Voici mon nouveau rapport : https://pjjoint.malekal.com/files.php?id=ZHPDiag_20140603_6u6m6s15r5
Ce n'est pas un probleme de SP1 ?
Ce n'est pas un probleme de SP1 ?
Plus de problème sur Facebook ?
Le Service Pack 1 de Windows 7 ? Aucun souci.
ZHPFix ne fonctionne toujours pas ?
Le Service Pack 1 de Windows 7 ? Aucun souci.
ZHPFix ne fonctionne toujours pas ?
Il se trouve que les explorer.exe *32 ne sont plus là mais partent de temps en temps et reviennent... Depuis midi, plus de messages ont été renvoyer.
Le ZHPDiag marche, mais c'est le ZHPFIX Qui ne marche pas.
Le ZHPDiag marche, mais c'est le ZHPFIX Qui ne marche pas.
J'ai déjà essayé hier et c'est le même problème. L'explorer n'a pas l'aire de revenir aujourd'hui... S'il perciste et continue a m'ennuyer je devrai peut etre reformater... Merci pour cette aide précieuse Destrio5, et pour le temps que tu m'as accordé!
Bon courage pour la suite!
Bon courage pour la suite!
Ce n'est pas grave pour ZHPFix, on va faire la même chose mais avec FRST.
Le fixlist :
start
C:\Users\Paul\AppData\Roaming\VLCMediaPlayerPackages
Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\VLC Media Player Packages" /f
Reg: reg delete "HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{21111111-1111-1111-1111-110011441179}" /f
Reg: reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{6c97a91e-4524-4019-86af-2aa2d567bf5c}" /f
Reg: reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\29799DE249E7DBC459FC6C8F07EB8375" /f
Reg: reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0238BBE24EA3A70408B81E4BB89C15E5" /f
Reg: reg delete "HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011441179}" /f
Reg: reg delete "HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110011441179}" /f
end
Le fixlist :
start
C:\Users\Paul\AppData\Roaming\VLCMediaPlayerPackages
Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\VLC Media Player Packages" /f
Reg: reg delete "HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{21111111-1111-1111-1111-110011441179}" /f
Reg: reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{6c97a91e-4524-4019-86af-2aa2d567bf5c}" /f
Reg: reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\29799DE249E7DBC459FC6C8F07EB8375" /f
Reg: reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0238BBE24EA3A70408B81E4BB89C15E5" /f
Reg: reg delete "HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011441179}" /f
Reg: reg delete "HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110011441179}" /f
end