Главная - > Блог - > Удаляем rpcnetp.exe Computrace (LoJack) из BIOS UEFI на примере Asus 1225b

Если информация была полезной для вас, вы можете поблагодарить за труды Юmoney: 41001164449086

Опубликовано 08.02.2017 20:19
Просмотров: 18984

Удаляем rpcnetp.exe Computrace (LoJack) из BIOS UEFI на примере Asus 1225b

rpcnetp.exe – это файл системы Computrace для удалённой защиты в ноутбуках, которая по идеи должна помочь владельцу в случае кражи или утери.
Всё бы хорошо, однако есть несколько но:

  1. Мне такая система не нужна
  2. Фактически это бэкдор, дающий доступ к моему компьютеру разработчикам Computrace из Absolute Software
  3. rpcnetp.exe  вступает в жёсткую конфронтацию с многими антивирусными системами, что вызывает избыточную нагрузку на процессор, тем самым сокращая время автономной работы ноутбука.

Многие скажут удалить и нет проблем! Но не тут то было.

Если не вдаваться в подробности, то фактически Computrace (он же lojack) зашит на уровне BIOS UEFI. Суть системы сводиться к тому, что она каждый раз при включении компьютера прописывает себя в Windows.

Более подробно механизм довольно неплохо расписан здесь:

securelist.ru/analysis/obzor/19169/ugroza-iz-bios/

О правомерности таких действий, можно долго говорить, но суть от этого не измениться - бэкдор есть и мало этого, он мешает нормально работать. Поэтому будем удалять.

В большинстве случаев Computrace использует 2 файла:

  • rpcnetp.exe (либо rpcnet.exe)
  • rpcnetp.dll (либо rpcnet.dll)

Все они находятся в подкаталогах c:\Windows. Тут всё зависит от версии Computrace, и для того чтобы их найти можно банально воспользоваться поиском Windows по слову “rpcnet”.

Повторюсь, сколько бы вы не пытаться удалить файлы с диска, переустанавливать Windows, Computrace будет прописываться в момент включения компьютера из BIOS!

На просторах интернета существуют несколько рецептов как избавиться от этой гадости:

  1. Отключить эту самую систему в опциях BIOS UEFI
  2. Создать пустые файлы с соответствующими именами, и проставить им атрибут “Только чтение”

В моём Asus 1225b, опции отключения в BIOS не оказалось, пустые файлы продолжали переписываться замечательной “защитой”.

Надо понимать, что Computrace работает (пока) только с Windows.
При все своей любви к Linux системам, вариант полностью отказаться от Windows меня тоже не особо устроил. Поэтому, я решил покопаться в файле с прошивкой BIOS.

Наиболее простой способ, это воспользоваться родной утилитой от AMI - Aptio UEFI MMTool (все ссылки в конце статьи).

Рис.1.

Открываем BIOS (в моём случае скачал последнюю версию Asus 1225b с офф сайта - 1225B.209).
Перейдя на вкладку Extract, и указав место назначения, можно извлечь из файла прошивки все модули. Что собственно я и сделал.

Рис.2.

В одном из таких модулей с размром 5D28 (23848 dec) байт, с GUID - AD150236-7337-4FCB-8F9E-0BD803A1C3EE -  оказался Computrace.
Идентифицировать его довольно просто посмотрев содержимое.

Рис.3.

Далее я воспользовался Delete, и удалил соответствующий модуль, после чего залил новую прошивку.
Вот тут меня поджидал, как сейчас модно говорить, Эпик Фейл. Система Висла между загрузкой Bios и стартом загрузчика.

Какими только способами я не пытался полностью удалить модуль из BIOS, система приходила в негодность.

Поэтому, я решил пойти другим путём, если нельзя полностью удалить модуль, то можно его деактивировать.

Деактивировать модуль я решил путём изменения места установки начального загрузчика Computrace.

Рис.4.

Теперь он будет пытаться прописаться в 9тый раздел по адресу XINDOWS.
Понятно, что это у него не получиться.

Описываться процесс переупаковки прошивки, думаю не стоит. Он вышел у меня довольно сложным (для этого я использовал UEFITool), и я не уверен, что нет более простого пути . Так же мне пришлось подменить дату создания, поскольку ez flash 2 встроенный в BIOS, отказался загружать прошивку с той же датой релиза что и текущая.

На выходе я получил прошивку, назвав её 1225B.209.n, в которой модуль Computrace не работоспособен.

После прошивки, всё что осталось сделать это удалить, rpcnetp.exe (либо rpcnet.exe), rpcnetp.dll (либо rpcnet.dll) стандартными средствами Windows.

Хотелось бы напомнить, что все кто решит прошиться моей версией 1225B.209.n, помните вы делаете это на свой страх и риск. Однако, за то время что я разбирался Computrace, шанс превратить свой ноутбук в “кирпич”, у меня был значительно больше чем у всех, кто решит воспользоваться уже готовой прошивкой :)

Если у кого есть мысли как полностью удалить модуль Computrace – пишите.

Всем удачи, всем спасибо.

Софт и прошивки:

  • 1225B.209.zip - Оригинальная прошивка
  • 1225B.209.n.zip - Модифицированная прошивка с неработоспособным Computrace
  • UEFITool_0.21.5_win.zip -  Открытая утилита для работы с UEFI прошивками практически любых производителей
  • AMI Aptio UEFI MMTool v5.0.0.7.zip - Оригинальная утилита  Aptio UEFI MMTool
  • Computrace_orig.zip - Оригинальный модуль Computrace версии V80.889
  • Computrace_mod.zip - Модифицированный (неработоспособный) модуль Computrace версии V80.889
  • OPTROMG.zip - Ещё один модуль Computrace, найденный в интернет версии V80.845

 

Комментарии   

# 123 12.12.2017 02:47
Чувак! Короче ты огромную работы проделал. прям рекспект тебе и уважуха!
Ответить | Ответить с цитатой | Цитировать
# User 13.12.2019 19:13
А можно было сделать проще - зашифровать диск. И тогда бэкдор не сможет самовосстановит ься. И вы забыли указать, что бэкдор изменяет chkdsk, а вот уже chkdsk устанавливает файлы бэкдора. По крайней мере в некоторых версиях так. После очистки от бэкдора нужно будет восстановить с помощью sfc сам chkdsk.
Ответить | Ответить с цитатой | Цитировать
# Дмитрий 13.04.2020 11:28
если кто то устанавливал, отпишитесь "кирпич" или работает как задумано модификацией прошивки? Захотелось установить,но слово "кирпич" пугает"
Ответить | Ответить с цитатой | Цитировать

Добавить комментарий

Если информация была полезной для вас, вы можете поблагодарить за труды Юmoney: 41001164449086