Odvirování PC, zrychlení počítače, vzdálená pomoc prostřednictvím služby neslape.cz

rpcnet nebo rpcnetp.exe - licence k slídění

Máte problém s virem? Vložte sem log z FRST nebo RSIT.

Moderátor: Moderátoři

Pravidla fóra
Pokud chcete pomoc, vložte log z FRST [návod zde] nebo RSIT [návod zde]

Jednotlivé thready budou po vyřešení uzamčeny. Stejně tak ty, které budou nečinné déle než 14 dní. Vizte Pravidlo o zamykání témat. Děkujeme za pochopení.

!NOVINKA!
Nově lze využívat služby vzdálené pomoci, kdy se k vašemu počítači připojí odborník a bližší informace o problému si od vás získá telefonicky! Více na www.neslape.cz
Odpovědět
Zpráva
Autor
vlkvlk
Návštěvník
Návštěvník
Příspěvky: 1
Registrován: 21 lis 2009 20:52
Bydliště: Praha/Brachttal

rpcnet nebo rpcnetp.exe - licence k slídění

#1 Příspěvek od vlkvlk »

rcpnet nebo rcpnetp.exe je součásti programu computrace od kandské firmy absolute software.
tento program je schopny najit ukradeny notebook, to se ale dá taky zneuzit.
copmutrace je umístěný v bios a při každém startu kontroluje jestli je ten agent na harddisku aktivní. v případě ze byl odstraněný tak ho nainstaluje na opet na hdd0 do windows/system32, instaluje též dll soubory. aktivace computrace se nedá už zrušit.
po aktivaci posílá agent kazdých 24 hodin hlášku do vancouvru a seattlu, obsah zprávy je vlastnosti pc, seznam instalovaného hardware a programů, ip adresu jmeno uživatele a pc, a dokonce kde se nachází. pozice se zaměřuje jak s gps tak i přes wlan.
technici od absolute software můžou taky aktivovat webku aniž by se rozsvítila kontrolka, jinak mají možnost se kdykoliv připojit a nainstalovat keylogger a forenzní nástroje.
následně odkaz na seznam notebooku kde je v bios computrace: [http://www.absolute.com/en_GB/products/ ... patibility]

Tean
Přítel fóra
Přítel fóra
Příspěvky: 76
Registrován: 03 bře 2007 13:39
Bydliště: 42412D4F4B 4F4C4945h

Re: rpcnet nebo rpcnetp.exe - licence k slídění

#2 Příspěvek od Tean »

fuj, to je dobry hnus.
To je nieco ako matrix - byt sledovany.
toto najde uplatnenie u nejakych obycajnych uzivatelov.
V komercnej sfere si toto urcite nenecha nasadit ziaden administrator do firemnej siete.

mimochodom, aka bola otazka ? :D

ONE-HALF
Návštěvník
Návštěvník
Příspěvky: 6
Registrován: 13 bře 2007 18:51

Re: rpcnet nebo rpcnetp.exe - licence k slídění

#3 Příspěvek od ONE-HALF »

Nedávno jsem si koupil notebook ACER Travelmate 5740 334g32MN.
Microsoftí otřesnost /kterou si MS patrně dělá z uživatelů srandu/ v podobě 32bit Windows 7 Pro(notně osekaná verze XP) okamžitě letěla a následoval bleskový downgrade na 32bit XP Pro/SLIC umožnuje kdykoliv nainstalovat XP PRO nebo Win 7 Pro/.
Takže první nepříjemnost byla z krku,ale nastala další, všimnul jsem si sítové aktivity jednoho souboru a nemohl jsem ji zaboha vypnout,takže nastal problém, jak se zbavit Computrace/výrobcem napadené modely ACER jsou vystaveny na webu autora slídiče.

První pokus nevyšel:
Služba "rpcnetp" pomocí "nástroje pro správu--služby" trvale zastavit nešla/pouze do dalšího restartu/.Ostranil jsem tedy všechny záznamy z registru /vyhledával jsem heslo "rpcnetp"/, odstranil z \system32 soubory rpcnetp.exe i rpcnet.dll, vypnul obnovu systému,zkontroloval \system32\dllcache(tyto soubory tam nebyly),restartoval a očekával úmrtí Computrace - bohužel po restartu bylo opět vše při starém - oba soubory na disku, všechny záznamy obnoveny registru, služba si vesele běžela...

Druhý pokus:
Po několikaminutovém nadávání, jsem spustil zásady skupin (gpedit.msc) --konfigurace uživatele--šablony pro správu--systém--"nespouštět určené aplikace systému windows", přidal jsem tam k iexplore.exe(blokuji ho pravidelně) i sobor rpcnetp.exe a byl přesvědčen, že jsem tímto s Computrace natrvalo vydupal.
Po restartu kouknu do seznamu spuštěných aplikací a ejhle..., ta mrcha tam byla zas.../přitom po následném kliknutí na soubor vyskočila očekávaná hláška "při spuštění programu došlo k chybě" a program se podle nastavené zásady nespustil.../

Třetí pokus:
Vymazal jsem komplet v notepadu obsah souborů rpcnetp.exe a rpcnetp.dll, ochránil je atributem "jen pro čtení a restartoval.
Po restartu se o mě již pokoušel infarkt, protože rpcnetp.exe měl opět stejnou velikost jako originál, služba byla opět aktivní,atribut RO byl odstraněn.Nulová velikost i atribut RO u rpcnetp.dll ale zůstala.

Čtvrtý pokus:/napůl úspěch/
Stejné jako u 3 pokus, akorát, že jsem u rpcnetp.exe nastavil všechny atributy/skrytý,systémový,jen pro čení/
Bingo, po restatu se již soubor rpcnetp.exe nepřepsal,atributy i velikost(0B) již zústaly permanentně beze změn.Ale služba byla stále vidět v seznamu služeb a měla stále snahu se /byť neúspěšně/ načítat

Pátý pokus/komplet vypnuto/
V registru jsem vyhledal výskyt "rpcnetp". U každého výkytu holého klíče rpcnetp /nic před, nic za/ v services, jsem u něj odstranil veškerá oprávnění /musí se ale prvně po kliknutí na "upřesni" vypnout dědičnost oprávnění/ - zmizely díky tomu automaticky i údaje v tomto klíči i podklíči zapsané.
Zbytek klíčů s výskytem slova rpcnetp jsem natvrdo smazal.

Po restartu měly oba soubory velikost 0B,nastavené atributy zůstaly, záznamy se v registru již neobnovily,služba se v seznamu služeb již nenachází, proces rpcnetp.exe spuštěný není.Síťová aktivita není žádná.
Funkčnost: trvalá.

Zajímalo by mně, kde se ve výrobcích bere ta drzost, bez upozornění uživatele něco takového svévolně cpát někomu do PC....

Takže, kdyby vám vlastnictví tohoto "unwanted" progamu nebylo podle gusta, zkuste umrtvit Computrace tímto postupem :) /jinak napsat na ACER nebo Absolute software a pod pohrůžkou soudního řízení z nich vymámit BIOS,který tuhle všivárnu neobsahuje/

Odpovědět