Как определить наличие Computrace на своем компьютере?

Индикаторы активности агента Computrace

1. Один из процессов запущен:

  • rpcnet.exe
  • rpcnetp.exe
  • 32-bitsvchost.exe, работающие на 64-bitсистеме (косвенный индикатор)

2. Один из файлов существует на диске:

  • %WINDIR%\System32\rpcnet.exe
  • %WINDIR%\System32\rpcnetp.exe
  • %WINDIR%\System32\wceprv.dll
  • %WINDIR%\System32\identprv.dll
  • %WINDIR%\System32\Upgrd.exe
  • %WINDIR%\System32\autochk.exe.bak (для FAT)
  • %WINDIR%\System32\autochk.exe:bak (для NTFS)

3. Система отправляет DNS-запросы для следующих доменов:

  • search.namequery.com
  • search.us.namequery.com
  • search64.namequery.com
  • bh.namequery.com
  • namequery.nettrace.co.za
  • search2.namequery.com
  • m229.absolute.com или любых m*.absolute.com

4. Система соединяется со следующим IP-адресом: 209.53.113.223

5. Существует один из следующих ключей в реестре:

  • HKLM\System\CurrentControlSet\Services\rpcnet
  • HKLM\System\CurrentControlSet\Services\rpcnetp