清除Absolute追踪软件

2021/4/15 网络安全

# 清除Absolute防盗追踪软件

内容仅供学习和参考,禁止用于非法用途。

内容仅供学习和参考,禁止用于非法用途。

内容仅供学习和参考,禁止用于非法用途。

# 起因

由于学业需求,从某鱼上捡来一台Surface 3,使用一段时间后发现疑似存在恶意软件,且重装系统无法清除,BIOS设置内无任何设置选项。

  1. 疑似恶意程序&进程 疑似恶意进程
  2. 强制托管Chrome,插件名也极为邪恶 疑似恶意插件

后面发现是Absolute公司的一个防盗追踪软件,国内部分大学官网已提供解决方案,但在我的Surface上均不起作用,故找出了新的解决方案。

# 分析

程序固化在BIOS固件中,最佳方案为换主板/刷BIOS。但以上方法并非最低成本解决方案。

经过简单分析,程序固化在BIOS中,仅有rpcnetp.exe一个文件,每次电脑开机时自动检测并嵌入到Windows系统中,如果电脑中没有完整的Absolute软件,等待连接到网络后将自动下载并安装,以此使软件保活。

# 实施

清除方案:

  • 以下过程需要全程断网
  1. 重置系统,进入系统后在进程列表能找到名为rpcnetp的进程(以服务形式) 进程
  2. 在桌面上新建一个txt,命名为rpcnetp.exe(需更改拓展名)
  3. 更改桌面上的rpcnetp.exe文件属性,勾选“只读”、“加密内容以保护数据”。 属性
  4. 更改桌面上的rpcnetp.exe文件属性,“高级安全设置”内将 STSTEM , Administrators 设为 拒绝完全控制属性
  5. 保存桌面上的rpcnetp.exe的文件属性
  6. 打开任务管理器,结束rpcnetp进程
  7. 将桌面上的rpcnetp.exe拷贝到 C:\Windows\System32 并选择覆盖已存在文件。

# 重启电脑

此时重启的开机速度会比之前的开机速度慢30秒左右,但不影响关机后再开机的开机速度

前提:启用了“快速启动”功能并能够正常运作。

系统启动后,任务管理器已不存在rpcnetp进程,Absolute防盗追踪软件已被移除且在重装系统前无法自动修复和启动。(前提:请勿删除从桌面替换的"C:\Windows\System32\rpcnetp.exe" ) 属性

清除已完成,连接到网络,正常使用电脑即可!

Last Updated: 2023/1/12 04:11:40