Grace_Aredel
@Grace_Aredel
middle-QA in mobile VR apps.

NtControlSvc и StaffCop — как бороться?

На наших корпоративных ПК сто лет назад какой-то видимо сисадмин-удаленщик установил небезызвестную программу Staffcop для слежения за работой сотрудников. Долгое время ничего не происходило, затем на рандомных ПК стали подменяться в браузере нормальные сертификаты на некие AtomPark-и. Неоднократно сражались с этим удалением файлов, описанных в uninstall64.cmd файле:
NtControlSvc.exe /Unregserver
registerlsp -q "Network Proxy System"
TIMEOUT /T 3
TASKKILL /F /IM NtControlSvc.exe
DEL "%systemroot%\System32\NtControlSvc.ini"
DEL "%systemroot%\System32\NtControlSvcOff.ini"
DEL "%WinDir%\Temp\NtControlSvc.log"
DEL "%WinDir%\Temp\NtControlSvcr.log"
DEL .\NetSpy_ErrorLog.txt
DEL .\Debug_Proxy.log
, а также вручную отключали службу в процессах.
Но беда в том, что спустя время она внезапно сама включается обратно и начинает делать ту же самую грязь.
Кто сталкивался и как удалить ее окончательно и бесповоротно?
  • Вопрос задан
  • 4140 просмотров
Пригласить эксперта
Ответы на вопрос 2
CityCat4
@CityCat4 Куратор тега Информационная безопасность
//COPY01 EXEC PGM=IEBGENER
Поставить стаффа и через его админскую морду удалить агенты. Ну или найти место где он установлен. Стафф НЕ работает по удаленке, его сервер должен быть в локальной сети, для мониторинга нужно по VPN заходить. Другое дело, что если это делалось не по указанию руководства а по чьей-то неумной инициативе - сервер стаффа может быть уже и не существует :)

За NtControlSvc ничего не скажу, не использовал. Но общий принцип таков - есть агент, он где-то висит и проверяет наличие своих файлов, если не находит - подтягивает заново. Проверяйте ВСЕ службы и все места, где программа может хранить данные - ProgramData например.
Ответ написан
Комментировать
Сеть в домене? Проверьте домменніе политики на присутствие авторазвертівания/автозапуска программ.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы