rpcnetp.exe entfernen [SOLVED]

DKK007

DKK007

PCGH-Community-Veteran(in)
Ich habe für die Familie einen gebrauchten Dell Latitude 12 E6220 gekauft, der einen 10 Jahre alten Laptop ersetzen, der noch nen Singlecore hat und mit XP und IE6 läuft.

Auf dem refurbished Gerät war zwar schon ein Win7 vorinstalliert, da ich aber eine SSD verbaut habe, habe ich das frisch von DVD neuinstalliert und mit dem Code am Laptop aktiviert.

Nun zum Problem. Im C:\Windows\System32 und im C:\Windows\SystemWOW64 Ordner liegt eine mir unbekannte Datei namens rpcnetp.exe. Diese wird aus irgendeinem Grund automatisch ausgeführt. Also hab ich die einfach gelöscht.
Das komische ist nun, das die nach einen neustart beide wieder da sind und eine davon läuft.

Auch ein Löschen bzw. durch eine leere Datei ersetzen unter Linux hat nicht geholfen.

Ist das Gerät vielleicht mit einem UEFI-Rootkit infiziert? Wäre ungünstig, da der für Firmendaten und Onlinebanking genutzt werden soll.

---

Edit (13.07.2017): Ich habe eine Lösung gefunden. Siehe letzte Seite im Thread.
 
Zuletzt bearbeitet:
AW: rpcnetp.exe entfernen

Eol_Ruin schrieb:
Gugge da:
rpcnetp.exe Windows Prozess - Was ist das?
und da:
Anti-Diebstahl-Software fur Notebooks als Einfallstor |
heise Security

Wird wahrscheinlich diese "Trace"Software sein!
Und die ist nicht wirklich einfach zu entfernen :ugly::
How to remove Computrace Lojack | Freaky Acres
Zum Vergrößern anklicken....
Das gleiche wollte ich auch gerade Posten wobei nach Clean install kein LowJack drauf sein sollte wie er es geschrieben hat ich vermute deswegen stark Malware oder schlimmer.

Bei einer Kollegin vor 4 Jahren war diese Datei in Verbindung mit dem BKA-Trojaner auf einen Laptop da half nur Clean install und ein Tool mit einer 128K Software zum löschen das letzt wäre HDD Ausbau und tauschen.

Gesendet von meinem SM-G935F mit Tapatalk
 
AW: rpcnetp.exe entfernen

Möglicherweise gibt es auch noch eine versteckte Recovery Version auf dem Lappi.
Malware wäre auch möglich,zumindest liest man das auch öfter,aber soll angeblich eine Antidiebstahl Software sein. :D

Edit:dazu gibt es eine Option im Bios v. Dell,wenn das aber dauerhaft aktiviert wurde wirds schwer das ohne Bios Update zu ändern:
Ermöglicht die Aktivierung oder
Deaktivierung der optionalen Computrace-
Software. Die Optionen sind:
• Deactivate (Deaktivieren)
• Disable (Deaktivieren)
• Activate (Aktivieren)
ANMERKUNG: Mit den Optionen
„Activate“ (Aktivieren) und „Disable“
(Nicht verfügbar machen) wird die
Funktion dauerhaft aktiviert oder nicht
verfügbar gemacht. Dann sind keine
weiteren Änderungen zulässig.

Benutzer Handbuch siehe Link:
https://www.google.de/url?sa=t&rct=...TS.pdf&usg=AFQjCNHMuMph4vNvLIXsqrsGe7HJhPgXcg
 
Zuletzt bearbeitet:
AW: rpcnetp.exe entfernen

Im Bios gibt es die Computrace-Funktion, die ist auch aktiviert. Allerdings sind die Checkboxen ausgegraut.

Hab den sehr günstig, als Refurbished bei Ebay bekommen. Dell Latitude E6220 i5-2520M 2x2,5GHz Intel HD3000 4GB 250GB CAM BLT AUSL. W7 B3 | eBay
Der Händler bietet gleich über 50 Stück mit verschiedenen Speicherkonfigurationen an, deshalb denke ich, der wird die bei irgendeiner Firma aufgekauft haben.
Gibt da derzeit sehr viele Angebote mit Core ix-2000 Business-Notebooks, da sich die Firmen jetzt scheinbar alle von ihren 5 Jahre alten Geräten trennen. Wenn man bedenkt, das die früher mal 1500€ gekostet haben und jetzt massenhaft für ein 1/10 verkauft werden. Sonst bekommt man ja für unter 300€ nur irgendwelche Atom-Notebooks, die sich auch noch schlecht warten lassen. Bei diesem löst man genau eine Schaube an der klappe unten und kommt an alles ran. :daumen:

Optisch und technisch ist der aber noch super in Schuss. Nur der Akku ist runter - das stand aber auch in der Beschreibung.

Edit: Ich hab jetzt einfach den Prozess im ZoneAlarm blockiert. Jetzt läuft der nicht mehr und sollte dementsprechend auch nicht irgendwo nach Hause funken. :D
 
Zuletzt bearbeitet:
AW: rpcnetp.exe entfernen

Seite 104 im Handbuch(oben verlinkt).Wird`s nochmal erklärt.
Ka. ob ein Bios Update helfen würde wenn verfügbar.
Wie gesagt einmal aktiviert und nicht mehr verfügbar machen scheint es dann dauerhaft zu sein.Zumindest mit dem aktuellen Bios was drauf ist.
Vielleicht mal ein CMOS versuchen.
 
AW: rpcnetp.exe entfernen

DKK007 schrieb:
Im Bios gibt es die Computrace-Funktion, die ist auch aktiviert. Allerdings sind die Checkboxen ausgegraut.

Hab den sehr günstig, als Refurbished bei Ebay bekommen. Dell Latitude E6220 i5-2520M 2x2,5GHz Intel HD3000 4GB 250GB CAM BLT AUSL. W7 B3 | eBay
Der Händler bietet gleich über 50 Stück mit verschiedenen Speicherkonfigurationen an, deshalb denke ich, der wird die bei irgendeiner Firma aufgekauft haben.
Gibt da derzeit sehr viele Angebote mit Core ix-2000 Business-Notebooks, da sich die Firmen jetzt scheinbar alle von ihren 5 Jahre alten Geräten trennen. Wenn man bedenkt, das die früher mal 1500€ gekostet haben und jetzt massenhaft für ein 1/10 verkauft werden. Sonst bekommt man ja für unter 300€ nur irgendwelche Atom-Notebooks, die sich auch noch schlecht warten lassen. Bei diesem löst man genau eine Schaube an der klappe unten und kommt an alles ran. :daumen:

Optisch und technisch ist der aber noch super in Schuss. Nur der Akku ist runter - das stand aber auch in der Beschreibung.

Edit: Ich hab jetzt einfach den Prozess im ZoneAlarm blockiert. Jetzt läuft der nicht mehr und sollte dementsprechend auch nicht irgendwo nach Hause funken. :D
Zum Vergrößern anklicken....
ET nach Hause telefonieren ?

Ja das sind dann NB von Geschäfts Reisenden Akku ist bis aufs Blut gemolken und auf Grund der Daten 3. Fach gesichert die haben zum Teil zeug drauf das ist übel.

Gesendet von meinem SM-G935F mit Tapatalk
 
AW: rpcnetp.exe entfernen

Hier mal eine Erklärung dazu von Think Pad Modellen:
Computrace Module Activation ist nicht ausgegraut,
Current Setting: Disabled
Current State: Inactive oder Not Activated

Das sind normalerweise die Standardwerte. Computrace ist vorhanden, aber nicht aktiv. Es findet keine Überwachung statt, diese lässt sich aber aktivieren, indem man Current Setting auf Enabled setzt.

Computrace Module Activation ist nicht ausgegraut,
Current Setting: Enabled
Current State:

Computrace ist aktiv, aber nicht scharf gestellt. Wird in diesem Zustand Windows installiert (evtl. auch nur betrieben), so wird der entsprechende Dienst gestartet. Somit ist eine potentielle Überwachung möglich.

Computrace Module Activation ist ausgegraut, es erscheint ein Hinweis beim Betreten des Bios.
Current Setting: Enabled
Current State: Activated

Computrace ist aktiv und bei Absolute Software zur Überwachung gelistet. Somit verbindet sich Computrace Agent regelmäßig mit den Servern von Absolute Software. Einmal aktiiviert und scharf gestellt, lässt sich Computrace offiziell nur mit Hilfe von Absolute Software wieder deaktivieren.

Computrace Module Activation ist ausgegraut,
Current Setting: Permanently Disabled
Current State: Inactive oder Not Activated

Computrace wurde permanent deaktiviert, indem Current Setting auf Permanently Disabled gesetzt wurde. Offiziell lässt sich eine solche Deaktiviertung nicht mehr rückgängig machen (auch nicht von Absolute Software) und führt zu einer irreversiblen Abschaltung von Computrace auf der Hardware-Ebene.

Ansich ein guter Schutz,aber dann nur für Dauerbenutzer und nicht um das Gerät dann mal weiterzugeben.
 
AW: rpcnetp.exe entfernen

War ja schon in der verlinkten Seite zu lesen.

Da ja ja die Lücke mit der ME existiert und das Gerät aufgrund des vPro wohl betroffen ist, werde ich eh noch das aktuelle Bios A14 (14 Jun 2017) einspielen.
Sicherheitslucke in vielen Intel-Systemen seit 2010 |
heise Security

Dell weißt da extra auf der Treiberseite noch mal drauf hin:
Dell weiß von der branchenweiten Schwachstelle, die in diesem Sicherheitsbulletin von Intel beschrieben wird. Diese kann Probleme auf Dell PCs bewirken, die die Systemverwaltung mithilfe von Intel Active Management Technology (AMT), Intel Small Business-Technologie (SBT) oder Intel Standard Manageability (ISM) unterstützen. Wir entwickeln aktiv Aktualisierungen von BIOS-Firmware, damit Kunden die Sicherheitslücke schließen können.

Erfahren Sie, ob Ihr System betroffen ist. Lesen Sie Maßnahmenempfehlungen und erfahren Sie, wann ein Sicherheits-Patch voraussichtlich für Ihr System verfügbar ist. Artikel anzeigen
Zum Vergrößern anklicken....




Elistaer schrieb:
Ja das sind dann NB von Geschäfts Reisenden Akku ist bis aufs Blut gemolken und auf Grund der Daten 3. Fach gesichert die haben zum Teil zeug drauf das ist übel.
Zum Vergrößern anklicken....

Wobei davon nicht mehr viel übrig sein wird. Der Händler hatte ein frisches Windows aufgespielt. Man könnte natürlich noch ein Image von der ausgebauten Platte ziehen und schauen, ob es noch Reste von alten Dateien gibt. Allerdings würde ich jetzt vermuten und eigentlich auch hoffen, dass die verbauten Platten schon vom Vorbesitzer gelöscht wurden.
 
Zuletzt bearbeitet:
AW: rpcnetp.exe entfernen

DKK007 schrieb:
Wobei davon nicht mehr viel übrig sein wird. Der Händler hatte ein frisches Windows aufgespielt. Man könnte natürlich noch ein Image von der ausgebauten Platte ziehen und schauen, ob es noch Reste von alten Dateien gibt. Allerdings würde ich jetzt vermuten und eigentlich auch hoffen, dass die verbauten Platten schon vom Vorbesitzer gelöscht wurden.
Zum Vergrößern anklicken....
Löschen selbst ? selbst Format C kannst du die letzten Datein mit etwas geschick wieder herstellen gibt genug Programme dafür das beste ist Ausbau und verbrennen.

Solche HDD gehören mit Crypto Programme gelöscht Minimum 128K Verschlüsselung oder 256k

Gesendet von meinem SM-G935F mit Tapatalk
 
AW: rpcnetp.exe entfernen

Mit "löschen" meinte ich schon überscheiben/wipen/shredern usw. ;)

Solche Forensiktools habe ich da.

Wenn aber wirklich jedes Bit einmal von 1 auf 0 geändert wurde, lässt sich da (zumindest mit Software) nichts mehr machen. Deshalb ist es sinnvoll erst einmal mit FF und anschließen mit 00 zu überschreiben. Also dann 3 Durchgänge wählen, da 2 meisten nicht angeboten wird.


Gute Nacht, in 3,5 Stunden klingelt mein Wecker.
 
Zuletzt bearbeitet:
AW: rpcnetp.exe entfernen

Gute Nacht.

Weil du sagtest 1300€ ich hatte mal ein 4000€ Laptop in der Hand, leider war Bild machen nicht gewünscht System mit einer FirePpro GPU als Laptop. Da meinte der gast nur ich muss beim Kunden genauso schnell sein wie ein Rechner bei ihm für CAD Software

Gesendet von meinem SM-G935F mit Tapatalk
 
AW: rpcnetp.exe entfernen

DKK007 schrieb:
Gibt da derzeit sehr viele Angebote mit Core ix-2000 Business-Notebooks, da sich die Firmen jetzt scheinbar alle von ihren 5 Jahre alten Geräten trennen. Wenn man bedenkt, das die früher mal 1500€ gekostet haben und jetzt massenhaft für ein 1/10 verkauft werden. Sonst bekommt man ja für unter 300€ nur irgendwelche Atom-Notebooks, die sich auch noch schlecht warten lassen. Bei diesem löst man genau eine Schaube an der klappe unten und kommt an alles ran.
Zum Vergrößern anklicken....
Vergleichbares (12,5", kein IPS, Tastaturaufkleber, Dellen im Gehäuse) gibt es schon seit 1-2 Jahren zum selben Preis, halt nicht von Dell sondern eher von Lenovo. Da fehlt dann eSATA, dafür hat man einen DisplayPort und nicht nur HDMI (könnte ich persönlich ncihts mit anfangen).
 
AW: rpcnetp.exe entfernen

Wobei Dellen im Gehäuse eher für ein defektes Gerät sprechen.

Ob HDMI oder DP ist eigentlich recht egal, da die meisten Beamer noch mit VGA laufen. Ansonsten gibt es ja auch Adapter auf HDMI.
 
SOLUTION:
Durch Zufall bin ich diese Woche darauf gestoßen, das man keine Datei an einen Ort kopieren kann, an dem schon ein Ordner mit exakt dem gleichen Namen (inkl. Endung) liegt.

Die Lösung liegt also darin unter einem Linux (Live-System) alle Dateien mit rpcnet.exe oder rpcnetp.dll zu löschen und anschließend durch gleichnamige Ordner zu ersetzen. Die Ordner kann man ja dann unter Windows als hidden einstellen, oder mit einem extra Symbol versehen.
 
Update:

Heute hatte das installierte Antiviren Programm (Q360) nach dem Systemscan 2 unbekannte Dateien gemeldet, die es gerne zur Analyse hochladen wollte. Da bin ich natürlich misstrauisch geworden und habe die auch mal bei Virustotal hochgeladen. Beide Dateien haben den gleichen Hash, sind also identisch. Änderungsdatum und Erstelldatum ist jeweils der 21.11.2010, aber die Datei war bei Virustotal noch nicht bekannt.

SHA1: 8e004257ec7e7fd17e3ea0716ff058a1282d47b1
Analyse: Antivirus scan for b004d05f59dddd9fa46ba512042fee1e22ce15b100848b60b967420c4c7903a4 at 2017-09-30 21:14:16 UTC - VirusTotal (17 / 64)

Pfad1: C:\Windows\System32\autochk.exe
Pfad2: C:\Windows\winsxs\amd64_microsoft-windows-autochk_31bf3856ad364e35_6.1.7601.17514_none_4019f2b8d860ad30\autochk.exe

Wie weiterführende Informationen ergeben haben, ist die ausgetauschte Datei für u.a. den Eingriff von CompuTrace in das Dateisystem zuständig.
Siehe: Absolute Computrace Revisited - Securelist
https://securelist.com/absolute-computrace-revisited/58278/ schrieb:
Stage 2: autochk.exe

At this stage a modified autochk.exe starts and has full access to the local file system as well as system registry via Windows NT Native API calls. Its main purpose is to drop the local file rpcnetp.exe and change the local system registry to create a new system service called rpcnetp. The original autochk.exe code is then restored.
Zum Vergrößern anklicken....



Die originale Datei ist bei Systemen ohne CompuTrace zu finden: Antivirus scan for 7bc847ce6c2d29c334f0d1600bbbde3933ff45f6bee5186f442e6270a3f9ec4e at 2017-09-30 21:22:05 UTC - VirusTotal

Da die Datei autochk.exe allerdings eigentlich von Windows benötigt wird, muss ich mir hier erst noch mal Gedanken über eine mögliche Desinfektion machen.
https://superuser.com/questions/452131/bootexecute-what-is-autocheck-for schrieb:
Autochk is standard Windows native application. AFAIK, is always present in fresh install of Windows XP+.

Explain from Microsoft:
The Autochk (Autochk.exe) utility is a version of Chkdsk. For more information about Autochk, see the Windows XP Professional Resource Kit. To do this, visit the following Microsoft Web site: Troubleshooting Disks and File Systems
Zum Vergrößern anklicken....

Update2:
Bios-Update auf Version A14 vom 14 Jun 2017 ändert nichts am Status von Computrace. Interessanterweise wird vor dem Update im Changelog "Antitheft 3.0" explizit aufgeführt.
 
Zuletzt bearbeitet:
Einloggen o. Registrieren zum Antworten.

Ähnliche Themen

Noofuu
Windows 11 Langsamer ?
Antworten
5
Aufrufe
7K
KleinerLoeschZwerg
KleinerLoeschZwerg
A
Monitor Verbindung mit USB-C nicht möglich
Antworten
14
Aufrufe
4K
claster17
claster17
N
SSD Speeds ungewöhnlich langsam?
Antworten
4
Aufrufe
4K
cann0nf0dder
cann0nf0dder
H
12500H Läuft bei Cyberpunk nur auf E-Cores
Antworten
15
Aufrufe
9K
TriadFish
T
A
Neuer Desktop-PC / Workstation bis max. 2000€
Antworten
12
Aufrufe
1K
Avemetatarsalia
A
Oben Unten
Zurück