[elektro] rpcnetp

Pataki István pataki.istvan at freemail.hu
Sun May 10 12:46:05 CEST 2015 

Ha valakinek nincsen érkezése elolvasni a cikket, annak egy rövid 
idézet, mit érdemes keresnie a gépén:

    One of the following processes is running:
        rpcnet.exe
        rpcnetp.exe
        32-bit svchost.exe running on 64-bit system (can't serve as 
complete indicator)
    One of the following files exist on the hard drive:
        %WINDIR%System32rpcnet.exe
        %WINDIR%System32rpcnetp.exe
        %WINDIR%System32wceprv.dll
        %WINDIR%System32identprv.dll
        %WINDIR%System32Upgrd.exe
        %WINDIR%System32autochk.exe.bak (for FAT)
        %WINDIR%System32autochk.exe:bak (for NTFS)
    The system resolves one of the following domain names using DNS:
        search.namequery.com
        search.us.namequery.com
        search64.namequery.com
        bh.namequery.com
        namequery.nettrace.co.za
        search2.namequery.com
        m229.absolute.com or any m*.absolute.com
    The system connects to the following IP: 209.53.113.223
    One of the following registry keys exist:
        HKLMSystemCurrentControlSetServicesrpcnet
        HKLMSystemCurrentControlSetServicesrpcnetp

Üdv
pi


----- Original Message ----- 
From: "Bali Zoltan" <eltexto at freemail.hu>
To: <elektro at tesla.hu>
Sent: Sunday, May 10, 2015 11:16 AM
Subject: Re: [elektro] rpcnetp


> Különben jó alkalom volt, hogy rájöjjek nekem is
> van ilyenem, csak nem helyeztem üzembe.
> HP ProtectTools
>
> Üdv.  Zoli
>
> 2015.05.10. 9:18 keltezéssel, Bali Zoltan írta:
>> Jó kis cikk. Ha nem engedted az svchostot indítani
>> neki, akkor még van esély, hogy nem tudta felépíteni
>> tökéletesen magát.
>>
>> És mi a biztosíték, hogy az Absolute Software
>> nem egy fedő cég?  A bizalom?  Hahaha...
>>
>> Üdv.  Zoli
>>
>>
>> 2015.05.10. 0:55 keltezéssel, Pataki István írta:
>>> Ezért kérdezek, mert cseppet sem vagyok büfé hálózatokban, sőt. Ha 
>>> nem
>>> az internetről érkezett a kérés, akkor csak a virtuális XP lehetett,
>>> amennyiben tud ipv6-ot. A tűzfal meg azért blokkol, mert ez az
>>> alapállapot, csak a legszükségesebb protokollt engedi át, egyedileg
>>> engedélyezem az ismert címeket. Ennek ellenére minden ismérve
>>> megtalálható a gépemen a computrace programnak. Bővebb info itt 
>>> érhető
>>> el:
>>> https://securelist.com/analysis/publications/58278/absolute-computrace-revisited/
>>> pi
>>>
>>>
>>> ----- Original Message -----
>>> From: "SZIGETI Szabolcs" <szigiszabolcs at gmail.com>
>>> To: <elektro at tesla.hu>
>>> Sent: Saturday, May 09, 2015 10:57 PM
>>> Subject: Re: [elektro] rpcnetp
>>>
>>>
>>>> Ez ipv6 forgalom az első cím egy link local cím, tehát egy, a te
>>>> hálódon
>>>> lévő eszköz beszél hozzád. A végébe bele van kódolva a MAC címe 
>>>> nagy
>>>> valószínűséggel. A második cím egy solicited node multicast 
>>>> address,
>>>> amely
>>>> a saját címednek felel meg. Nagy valószínűséggel egyszerűen itt 
>>>> ipv6
>>>> neighbour discovery forgalmat látsz, mondjuk címfeloldásra (lásd 
>>>> ARP
>>>> ipv4
>>>> nél) Hogy ezt a tűzfalad miért kifogásolja, azt nem tudom.
>>>> Ha van két ipv6-ot beszélő gép a hálódon, akkor ez tök normál.
>>>>
>>>> Szabolcs
>>>> 2015.05.09. 19:28 ezt írta ("Pataki István"
>>>> <pataki.istvan at freemail.hu>):
>>>>
>>>>> Tovább kotorásztam a gépen. 2014 októberében installáltam a
>>>>> Win8.1-et,
>>>>> és az első bejegyzés a tűzfalnál, ami valószínűleg az rpcnetp-vel
>>>>> kapcsolható össze, az 2015-01-16-án kelt, azóta viszont rengeteg
>>>>> ilyen
>>>>> bejegyzést találtam:
>>>>>
>>>>> "Someone is trying to access your computer over the internet. 
>>>>> Remote
>>>>> address fe80::4479:a70c:efa9:a105 to ff02::1:ff91:5039"
>>>>> Mond ez valamit?
>>>>> Azt már valószínűleg nehezebb lesz kiderítenem, mit installáltam
>>>>> január
>>>>> 16-án.
>>>>>
>>>>> pi
>>>>>
>>>>>
>>>>> ----- Original Message -----
>>>>> From: "Horváth Péter" <justicefriend at freemail.hu>
>>>>> To: <elektro at tesla.hu>
>>>>> Sent: Saturday, May 09, 2015 7:20 AM
>>>>> Subject: Re: [elektro] rpcnetp
>>>>>
>>>>>
>>>>>> 2015.05.09. 0:59 keltezéssel, Dienes József írta:
>>>>>>> Pataki István írta 2015.05.08. 23:45 dátummal:
>>>>>>>> már 15 nappal ezelőtt is itt volt a gépen. Meglehet, vaklárma,
>>>>>>>> mert
>>>>>>>> elég
>>>>>>>> káoszos amit erről a neten találtam, mintha a globális
>>>>>>>> felmelegedésről
>>>>>>>> keresnék objektív véleményt:((((
>>>>>>> Pedig a nyomok nagyon errefelé mutatnak:
>>>>>>> http://www.absolute.com/en/about/persistence
>>>>>>>
>>>>>>> Józsi
>>>>>>>
>>>>>>> -----------------------------------------
>>>>>>>              elektro[-flame|-etc]
>>>>>> Már csak arra lennék kíváncsi hogy mennyire intelligens a BIOS 
>>>>>> ban
>>>>>> tárolt kémprogram.
>>>>>> Vagyis pl ha több partició és windows van a gépen (lehet pl kamu
>>>>>> particiót csinálni)
>>>>>>
>>>>>> Vagy már előre betöltök egy ilyen nevű .exe-t, és .dll -t (amik 
>>>>>> nem
>>>>>> csinálnak semmit), akkor ezeket már nem tudja.
>>>>>>
>>>>>> Vagy ha nem c:\windows mappában van a windows..

More information about the Elektro mailing list