[Cottbusa]

Hallo Leute,

hoffe ich bin jetzt im richtigen Forum, wenn nicht bitte verschieben!

Ich hab ein merkwürdiges Problem. Hab mir nen Asus Netbook gekauft ohne Betriebsystem. Hab daher Windows 7 Ultimate 64 Bit drauf gehauen. Hat auch alles super geklappt, nur leider hat sich immer wieder ne datei namens "rpcnetp.exe" gemeldet. Also der Virenscanner (sowohl G Data als auch Zone Alarm unabhängig voneinander) schlägt an und die Firewall meldet immer das die Datei Zugang zum Internet anfordert. Die Datei ist auch mit ... nicht unerheblichen Ressourcen ... im Taskmanager vertreten. Lässt sich beenden, startet aber sofort wieder neu. Auch das Löschen der Datei im system32 Ordner ist nicht möglich bzw ist beim Neustart wieder da. In der Registry sind Ordner in dem Namen drin, aber keine Schlüssel etc.

ZoneAlarm zeigt folgendes an:

Zitat:

rpcnetp.exe versucht, C:\Windows\sysWOW64\svchost.exe zu laden oder ein anderes Programm zu verwenden, um Zugriff auf berechtigte Ressourcen zu erhalten.

Da das Windows eindeutig zu lahm war (vermutlich wegen der Datei) habe ich das Netbook komplett platt gemacht und mir Windows 7 Home Premium 64 Bit installiert. Hab jetzt Zone Alarm drauf als Virenscanner und Firewall. Nun war ne weile ruhe und jetzt kommt das wieder.
Komisch nur, dass ich das auf meinem Medion Notebook (immer Windows 7 Ultimate 64 Bit) das noch nie hatte. Dort hatte ich anfangs auch Zone Alarm drauf, später G Data und jetzt Norton von der Computer Bild.


Kann mir jemand helfen?

[Uploads4You]

Kannst du die Datei evtl. auf Zippyshare hochladen und mir den Link per PN schicken, ich versuche mal ob ich was herausfinden kann.

[Cottbusa]

Zitat:

Zitat von Uploads4You

Kannst du die Datei evtl. auf Zippyshare hochladen und mir den Link per PN schicken, ich versuche mal ob ich was herausfinden kann.

Zippyshare nicht, aber ul.to

dürfte ja auch gehen.

Link folgt gleich per PN

[Uploads4You]

Hast du Windows 7 von einer originalen DVD installiert oder war es ein Download?

[Undertaker2011]

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]! Würde ich als potentiell schädlich einstufen!

Hast DU irgendein Remote-Programm installiert? Vielleicht von einer zweifelhaften Quelle?

@Uploads4You,
lade Dir so einen Müll NICHT runter!

[Uploads4You]

Zitat:

Zitat von Undertaker2011

@Uploads4You,
lade Dir so einen Müll NICHT runter!

Welchen Müll ich mir runterlade oder nicht entscheide immer noch ich! Kann dir völlig egal sein! Denkst du ich bin so blöd und führe die Datei in einer unsicheren Umgebung aus, keineswegs! Kümmer dich mal lieber um die User und Threads hier im Forum als um die Probleme von mir!

[Undertaker2011]

Komm mal wieder runter und werde nicht persönlich!

Zitat:

Kümmer dich mal lieber um die User und Threads hier im Forum als um die Probleme von mir!

Ach, und was bist Du? Kein User?

[Cottbusa]

na na na leute, bitte sachlich bleiben.

nee, is ne sicherheitskopie ... will ja windows erstmal ausprobieren bevor ich es kaufe

Ja naja die Meinungen in den Foren spalten sich da sehr. hab das ja schon gegooglet.
Hab kein Remoteprogramm etc. drauf. sowas schalte ich auch grundsätzlich aus. vorallem wenn es von Windows ist.
Von ner Zweifelhaften Quelle? nee nicht das ich wüsste. Beim Ersten mal war es ja von Anfang an da.

Wenn das bösartig ist kann man das ja sicher auch irgendwie entfernen. nur die ganzen virenprogramme machen ja nix anderes wie die datei löschen. und nach nem neustart ist sie dann wieder da

[Undertaker2011]

1. Scanne Dein System mal mit [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] durch, werte die Logfile [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] und fixe dann die Fehler!

2. Scanne Dein System mit [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] durch!

3. [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] ist auch ein gutes Tool, das die Registry, den Browser und das System nach verdächtigen Programmen scannt und auch entfernt!

[Cottbusa]

ich stelle grad fest das teil scheint echt bösartig und vorallem selbstständig zu sein. denn wenn man mal bei services.msc reinschaut gibt es einen dienst der "Remote Procedure Call (RPC) Net" heißt. dieser Dienst ist komplett deaktiviert und dennoch ist es der Dienst der im Taskmanager bei Prozesse bzw bei Dienste angezeigt wird. Wie geht das?
Der Pfad zur EXE ist: C:\Windows\SysWOW64\rpcnet.exe

Zitat:

Zitat von Undertaker2011

1. Scanne Dein System mal mit [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] durch, werte die Logfile [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] und fixe dann die Fehler!

Hab ich gemacht. Die Seite zeigt nix unsicheres an.

Zitat:

2. Scanne Dein System mit [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] durch!

Läuft grad durch

Zitat:

3. [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] ist auch ein gutes Tool, das die Registry, den Browser und das System nach verdächtigen Programmen scannt und auch entfernt!

Mach ich wenn bei Punkt 2 nix raus kommt

[Undertaker2011]

Diese Datei wird den microsofteigenen RPC-Dienst deaktiviert haben, um unter gleichem Namen sein Unwesen zu treiben!

Wenn die 3 Tools, die ich oben gepostet habe, nicht helfen, dann setze das System neu auf!
Wo hast Du Dein Windows her? Ist es ein originales, also unverändertes Windows, aus dem MSDN-Store?

[Cottbusa]

Zitat:

Diese Datei wird den microsofteigenen RPC-Dienst deaktiviert haben, um unter gleichem Namen sein Unwesen zu treiben!

Glaube damit hast du recht. scrollt man in den diensten weiter runter findet man den Dienst "rpcnetp" der auch gestartet ist. nur leider kann man den Dienst nicht öffnen oder beenden. Es kommt nur die Meldung "Die Datei konnte nicht gefunden werden

Das Malewarebytes hat nix gefunden. lass jetzt mal das andere durchlaufen.


nee, ist wie gesagt aus dem hause mygully ... zum testen vor dem Kauf

[Undertaker2011]

Zitat:

nee, ist wie gesagt aus dem hause mygully ... zum testen vor dem Kauf

Auf myGully werden auch veränderte Versionen angeboten, die schadhafte Software enthalten!
Versionen aus dem MSDN- oder Technet-Store tragen i.d.r. eine entsprechende Bezeichnung!
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[Cottbusa]

auf sowas achte ich eigentlich. will eigentlich nur die reinen versionen. aber das ist ja die selbe version wie ich auch aufn laptop habe ... und da ist es nicht.
vorallem habe ich ja aufn netbook 2 unterschiedliche windows-versionen probiert und bei beiden kam das problem

[Prince]

Könnte es nicht vielleicht mit dem Phenomän zusammen hängen, wenn du sagst, dass es nach einer Neu-Installation wieder auftaucht ...

Interessanter Artikel:

Fasse mal ein paar Punkte zusammen

Zitat:

Eine Software-Firma spürt gestohlene Notebooks auf


Statusberichte von Millionen Notebooks treffen täglich auf den Servern von Absolute Software ein. Der Anbieter verspricht, die Geräte im Verlustfall zu orten oder wenigstens wichtige Firmendaten zu löschen. Nebenbei eignet sich das System auch zur Überwachung seiner Nutzer.


Wir legten den Computrace-Schalter um. Das Ergebnis: Das BIOS installierte im Ordner Windows\System32 einen 17 Kilobyte großen Downloader („rpcnetp.exe“), der anschließend den eigentlichen Agenten („rpcnet.exe“) aus dem Netz zog und als Dienst startete – ohne weiteres Zutun des Nutzers. Das Vostro 1000 kam 2007 auf den Markt; inzwischen sind Dell und Absolute von dieser automatischen Installation wieder abgerückt. Auf aktuellen Testgeräten (darunter Modelle von Dell, Lenovo, Panasonic und Fujitsu) ließ sich Computrace nur von Hand installieren: Erst wenn man ein Abo abschließt, sich per Web-Frontend in das Absolute-Kundencenter einloggt und den Agenten dort herunterlädt und installiert, nimmt er seine Arbeit auf.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[ckjthedogmaster]

LoJack nennt sich das Proggi und lässt sich so einfach auch nicht entfernen. Einzige was mir einfallen würde, das Bios zu modifizieren, oder mit einem bereits modifiziertem BIOS zu flashen. Sofern es das gibt.

Von beidem kann ich aber nur abraten, das modifizieren kannst du mit Tools machen, geht was schief ist genau wie bei falsch geflashtem Bios erstmal Schluß.


Mfg

[thyriel]

In manchen BIOS lässt sich das auch deaktiveren. Die Option nennt sich dann meistens "Computrace(tm)"

[Cottbusa]

Zitat:

Könnte es nicht vielleicht mit dem Phenomän zusammen hängen, wenn du sagst, dass es nach einer Neu-Installation wieder auftaucht ...

Interessanter Artikel:

Fasse mal ein paar Punkte zusammen

Ja davon hab ich auch was beim googlen gefunden ... find ich aber schwachsinn sowas. Und erstrecht wenn es gegen meinen Willen passiert.

Nee, flashen tu ich das BIOS nicht. ich hab das Programm einfach komplett in der Firewall gesperrt. Nun kommen keine meldungen mehr und das Teil kann tun und lassen was es will ... nur eben nicht nach hause telefonieren