NtControlSvc и StaffCop — как бороться?

Question

[Валерия Смирнова]

На наших корпоративных ПК сто лет назад какой-то видимо сисадмин-удаленщик установил небезызвестную программу Staffcop для слежения за работой сотрудников. Долгое время ничего не происходило, затем на рандомных ПК стали подменяться в браузере нормальные сертификаты на некие AtomPark-и. Неоднократно сражались с этим удалением файлов, описанных в uninstall64.cmd файле:

NtControlSvc.exe /Unregserver
registerlsp -q "Network Proxy System"
TIMEOUT /T 3
TASKKILL /F /IM NtControlSvc.exe
DEL "%systemroot%\System32\NtControlSvc.ini"
DEL "%systemroot%\System32\NtControlSvcOff.ini"
DEL "%WinDir%\Temp\NtControlSvc.log"
DEL "%WinDir%\Temp\NtControlSvcr.log"
DEL .\NetSpy_ErrorLog.txt
DEL .\Debug_Proxy.log

, а также вручную отключали службу в процессах.
Но беда в том, что спустя время она внезапно сама включается обратно и начинает делать ту же самую грязь.
Кто сталкивался и как удалить ее окончательно и бесповоротно?

Answer 1

[CityCat4]

Поставить стаффа и через его админскую морду удалить агенты. Ну или найти место где он установлен. Стафф НЕ работает по удаленке, его сервер должен быть в локальной сети, для мониторинга нужно по VPN заходить. Другое дело, что если это делалось не по указанию руководства а по чьей-то неумной инициативе - сервер стаффа может быть уже и не существует :)

За NtControlSvc ничего не скажу, не использовал. Но общий принцип таков - есть агент, он где-то висит и проверяет наличие своих файлов, если не находит - подтягивает заново. Проверяйте ВСЕ службы и все места, где программа может хранить данные - ProgramData например.

Answer 2

[Юрий Бортник]

Сеть в домене? Проверьте домменніе политики на присутствие авторазвертівания/автозапуска программ.