Rpcnetp dll что это

Обновлено: 02.07.2024

Продолжаю гонять программную гадость.
Обнаружил очередное интересное ПО своем ноутбуке Asus - встроенный в UEFI BIOS троян, дающий удаленный доступ к компу.
Есть такой процесс rpcnetp.exe, типа системный. Жрет вроде немного - процентов 10-15 процессора постоянно (в то время, когда запущен антивирус). Антивирус же со своей стороны (kav) тоже жрет 10-15% процессора, когда запущен rpcnetp - то есть они друг на друга реагируют и отъедают мой проц. Антивирус у меня почти всегда отключен (мешает) - поэтому я не сразу его обнаружил.
Как оказалось - процесс этот - это файл системы Computrace (LoJack) для удалённой защиты в ноутбуках, которая по идеи должна помочь владельцу в случае кражи или утери. То есть фактически, это бэкдор, дающий доступ к компьютеру разработчикам Computrace из Absolute Software. Вшивается он в BIOS UEFI и перезаписывается в системный раздел при каждой загрузке (только в Windows). То есть как ты его ни удаляй и не лечи - он перепишется поверх самим биосом, даже если ты создал нулевой файл и выставил ему "read-only".

Цитирую:
Мини-агент стартует как сервисная служба Windows. Сразу после этого он копирует собственный исполняемый EXE-файл под именем rpcnetp.dll, устанавливая при этом соответствующий флаг в PE заголовке (чем утверждает, что это корректный DLL файл), и загружает DLL. Затем rpcnetp.exe запускает дочерний процесс svchost.exe в приостановленном состоянии и внедряет в его память созданный rpcnetp.dll. При возобновлении исполнения svchost.exe создает дочерний процесс браузера iexplore.exe с правами текущего активного пользователя. Iexplore.exe также создается в приостановленном состоянии и так же получает инъекцию rpcnetp.dll. Модифицированный таким образом браузер в автоматическом режиме соединяется с сервером управления для получения команд и загрузки дополнительных модулей. Это приводит к скачиванию и установке полноразмерного агента rpcnet.exe.

Теперь пару интересностей:
- География с распределением этой продукции
- Производители материнских плат с данным агентом в биосе

На данный момент процесс находится в "белых списках" большинства антивирусов. Как его деактивировать раз и навсегда - пока не придумал.
Пока только временные решения.
Из постоянных решений в голов уприходит только установка Linux. Но это не очень удобно и более смахивает на мазохизм.

Опция Computrace - определяет поведение встроенных программных систем защиты от хищения устройств - в данном случае службы Computrace(R) от компании Absolute(R) Software.

Это поле позволяет активировать или отключить модуль BIOS Computrace (R ) опциональной службы в ОС от Absolute(R) Software. Computrace (R) агент от Absolute(R) Software является сервисом, предназначенным для отслеживания устройств и предоставления услуги по установлению их места расположения в случае если компьютер будет потерян или украден. Computrace (R) агент общается с программным обеспечение сервера мониторинга Absolute(R) Software на запрограммированных интервалов для предоставления услуг слежения.

Агент Computrace — это приложение Windows, которое имеет две формы: сокращенную и полную. Сокращенную форму агента можно характеризовать как имеющую минимально возможный размер при максимальной гибкости и расширяемости. Этот модуль внедряется в прошивку BIOS (а точнее в PCI Option ROM или как UEFI-модуль). В патенте США за номером 20060272020A1,принадлежащем Absolute Software, этот агент описан как mini CDA (Communications Driver Agent)и предназначен для проверки наличия и работоспособности полноразмерного агента. В случае отсутствия полноценного агента, мини-агент загрузит его с сервера в глобальной сети.

Согласно описанию в патенте, постоянный модуль находится в дополнительном BIOS ROM. Дополнительный ROM имеет небольшую секцию с модулями Computrace агента, которые добавляются производителем BIOS и прошиваются на заводе производителем компьютера (а точнее, производителем материнской платы).

Современный EFI BIOS может содержать до нескольких сотен специальных EFI-драйверов, EFI-приложений и других модулей, упакованных в некого рода файловую систему. Мы обнаружили, что один из таких модулей являлся EFI-приложением или дополнительным ROM с Computrace агентом внутри. Таким образом, перепрошивка BIOS лишь обновит версию агента.

rpcnetp.exe >в autochk.exe >в EFI-приложении >в другом EFI-App>в ROM модуле >в прошивке BIOS

Мы можем отметить, что для прошивок, содержащих Computrace, соответствующие настройки в BIOS Setup могут как существовать, так и отсутствовать.

Разновидность ПО, которое невозможно удалить даже профессионалу. Эти программные продукты устойчивы даже к замене жесткого диска. Один из них - программные системы защиты от хищения устройств (ноутбуки, планшеты, телефоны), широко используемые в современных ноутбуках. В целом, иметь подобную защиту — это очень хорошая идея. Однако ее плохая реализация может не только сделать идею неработоспособной, но и подвергнуть пользователя дополнительному риску. Мы полагаем, что компании, реализующие технологии защиты от хищения, должны уделять особо пристальное внимание безопасности при разработке своих продуктов.

Главная из работ, проделанных ранее на эту тему, - исследование Alfredo Ortega и Anibal Sacco из Core Security Technologies, отраженное в их докладе «Deactivatethe Rootkit: Attackson BIOS anti-theft technologies» на конференции Blackhat в США в 2009 году. В исследовании они описали общие механизмы работы технологии Absolute Computrace для защиты от хищения устройств.

Авторы исследования рассмотрели риск эксплуатации систем со встроенным в код прошивки BIOS программным обеспечением для защиты от хищения устройства. Они продемонстрировали доказательства уязвимости подобных модулей против локальных атак, подразумевающих наличие физического доступа к компьютеру или возможности исполнения на нем произвольного кода.

Стандартное поведение ПО Computrace

Фаза 1: модуль BIOS

В первой фазе сразу после инициализации основного BIOS выполняются модули дополнительных ROM, выполняются EFI-приложения. В этой стадии модуль Computrace просматривает FAT/FAT32/NTFS разделы жестких дисков в поисках установленной ОС Windows. Затем он создает копию системного autochk.exe и переписывает его своим кодом. Системный autochk.exe сохраняется под именем autochk.exe.bak на FAT или autochk.exe:BAK в альтернативном потоке данных NTFS.

Фаза 2: autochk.exe

Модифицированный autochk.exe, стартуя во время загрузки, имеет полный доступ как к локальным файлам, так и к реестру Windows. Благодаря этому он благополучно сохраняет в папку system32 файл агента rpcnetp.exe и регистрирует его в реестре Windows в качестве новой сервисной службы. Позже оригинальный autochk.exe восстанавливается из сохраненной копии.

Фаза 3: rpcnetp.exe

Именно этот модуль также известен как мини-агент Computrace агент или mini CDA (Communication Driver Agent). Его размер относительно невелик, всего около 17Kb.

Опция также может иметь другие названия:

Программа Aptio Setup Utility - BIOS фирмы American Megatrends Inc на системных платах Dell Inc.

Название данной опции у данного производителя в данной версии BIOS:

Computrace значение по умолчанию [Deactivate]

This field lets you Activate or Disable the BIOS module interface of the optional Computrace(R) Service from Absolute(R) Software.The Computrace(R) agent from Absolute(R) Software is a service solution designed to help track assets and provide recovery services in the event the computer is lost or stolen.

The Computrace(R) agent communicates with the Absolute software Monitoring Server at programmed intervals to provide the tracking service.

By activating the service, you consent to the transmission of information from and to your computer and the Absolute Software Monitoring Server. The Computrace service is purchased as an option and the monitoring Server will enable its agent security module through an interface provided by the BIOS.

Computrace(R) and Absolute(R) are registered trademarks of Absolute Software Corporation. The Absolute(R) Anti-Theft solution is presently Deactivated. Note that the Activate or Disable options will permanently Activate or Disable the feature and no further changes will be allowed.

Это поле позволяет активировать или отключить модуль BIOS Computrace (R) опциональной службы в ОС от Absolute(R) Software. Computrace (R) агент от Absolute(R) Software является сервисом, предназначенным для отслеживания устройств и предоставления услуги по установлению их места расположения в случае если компьютер будет потерян или украден. Computrace (R) агент общается с программным обеспечение сервера мониторинга Absolute(R) Software на запрограммированных интервалов для предоставления услуг слежения.

Подключив услугу , вы выражаете согласие на передачу информации от и к компьютеру и сервера мониторинга Absolute Software . Служба Computrace приобретается в качестве опции и Мониторинг серверов осуществляется через модуль - агент безопасности интерфейс предоставленный BIOS.

Абсолют (R) Anti-Theft решение в настоящее время отключена. Обратите внимание, что включать или отключать опции будут постоянно Включить или отключить эту функцию и дальнейшие изменения не будут разрешены.

Большинство антивирусных программ распознает rpcnetp.exe как вирус.
Бесплатный форум с информацией о файлах поможет вам найти информацию, как удалить файл. Если вы знаете что-нибудь об этом файле, пожалуйста, оставьте комментарий для других пользователей.

  1. Используйте программу Настройщик Windows, чтобы найти причину проблем, в том числе и медленной работы компьютера.
  2. Обновите программу rpcnetp. Обновление можно найти на сайте производителя (ссылка приведена ниже).
  3. В следующих пунктах предоставлено описание работы rpcnetp.exe.

Информация о файле rpcnetp.exe

Не найдена информация об авторе процесса rpcnetp .

Описание: rpcnetp.exe не является важным для Windows и часто вызывает проблемы. Rpcnetp.exe находится в папке C:\Windows\System32. Известны следующие размеры файла для Windows 10/8/7/XP 17,920 байт (64% всех случаев), 17,408 байт или 22,932 байт.
Название сервиса - rpcnetp.
У процесса нет видимого окна. Нет описания файла. Это не системный файл Windows. Это неизвестный файл в папке Windows. Rpcnetp.exe способен манипулировать другими программами. Поэтому технический рейтинг надежности 70% опасности.

Важно: Вы должны проверить файл rpcnetp.exe на вашем компьютере, чтобы убедится, что это вредоносный процесс. Мы рекомендуем Security Task Manager для безопасности вашего компьютера.

Комментарий пользователя

Антивир "COMODO" находит этот самый rpcnetp.exe , и определяет его как опасный (?). После его удаления и перезагрузки может не работать се́нсорная пане́лька ( курсор ни с места ), а так же может поменяться разрешение монитора. После еще одной перезагрузки всё приходит в норму. но антивир опять через какое то время находит rpcnetp.exe И т.д. . :( (win 7 , Lenovo N200)
NeKto
Шпионская программа, официально выпускаемая компанией "Absolute Software" якобы для защиты в основном ноутбуков от кражи. Многие производители ноутбуков установили эту программу в свои изделия. Программа в размещена в блоках BIOS, откуда и записывают себя на диски NTFS/FAT в момент включения компьтера. Будуче запущенными они звонят "домой" и сообщают серийный номер, IP и время появления. Предоставляет неограниченный доступ к ПК и также вполне может либо по неосторожности либо специально(будучи взломанной) уничтожить всю информацию на жестих дисках. Самое главное, что сие творение поставляется без всякого вашего согласия. (дополнительная информация)
Cline
типа защита от кражи, по факту троян. (дополнительная информация)
борис
это сетевая программа для игр и копирования
фаервол говорит что опасная и я сним согласен
Итого: Средняя оценка пользователей сайта о файле rpcnetp.exe: - на основе 4 голосов с 5 отзывами.
34 пользователей спрашивали про этот файл. 2 пользователей не поставили рейтинг ("я не знаю"). Один пользователь оценил, как кажется опасным. 3 пользователей оценили, как опасный.

Лучшие практики для исправления проблем с rpcnetp

Следующие программы так же полезны для грубокого анализа: Security Task Manager исследует активный процесс rpcnetp на вашем компьютере и явно говорит, что он делает. Malwarebytes' - популярная антивирусная утилита, которая сообщает вам, если rpcnetp.exe на вашем компьютере отображает назойливую рекламу, замедляя быстродействие компьютера. Этот тип нежелательной рекламы не рассматривается некоторыми антивирусными программами в качестве вируса и таким образом не удаляется при лечении.

Чистый и аккуратный компьютер является ключевым требованием для избежания проблем с ПК. Это означает: проверка на наличие вредоносных программ, очистка жесткого диска, используя cleanmgr и sfc /scannow, удаление программ, которые вам больше не нужны, проверка Автозагрузки (используя msconfig) и активация Автоматического обновления Windows. Всегда помните о создании периодических бэкапов, или как минимум о создании точек восстановления.

Если у вас актуальная проблема, попытайтесь вспомнить последнее, что вы сделали, или последнюю программу, которую вы установили, прежде чем проблема появилась первый раз. Используйте resmon команду, чтобы определить процесс, который вызывает у вас проблему. Даже если у вас серьезные проблемы с компьютером, прежде чем переустанавливать Windows, лучше попробуйте восстановить целостность установки ОС или для Windows 8 и более поздних версий Windows выполнить команду DISM.exe /Online /Cleanup-image /Restorehealth. Это позволит восстановить операционную систему без потери данных.

rpcnetp сканер

Security Task Manager показывает все запущенные сервисы Windows, включая внедренные скрытые приложения (например, мониторинг клавиатуры или браузера, авто вход). Уникальный рейтинг надежности указывает на вероятность того, что процесс потенциально может быть вредоносной программой-шпионом, кейлоггером или трояном.

Бесплатный aнтивирус находит и удаляет неактивные программы-шпионы, рекламу, трояны, кейлоггеры, вредоносные и следящие программы с вашего жесткого диска. Идеальное дополнение к Security Task Manager.

Reimage бесплатное сканирование, очистка, восстановление и оптимизация вашей системы.

Файл rpcnetp.dll из unknown company является частью unknown product. rpcnetp.dll, расположенный в C: \Windows \System32 \\ rpcnetp .dll с размером файла 17920 байт, версия файла Unknown version, подпись fd60bf356d6162df4dcac76dd4b6f34a.

  1. Запустите приложение Asmwsoft Pc Optimizer.
  2. Потом из главного окна выберите пункт "Clean Junk Files".
  3. Когда появится новое окно, нажмите на кнопку "start" и дождитесь окончания поиска.
  4. потом нажмите на кнопку "Select All".
  5. нажмите на кнопку "start cleaning".

Clean Registry to fix rpcnetp.dll has stopped working error

  1. Запустите приложение Asmwsoft Pc Optimizer.
  2. Потом из главного окна выберите пункт "Fix Registry problems".
  3. Нажмите на кнопку "select all" для проверки всех разделов реестра на наличие ошибок.
  4. 4. Нажмите на кнопку "Start" и подождите несколько минут в зависимости от размера файла реестра.
  5. После завершения поиска нажмите на кнопку "select all".
  6. Нажмите на кнопку "Fix selected".
    P.S. Вам может потребоваться повторно выполнить эти шаги.

3- Настройка Windows для исправления критических ошибок rpcnetp.dll:

Clean Registry to fix rpcnetp.dll has stopped working error

  1. Нажмите правой кнопкой мыши на «Мой компьютер» на рабочем столе и выберите пункт «Свойства».
  2. В меню слева выберите " Advanced system settings".
  3. В разделе «Быстродействие» нажмите на кнопку «Параметры».
  4. Нажмите на вкладку "data Execution prevention".
  5. Выберите опцию " Turn on DEP for all programs and services . " .
  6. Нажмите на кнопку "add" и выберите файл rpcnetp.dll, а затем нажмите на кнопку "open".
  7. Нажмите на кнопку "ok" и перезагрузите свой компьютер.
Как другие пользователи поступают с этим файлом?

Всего голосов ( 181 ), 115 говорят, что не будут удалять, а 66 говорят, что удалят его с компьютера.

Читайте также: