rpcnetp exe что это
unboxIT
Если информация была полезной для вас, вы можете поблагодарить за труды Яндекс деньгами: 41001164449086 или пластиковой картой:
Удаляем rpcnetp.exe Computrace (LoJack) из BIOS UEFI на примере Asus 1225b
rpcnetp.exe – это файл системы Computrace для удалённой защиты в ноутбуках, которая по идеи должна помочь владельцу в случае кражи или утери.
Всё бы хорошо, однако есть несколько но:
Многие скажут удалить и нет проблем! Но не тут то было.
Если не вдаваться в подробности, то фактически Computrace (он же lojack) зашит на уровне BIOS UEFI. Суть системы сводиться к тому, что она каждый раз при включении компьютера прописывает себя в Windows.
Более подробно механизм довольно неплохо расписан здесь:
В большинстве случаев Computrace использует 2 файла:
Все они находятся в подкаталогах c:\Windows. Тут всё зависит от версии Computrace, и для того чтобы их найти можно банально воспользоваться поиском Windows по слову “rpcnet”.
Повторюсь, сколько бы вы не пытаться удалить файлы с диска, переустанавливать Windows, Computrace будет прописываться в момент включения компьютера из BIOS!
На просторах интернета существуют несколько рецептов как избавиться от этой гадости:
В моём Asus 1225b, опции отключения в BIOS не оказалось, пустые файлы продолжали переписываться замечательной “защитой”.
Надо понимать, что Computrace работает (пока) только с Windows.
При все своей любви к Linux системам, вариант полностью отказаться от Windows меня тоже не особо устроил. Поэтому, я решил покопаться в файле с прошивкой BIOS.
Далее я воспользовался Delete, и удалил соответствующий модуль, после чего залил новую прошивку.
Вот тут меня поджидал, как сейчас модно говорить, Эпик Фейл. Система Висла между загрузкой Bios и стартом загрузчика.
Какими только способами я не пытался полностью удалить модуль из BIOS, система приходила в негодность.
Поэтому, я решил пойти другим путём, если нельзя полностью удалить модуль, то можно его деактивировать.
Деактивировать модуль я решил путём изменения места установки начального загрузчика Computrace.
Теперь он будет пытаться прописаться в 9тый раздел по адресу XINDOWS.
Понятно, что это у него не получиться.
На выходе я получил прошивку, назвав её 1225B.209.n, в которой модуль Computrace не работоспособен.
После прошивки, всё что осталось сделать это удалить, rpcnetp.exe (либо rpcnet.exe), rpcnetp.dll (либо rpcnet.dll) стандартными средствами Windows.
Хотелось бы напомнить, что все кто решит прошиться моей версией 1225B.209.n, помните вы делаете это на свой страх и риск. Однако, за то время что я разбирался Computrace, шанс превратить свой ноутбук в “кирпич”, у меня был значительно больше чем у всех, кто решит воспользоваться уже готовой прошивкой 🙂
Если у кого есть мысли как полностью удалить модуль Computrace – пишите.
filecheck .ru
Большинство антивирусных программ распознает rpcnetp.exe как вирус.
Бесплатный форум с информацией о файлах поможет вам найти информацию, как удалить файл. Если вы знаете что-нибудь об этом файле, пожалуйста, оставьте комментарий для других пользователей.
Вот так, вы сможете исправить ошибки, связанные с rpcnetp.exe
Информация о файле rpcnetp.exe
Важно: Вы должны проверить файл rpcnetp.exe на вашем компьютере, чтобы убедится, что это вредоносный процесс. Мы рекомендуем Security Task Manager для безопасности вашего компьютера.
Комментарий пользователя
Лучшие практики для исправления проблем с rpcnetp
Чистый и аккуратный компьютер является ключевым требованием для избежания проблем с ПК. Это означает: проверка на наличие вредоносных программ, очистка жесткого диска, используя cleanmgr и sfc /scannow, удаление программ, которые вам больше не нужны, проверка Автозагрузки (используя msconfig) и активация Автоматического обновления Windows. Всегда помните о создании периодических бэкапов, или как минимум о создании точек восстановления.
Если у вас актуальная проблема, попытайтесь вспомнить последнее, что вы сделали, или последнюю программу, которую вы установили, прежде чем проблема появилась первый раз. Используйте resmon команду, чтобы определить процесс, который вызывает у вас проблему. Даже если у вас серьезные проблемы с компьютером, прежде чем переустанавливать Windows, лучше попробуйте восстановить целостность установки ОС или для Windows 8 и более поздних версий Windows выполнить команду DISM.exe /Online /Cleanup-image /Restorehealth. Это позволит восстановить операционную систему без потери данных.
rpcnetp сканер
Security Task Manager показывает все запущенные сервисы Windows, включая внедренные скрытые приложения (например, мониторинг клавиатуры или браузера, авто вход). Уникальный рейтинг надежности указывает на вероятность того, что процесс потенциально может быть вредоносной программой-шпионом, кейлоггером или трояном.
Бесплатный aнтивирус находит и удаляет неактивные программы-шпионы, рекламу, трояны, кейлоггеры, вредоносные и следящие программы с вашего жесткого диска. Идеальное дополнение к Security Task Manager.
Reimage бесплатное сканирование, очистка, восстановление и оптимизация вашей системы.
BIOS-ный троян от Absolute Software
Технические подробности работы «BIOS-агента» систем Computrace (LoJack итп сотоварищи) от Absolute Software.
История
Принцип работы Computrace
Получив управление, PCI-ROM модуль Computrace резервирует в свободной памяти блок объёмом 64кБ, куда расшифровывает/распаковывает свой код. 
В случае отсутствия свободной памяти используются несколько общезвестных трюков, в т.ч. использование сегмента видеопамяти. 
В распакованном/расшифрованном коде содержится процедура поиска на винчестере каталога с Windows (поддерживается FAT и NTFS) и два запускных exe-файла. 
Точней – файл, в который инкапсулирован ещё один файл, извлекаемый позже. 
Стартовый файл для установки агента замещает собою autochk.exe в windows/system32, переименовывая оного в autochk.bak.
При старте Windows поддельный autochk.exe, получив управление, извлекает из своего тела файл rpcnet.exe и прописывает его в реестр для работы/автозагрузки в качестве сервиса. 
После получения управления от Windows уже в качестве сервиса ( rpcnet) он при наличии доступа в интернет соединяется с одним из управляющих серверов 209.53.113.xxx ( xxx.absolute.com). 
С него скачивается полная версия, которая устанавливается на винчестер в качестве «обычного» файла ( rpcnetp.dll) и вся основная работа уже возлагается именно на его плечи.
C его помощью компьютер управляется удалённо – он принимает на исполнение как «внутренние» команды, так и, установив свой API-интерфейс, позволяет (удалённо) вызывать стандартные Windows-процедуры ( application-уровня).
Сервис обеспечивает периодический сигнал (раз в четыре часа) к серверу на запрос управления им. В случае получения ответа от сервера об установленном уровне утери нотбука клиент начинает «долбиться» уже каждые пятнадцать минут.
Установив удалённое управление, сервер может выполнить различные команды, например, по желанию клиента – удалить нужные (или все) файлы с диска. 
В качестве доказательства произведённой работы на сторону сервера передаётся лог обо всех удалённых файлах.
п.с. статья написана в начале 2007-го года, опубликована 22.08.2009.
rpcnetp.exe: что это? и как его убрать
В вашей системе запущено много процессов, которые потребляют ресурсы процессора и памяти. Некоторые из этих процессов, кажется, являются вредоносными файлами, атакующими ваш компьютер.
Чтобы исправить критические ошибки rpcnetp.exe,скачайте программу Asmwsoft PC Optimizer и установите ее на своем компьютере
Asmwsoft PC Optimizer — это пакет утилит для Microsoft Windows, призванный содействовать управлению, обслуживанию, оптимизации, настройке компьютерной системы и устранению в ней неполадок.
1- Очистите мусорные файлы, чтобы исправить rpcnetp.exe, которое перестало работать из-за ошибки.
2- Очистите реестр, чтобы исправить rpcnetp.exe, которое перестало работать из-за ошибки.
Как удалить заблокированный файл rpcnetp.exe.
3- Настройка Windows для исправления критических ошибок rpcnetp.exe:
Всего голосов ( 181 ), 115 говорят, что не будут удалять, а 66 говорят, что удалят его с компьютера.
Как вы поступите с файлом rpcnetp.exe?
Некоторые сообщения об ошибках, которые вы можете получить в связи с rpcnetp.exe файлом
(rpcnetp.exe) столкнулся с проблемой и должен быть закрыт. Просим прощения за неудобство.
(rpcnetp.exe) перестал работать.
rpcnetp.exe. Эта программа не отвечает.
(rpcnetp.exe) — Ошибка приложения: the instruction at 0xXXXXXX referenced memory error, the memory could not be read. Нажмитие OK, чтобы завершить программу.
(rpcnetp.exe) не является ошибкой действительного windows-приложения.
(rpcnetp.exe) отсутствует или не обнаружен.
RPCNETP.EXE
Проверьте процессы, запущенные на вашем ПК, используя базу данных онлайн-безопасности. Можно использовать любой тип сканирования для проверки вашего ПК на вирусы, трояны, шпионские и другие вредоносные программы.
процессов:
Cookies help us deliver our services. By using our services, you agree to our use of cookies.
Опция BIOS Computrace
Это поле позволяет активировать или отключить модуль BIOS Computrace (R ) опциональной службы в ОС от Absolute(R) Software. Computrace (R) агент от Absolute(R) Software является сервисом, предназначенным для отслеживания устройств и предоставления услуги по установлению их места расположения в случае если компьютер будет потерян или украден. Computrace (R) агент общается с программным обеспечение сервера мониторинга Absolute(R) Software на запрограммированных интервалов для предоставления услуг слежения.
Агент Computrace — это приложение Windows, которое имеет две формы: сокращенную и полную. Сокращенную форму агента можно характеризовать как имеющую минимально возможный размер при максимальной гибкости и расширяемости. Этот модуль внедряется в прошивку BIOS (а точнее в PCI Option ROM или как UEFI-модуль). В патенте США за номером 20060272020A1,принадлежащем Absolute Software, этот агент описан как mini CDA (Communications Driver Agent)и предназначен для проверки наличия и работоспособности полноразмерного агента. В случае отсутствия полноценного агента, мини-агент загрузит его с сервера в глобальной сети.
Согласно описанию в патенте, постоянный модуль находится в дополнительном BIOS ROM. Дополнительный ROM имеет небольшую секцию с модулями Computrace агента, которые добавляются производителем BIOS и прошиваются на заводе производителем компьютера (а точнее, производителем материнской платы).
Современный EFI BIOS может содержать до нескольких сотен специальных EFI-драйверов, EFI-приложений и других модулей, упакованных в некого рода файловую систему. Мы обнаружили, что один из таких модулей являлся EFI-приложением или дополнительным ROM с Computrace агентом внутри. Таким образом, перепрошивка BIOS лишь обновит версию агента.
rpcnetp.exe >в autochk.exe >в EFI-приложении >в другом EFI-App>в ROM модуле >в прошивке BIOS
Мы можем отметить, что для прошивок, содержащих Computrace, соответствующие настройки в BIOS Setup могут как существовать, так и отсутствовать.
Авторы исследования рассмотрели риск эксплуатации систем со встроенным в код прошивки BIOS программным обеспечением для защиты от хищения устройства. Они продемонстрировали доказательства уязвимости подобных модулей против локальных атак, подразумевающих наличие физического доступа к компьютеру или возможности исполнения на нем произвольного кода.
Стандартное поведение ПО Computrace
Фаза 1: модуль BIOS
В первой фазе сразу после инициализации основного BIOS выполняются модули дополнительных ROM, выполняются EFI-приложения. В этой стадии модуль Computrace просматривает FAT/FAT32/NTFS разделы жестких дисков в поисках установленной ОС Windows. Затем он создает копию системного autochk.exe и переписывает его своим кодом. Системный autochk.exe сохраняется под именем autochk.exe.bak на FAT или autochk.exe:BAK в альтернативном потоке данных NTFS.
Фаза 2: autochk.exe
Модифицированный autochk.exe, стартуя во время загрузки, имеет полный доступ как к локальным файлам, так и к реестру Windows. Благодаря этому он благополучно сохраняет в папку system32 файл агента rpcnetp.exe и регистрирует его в реестре Windows в качестве новой сервисной службы. Позже оригинальный autochk.exe восстанавливается из сохраненной копии.
Фаза 3: rpcnetp.exe
Именно этот модуль также известен как мини-агент Computrace агент или mini CDA (Communication Driver Agent). Его размер относительно невелик, всего около 17Kb.
Мини-агент стартует как сервисная служба Windows. Сразу после этого он копирует собственный исполняемый EXE-файл под именем rpcnetp.dll, устанавливая при этом соответствующий флаг в PE заголовке (чем утверждает, что это корректный DLL файл), и загружает DLL. Затем rpcnetp.exe запускает дочерний процесс svchost.exe в приостановленном состоянии и внедряет в его память созданный rpcnetp.dll. При возобновлении исполнения svchost.exe создает дочерний процесс браузера iexplore.exe с правами текущего активного пользователя. Iexplore.exe также создается в приостановленном состоянии и так же получает инъекцию rpcnetp.dll. Модифицированный таким образом браузер в автоматическом режиме соединяется с сервером управления для получения команд и загрузки дополнительных модулей. Это приводит к скачиванию и установке полноразмерного агента rpcnet.exe. https://www.securelist.com/ru/analysis/208050831/Ugroza_iz_BIOS
Опция также может иметь другие названия:
Название данной опции у данного производителя в данной версии BIOS: