Was ist rpcnet.exe?

Letzte Änderung: 28.12.2015

Diese Frage stellte ich mir, als ich ein Asus-Netbook vor einiger Zeit neu mit Win7 aufgesetzt hatte. Mehr durch Zufall sah ich den Prozess rpcnet.exe laufen, obwohl das eine Neuinstallation war und auch das Image garantiert sauber ist. Was ist das also für ein Prozess? Und wo kommt er her?

Hier mal meine Recherchenotizen:

Dahinter steckt Computrace von Absolute Software, wohl eine Art "Diebstahl-Schutz". Fühlt sich aber eher wie eine Backdoor an: Das steckt im Bios, ein loswerden ist also so gut wie unmöglich. Überlebt dadurch auch Neu-Installationen wie in diesem Fall. Registriert automatisch einen Dienst, der auch nicht aus dem System gelöscht werden kann - bzw. beim nächsten Reboot automatisch wieder installiert wird - da das ganze im Bios steckt. Eine ziemliche Sauerei.

rpcnet.exe is a Remote Procedure Call from Absolute Software Corp. belonging to Computrace Plus. This is a laptop tracking software

RPC bedeutet natürlich auch, dass aus der Ferne Code auf dem System ausgeführt werden kann. Da nützt die beste OS-Härtung nichts mehr.

Das mit dem "Diebstahl-Schutz" will ich auch nicht so recht glauben. Erstens wird das nirgends erwähnt, nicht in der Anleitung, nicht bei Asus auf der Webseite, sonstwo. Was hat man von einem "Schutz", wenn man gar nicht weiß, dass es da etwas für Fall eines Diebstahls gibt? Zweitens ist es trotzdem eine Sauerei, da sich die Funktion nicht übers Bios ausschalten lässt. Und das wäre das mindeste, sowas optional zu machen.

Praktikabelste Lösung ist wohl, den Dienst automatisch sofort beenden zu lassen. Damit läuft er wenigstens nicht mehr. Ob das dauerhaft was bringt, weiß ich natürlich nicht.

Eine einfache Batch-Datei:

@echo off
net stop rpcnet
net stop rpcnetp

Das dann alle Minute per Aufgabenplanung als Admin laufen lassen, unabhängig von Nutzeranmeldung. Das verhindert zwar nicht alles, aber besser als nix.

Die beste Untersuchung dieses Machwerks gibt es hier: https://securelist.com/analysis/publications/58278/absolute-computrace-revisited/

Weitere Infos findet sich hier: