Spionage-Notebooks von Dell

Dieses Thema im Forum "Notebook Technik" wurde erstellt von s1g-de, 18.10.2009.

  1. #1 s1g-de, 18.10.2009
    Zuletzt bearbeitet: 23.12.2009
    s1g-de

    s1g-de Forum Benutzer

    Dabei seit:
    18.10.2009
    Beiträge:
    42
    Zustimmungen:
    0
    Mein Notebook:
    noch nichts eingetragen
    Spionage-Notebooks von Dell [ungegelöst]

    Vorab: Es dreht sich hier im Wesentlichen um die Computrace Software von "Absolute Software" und den damit verbundenen Windows Dienst rpcnet.exe oder rpcnetp.exe. Desweiteren prangere ich die nicht standartisierten Implementationen von Windows bei Herstellern von Notebooks an. Es kann nicht angehen, dass ein Notebook (WinXP) ohne benutzerspezifische Software bereits ein drittel der Ressourcen (bei 4GB RAM) beansprucht und sich beim Start mit unzähligen Softwareupdateprogrammen herumärgern muss.

    Ich habe mitte September 2 Vostro 1520 von Dell gekauft, die mich seither in der Wahnsinn treiben. Die Notebooks bestellte ich mit vorinstalliertem Windows XP SP3.

    Nach dem ersten Start, ohne Verbindung zum Internet, deaktivierte ich zunächst alle unnötigen Windowsdienste darunter:

    Windows Firewall,
    automatische Updates,
    Hilfe und Support von Microsoft,
    Designs,
    Indexdienst,
    BITS
    uvm.

    Da ich diesen Rechner überwiegend für virtuelle Maschinen nutzen möchte hielt ich dieses Vorgehen für notwendig um möglichst viele Ressourcen den VMs spendieren zu können.

    Es gab immer noch ein Büschel an Software (Dell Updater, digital Persona Updater...), die nach neuen Softwareupdates im Internet suchen wollten. Ich entschlackte ebenfalls die Autostart Programme.
    Letztendlich hatte ich den Speicherverbrauch von 500MB auf 140MB gesenkt. Die Anzahl der Prozesse reduzierten sich von ca. 50 auf unter 30.

    Ich installierte meine Standardprogramme:
    Zonealarm 7.0.483.000
    Antivir 9.0
    Firefox 3.5
    Thunderbird 2.x

    Nach dem Neustart des Notebooks und Anschluss des Nezwerkkabels meldete ZA (ZoneAlarm) Zugriff des Internet Explorers aufs Internet. Das war nicht normal. Die Meldungen wiederholten sich in regelmässigen Abständen. Der Prozessexplorer von Sysinternals zeigte, dass IE von einem Prozess namens "rpcnet.exe" der Firma "Absolute Software" aufgerufen wurde. Ich deaktivierte diesen Dienst und startete den Rechner neu. Siehe da, der Prozess rpcnet hatte sich wieder akiviert. Ich deaktivierte ihn erneut und löschte rpcnet.exe / rpcnet.dll im System32 Verzeichnis und der Prozess war nach dem Neustart wieder vorhanden, allerdings hiess er jetzt rpcnetp.exe.

    Nach mehreren Stunden googelei stelle sich heraus, dass es sich um sogenannte Trackingsoftware handelt. Sie übermittelt dem privaten Unternehmen "Absolute Software" Daten meines Rechners (vielleicht mehr), fährt ein Update der Programme "rpcnet*" und verrät meinen Standort, der anscheinend aus der IP-Adresse meines Providers gebildet wird. "Absolute Software" beabsichtigt mit diesen Daten verloren bzw. gestohlen gemeldete Notebooks ausfindig zu machen und diese gegen ein kleines Entgeld wieder zu beschaffen. Ein wahrer Segen für alle Notebook-Besitzer.

    Ich fand heraus, dass diese Software sich in bestimmten Bereichen der Festplatte und im BIOS befindet. Bei jedem Start werden die Dateien aus diesen Bereichen neu erzeugt und danach gestartet. Im BIOS meines Notebooks fand ich eine Einstellung "Computrace", die auf aktiviert geschaltet ist und sich nicht verändern lässt. Ich kontaktierte den Dell-Support mit folgender Nachricht:
    >>>>>
    Illegale Operation von RPCNET.EXE bzw RPCNETP.EXE
    Ich akzeptiere keine eigenständigen Verbindungen mit dem Internet durch mir nicht bekannte Programme. Der Windows Dienst RPCNET bzw. RPCNETP von "Absolute Software" wird anscheinend beim Start des Rechners, durch das BIOS, in das System von Windows eingebettet und ist nicht mehr deaktivierbar. Ich verlange deshalb ein Bios Update ohne dieses "Feature".
    Bios Update von Version A2 auf A3 ohne Erfolg
    <<<<<
    Ich bekam sofort eine Antwortmail, dass ich mich mit meiner Email-Adresse erfolgreich bei Dell-Newsletter angemeldet habe. Nach der sofortigen Deaktivierung von Dell-Newsletter bekam ich eine Bestätigung mit dem Hinweis, dass es wohl 21 Tage dauern werde bis die Deaktivierung ausgeführt ist. Das wollte ich nur zwischendurch erwähnen.

    Nach ca. 2 Tagen bekam ich eine Antwort auf meine Service-Anfrage:
    >>>>>
    Sehr geehrter Dell Kunde
    bla, bla, bla..Es handelt sich um eine Softwareangelegenheit um die sich ausschliesslich unser kostenpflichter PRESTO-Service kümmert. Wählen sie bitte diese Telefonnummer XXX und halten sie ihre Kreditkarte bereit oder wählen sie diese Telefonnummer YYY und akzeptieren sie 1,99 EUR/Min...bla,bla,bla
    <<<<<

    Nach weiteren Tagen erhielt ich einen Anruf vom PRESTO-Service (Huch). Der freundliche Mitarbeiter erklärte mir, das Dell nichts mit den "Features" im BIOS zu tun hat, er hätte auch keine Möglichkeit dieses Tool abzuschalten. Ich sollte mich an den Support des Mainboardherstellers oder an "Absolute Software" wenden. Das ist eine Frechheit von Dell dieses, von mir, unerwünschte Tool standardmässig zu aktivieren.

    Während der Arbeit mit dem Notebook kam es öfters zum Fehler, iaStore Ereignis: 9, welcher im Ereignisprotokoll von Windows eingetragen wurde. Nach diesem Ereignis und dem Neustart des Systems startete der Dienst meiner Antivir Software nicht. Antivir konnte die Datei AVEvtLog nicht finden (Avira Antivir, Ereignis: 4122). Ein nachträgliches manuelles Starten des Dienstes klappte jedoch problemlos. Das ging solange gut bis sich WinXP mit einer Meldung, "Zugriffsfehler auf Harddisk 0, bitte checkdisk ausführen" freundlich meldete. Ich wechselte sofort in die Ereignisanzeige, die sich jedoch wegen Datenzugriffsfehler sofort beendete. Ich führte "chkdsk /R" aus. Es konnte momentan nicht auf die Festplatte zugreifen und fragte, "möchten Sie beim Systemstart chkdsk ausführen", ich bestätigte mit ja. Während des Neustarts wurde chkdsk nicht ausgeführt. Nächster Neustart mit F8. Ich wollte in den abgesicherten Modus, bekam stattdessen ein Auswahlmenue mit 2 Möglicheiten, 1.) Betriebssystem Vista starten und 2.)Diagnose ausführen. Vista??? Es gab kein Vista auf meinem Notebook. Nach mehreren Versuchen den abgesicherten Modus zu starten gab ich auf. Es stellte sich heraus, dass Dell eine eigene Bootroutine benutzt, die auf die Verzeichnisse "boot" und "BootImage" auf dem Startlaufwerk zugreift. Das Löschen oder Umbenennen dieser Verzeichnisse verhindern einen Start des Systems.

    Nachdem ich mit der Wiederherstellungskonsole "fixmbr" und "fixboot" ausgeführt hatte konnte ich (nach F8) mit der gewohnte Auswahl den abgesicherten Modus starten. Mit der Wiederherstellungskonsole (nur mit original Dell-WinXP-CD startbar, wegen AHCI) klappt auch "chkdsk /r". Chkdsk beim Systemstart auszuführen funtioniert aber immer noch nicht wobei sich hier der Kreis zur unerwünschten "Absolute Software" schliesst.

    Chkdsk benötigt Autochk.exe zur Ausführung. Ein flüchtiger Blick auf Autochk lässt nichts anrüchiges erkennen. Die Grösse stimmt, das Datum stimmt. Unter den Eigenschaften der Datei sucht man den Reiter "Version" vergeblich, beim Original sind die Versionsinformationen vorhanden. Auch ein Vergleich mit dem Befehl "comp" zeigt unterschiedliche Inhalte der Dateien. Computrace fummelt an meinem Rechner mit meinen Daten herum und verbiegt das Betriebssystem ohne das ich eine Chance habe diesen Unsinn zu beeinflussen.

    In den Foren, die sich mit diesem Thema beschäftigen findet man Beiträge, die die Skeptiker verunglimpfen, unter dem Motto: "Ihr seid doch alle paranoid". Man sollte sich mal die Möglichkeiten von solch einer Art Software vor Augen führen.

    Ein privates Unternehmen aus Canada bzw. den USA hat Zugriff auf Millionen von Computern. Es bekommt, mit Unterstützung der Hersteller, die Macht diese Computer zu Übernehmen. Auf der Webseite von "Absolute Software" findet man folgende Möglichkeiten.

    - Administration von Computern über das Internet
    - Aufspüren des Aufenthaltsorts eines Computers via Internet
    - komplette Datenlöschung über das Internet
    - Wiederbeschaffung verlorener oder gestohlener Computer, natürlich gegen Entgeld, was auch legitim wäre, wenn ich mit diesem Service einverstanden bin.

    Alles andere ist denkbar
    - Melden bei unrechtmässigem Laden und Benutzung vermeintlich urheberrechtlich geschützter Daten
    - Installation weiterer Programme im Auftrag eines Verfassungsschutzes (Bundestroianer, ich hatte es nicht für möglich gehalten)
    - Melden von eingegebenen auffälligen Schlüsselwörtern
    - Melden bei Ausführung von unerlaubter Software (Regimespezifisch)
    sicherlich gibt es noch vieles mehr

    Fahrlässig jedoch an Computrace ist die Arbeitsweise dieser dilettantisch programmierten Software.
    Ich habe rpcnet.exe und rpcnetp.exe ruhig gestellt indem ich die Zugriffsrechte im NTFS verändert habe. So einfach ist das.

    Ich will dieses Zeugs trotzdem nicht auf meinem Computer haben und arbeite hart an den Möglichkeiten die Software legal zu entsorgen ohne die Hardware-Support Garantie von Dell zu verlieren. Computrace oder verharmlosend LoJack benutzt den Internet Explorer um Daten zu übermitteln und um Updates zu empfangen. Dazu verbindet das Programm rpcnet sich mit dem HTTP-Server, "search.namequery.com", der sich per DNS Anfrage z.Zt. auf der Adresse 209.53.113.223 befindet. Laut Protokoll von Wireshark werden zunächst eine Reihe von Daten an den Server übermittelt (per POST). Es sind so viele POSTs, dass es sich hierbei unmöglich um ein paar kurze Kennungen handeln kann. Unter persönlichen Informationen habe ich nur meinen Rechnernamen gefunden der Rest scheint verschlüssel zu sein. Anschliessend an die POSTS werden mittels GET Daten empfangen (das konnte ein Update sein). Dieses Vorgehen öffnet Hackern Tür und Tor. Ein Verbiegen der DNS Einträge könnte dem Rechner jede Art von Programmen unterschieben. Das halte ich für sehr bedenklich, fahrlässig, unseriös und verantwortungslos. Wenn man jedoch bedenkt, dass Linux Betriebssysteme nicht unterstützt werden und jeder einigemassen versierte Benutzer das System aushebeln kann, dann kommt mir plötzlich der Gedanke....hmmm....steckt etwa mehr dahinter? "Absolute Software": Knete verdienen, Informationen liefern, Behörden, Konkurrenten, unliebsame Zeitgenossen, Surfverhalten, Kaufverhalten...

    Zusammenfassung: Computrace konnte ich kaltstellen jedoch nicht legal entfernen. Dell eigene Bootroutine konnte ich deaktivieren und auf Startlaufwerk entfernen. Checkdisk kann ich nur von der Dell-CD mit der Wiederherstellungskonsole starten. Nervfaktoren, wie Softwareupdater habe ich entfernt.

    Noch ein paar Anmerkungen zu personal Firewalls: Der Fehler iaStore, den ich oben erwähnte hat Zone Alarm auf dem Dell Vostro verursacht, obwohl die gleiche Version auf meinen anderen Rechnern problemlos läuft. Ich arbeite schon seit einigen Jahren mit ZA und hatte nie etwas zu bemängeln. Updates von ZA habe ich nur durchgeführt wenn es zu Imkompatibilitäten mit dem Betriebssytem kam. Die letzte Version allerdings veranlasste mich eine andere Firewall zu benutzen. Einfaltspinsel in einigen Internet-Foren behaupten, dass eine personal Firewall das System ausbremst (das stimmt) und sowieso nix bringt (das stimmt nicht), weil jeder Router bereits als Firewall konfigurierbar ist (das stimmt). Wahrscheinlich handelt es sich bei denen um Heimanwender, die auf ihrer Arbeit nicht einmal die Bildschirmauflösung ändern können. Meine Rechner werden mit Kundennetzwerken verbunden wo ich genau wissen will was von meinem Computer gesendet bzw. empfangen wird und was nicht. Eine personal Firewall ist hier sehr hilfreich, wenn auch nicht perfekt.

    Danke für Eure Aufmerksamkeit
    Georg
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort ist für jeden was dabei!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 M100469, 19.10.2009
    M100469

    M100469 Forum Stammgast

    Dabei seit:
    20.03.2007
    Beiträge:
    364
    Zustimmungen:
    0
    Ort:
    irgendwo im Nirgendwo
    Mein Notebook:
    mysn D901C Quadcore 3Ghz
    Hallo s1g-de,

    der Bericht ist sehr sehr interessant zu lesen, wenn das so läuft muß ich das an meine Laptop auch x schauen, habe aber Win 7 drauf und es ist z.Zt. in Reparatur, sobald es wieder da ist, schaue ich danach.

    Wenn es stimmen sollte würde ich "manfel" kontaktieren das der Bericht angepinnt wird.

    Gruß M100469
     
  4. #3 2k5.lexi, 19.10.2009
    2k5.lexi

    2k5.lexi Ultimate Member

    Dabei seit:
    18.09.2006
    Beiträge:
    19.542
    Zustimmungen:
    0
    Ort:
    Rhein-Main
    Mein Notebook:
    T450S
    Verstehe ich das richtig, dass ich durch tauschen der Festplatte bzw. Formatieren und installieren mit einem eigenen Betriebssystem diese Software abstelle, da ich so die Bootinformationen verändere?
     
  5. #4 ThomasN, 19.10.2009
    ThomasN

    ThomasN Ultimate Member

    Dabei seit:
    09.12.2004
    Beiträge:
    6.868
    Zustimmungen:
    0
    Ort:
    Sierning - Back home again ...
    Mein Notebook:
    MacBook Pro 5,5
    Die Tracking Komponenten im Bios der Dell Business Schiene sind da schon ewig drin. Lassen sich immer deaktivieren. Beim Kauf eines Notebooks ist dies auch meines Wissens zufolge als Option aktivierbar.
    Warum sich das bei deinen Modellen nicht deaktivieren lässt weiß ich nicht, glaub ich jetzt auf den ersten Blick auch nicht so recht.

    Mir stellt sich allerdings generell die Frage, welcher Administrator die Rechner von Dell (oder welchem anderen Hersteller auch immer) nicht neu aufsetzt? Die Dinger sind ja zugeschrottet bis oben hin mit Software die nicht jeder braucht, nur um den Otto-Normal-Heimanwender mit allem zu versorgen was er vermeintlich haben will (und was ihm gelinde gesagt ziemlich wurscht is weil er nicht weiß was er da hat).

    Ich seh dein Posting wiedermal als Hetze gegen Dell.
    Wenn du mehr bist als ne Eintagsfliege, was ich jetzt mal nicht glaube da du auch im Chip Forum denselben Beitrag gepostet hast, können wir sicher sachlich über deinen Beitrag diskutieren. Ansonsten seh ich das alles ein bisschen als Panikmache einer Person, die offensichtlich n bisschen zu viel Zeit hat.
     
  6. #5 2k5.lexi, 19.10.2009
    2k5.lexi

    2k5.lexi Ultimate Member

    Dabei seit:
    18.09.2006
    Beiträge:
    19.542
    Zustimmungen:
    0
    Ort:
    Rhein-Main
    Mein Notebook:
    T450S
    Ich als Verfassungsfeind (aufgeklärter und selbstdenkender Bürger) find den Hinweis schon okay. Dabei gehts mir mehr um das Thema als solches als um dieses Beispiel.
     
  7. s1g-de

    s1g-de Forum Benutzer

    Dabei seit:
    18.10.2009
    Beiträge:
    42
    Zustimmungen:
    0
    Mein Notebook:
    noch nichts eingetragen
    Nein, die Software wird aus dem BIOS heraus gestartet und sucht nach einer Windows Startfestplatte. Sie verändert dort die Registry ersetzt Kernkomponenten von Windows und installiert die Dienste rpcnet und rpcnetp. Ein Festplattentausch hilft nicht.

    Georg
     
  8. fs005

    fs005 Forum Master

    Dabei seit:
    01.03.2008
    Beiträge:
    550
    Zustimmungen:
    0
    Mein Notebook:
    noch nichts eingetragen
    Warum rufst Du nicht einfach bei About-Software an und lässt den Dienst deaktivieren?
     
  9. s1g-de

    s1g-de Forum Benutzer

    Dabei seit:
    18.10.2009
    Beiträge:
    42
    Zustimmungen:
    0
    Mein Notebook:
    noch nichts eingetragen
    OK. Ich werde nur noch hier antworten. Eine Dell Hetze liegt mir fern. Das trifft auch für andere Notebook Hersteller zu.

    Ich betreibe ein kleine Softwarefirma und wir gönnen uns alle 4 bis 5 Jahre neue Notebooks (alle von Dell). Unsere Entwicklungstools laufen ohnehin nicht auf den neuesten Plattformen von Windows, deshalb wird die Hardware seltener getauscht und deshalb habe ich die Vostro Rechner bei Dell mit XP vorinstalliert bestellt. Unsere alten Notebooks habe ich gecheckt, sie enthalten keine Trackingsoftware.

    Normalerweise ändere ich nichts im BIOS, da die Standardeinstellungen für unsere Belange ausreichen. Glaub es mir oder glaub es nicht. Ich kann die Trackingsoftware nicht deaktivieren, denn die Computrace-Auswahlbox ist im BIOS grau und nicht bedienbar. Ich, und schon gar nicht mein Mitarbeiter haben sie wissentlich aktiviert.

    Den vorinstallierten Schrott, den Du erwähntest kann ich selbst entsorgen. Gescheitert bin ich bei Computrace, einer Software, die ich unter keinen Umständen auf meinen Rechnern haben möchte.

    Ich habe wirklich nicht sehr viel Zeit. Dieses Thema liegt mir jedoch sehr am Herzen, weshalb ich auch diese Postings verfasse. Wir treiben uns beruflich mit unseren Notebooks in Flughäfen, Hotels und in grossen Kundennetzwerken herum. Ich möchte nicht das irgend ein, noch so gut gemeintes, "Tool" herum gröhlt und nach Befriedigung bettelt und das alle 15 Minuten.

    Georg
     
  10. Anzeige

    Auf der Suche nach Notebook-Zubehör?
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  11. s1g-de

    s1g-de Forum Benutzer

    Dabei seit:
    18.10.2009
    Beiträge:
    42
    Zustimmungen:
    0
    Mein Notebook:
    noch nichts eingetragen
    Das hat mir Dell auch geraten. In meinem Eingangsposting habe ich erwähnt, das ich die Dienste bereits "kalt gestellt" habe. Ich möchte ein BIOS, das seine ursprünglichen Aufgaben erfüllt, auch für meine Kunden. Ich möchte ein Notebook das ich, auch unter Windows, an meine Bedürfnisse anpasse ohne das irgendwelche Fremdsoftware an meiner Konfiguration fummelt.

    Georg
     
  12. #10 SpaceCowboy1973, 19.10.2009
    SpaceCowboy1973

    SpaceCowboy1973 Ultimate Member

    Dabei seit:
    24.04.2005
    Beiträge:
    3.182
    Zustimmungen:
    0
    Interessante Sache. Hier gibt es einen Überblick über verseuchte* ähh kompatible Notebooks

    Absolute Software - BIOS Kompatibilitt

    *=Sofern die Option im BIOS wirklich nicht deaktivierbar ist.
     
Thema: Spionage-Notebooks von Dell
Besucher kamen mit folgenden Suchen
  1. computrace entfernen

    ,
  2. lowjack latitude forum

    ,
  3. dell computrace deaktivieren

    ,
  4. cumputrace dell notebook,
  5. computrace dell deaktivieren,
  6. dell vostro computrace,
  7. dell computrace,
  8. absolut software von dell latitude entfernen,
  9. computrace deaktivieren,
  10. lojack erfahrung,
  11. dell diebstahl
Die Seite wird geladen...

Spionage-Notebooks von Dell - Ähnliche Themen

  1. Dell Vostro 1510 Bildschirmbeleuchtung fällt aus

    Dell Vostro 1510 Bildschirmbeleuchtung fällt aus: Moin, es ist wieder so weit. Der Bildschirm des Displays schaltet die Beleuchtung aus. Im Sonnenschein sieht man den Desktophintergrund, somit...
  2. Dell Inspiron 1525 Laptop Akku Defekt ?

    Dell Inspiron 1525 Laptop Akku Defekt ?: hab schon nach einen halben Jahr probleme mit dem Akku gehabt... vll auch mein unwissen und überstürztes laden immer wieder... Hab nun letzten...
  3. DELL NB bis 2000€

    DELL NB bis 2000€: Hallo zusammen, ich kann mich nicht so recht entscheiden ob ich das DELL XPS 15 mit 512GB SSD nehme oder lieber doch ein Inspirion mit SATA HDD....
  4. Laptop Akku für Dell Latitude E5530

    Laptop Akku für Dell Latitude E5530: Hallo Community, der Akku in meinem Dell Latitude E5530 lädt nur bis 40%. Ab da wird dann nur "Netzbetrieb, Akku wird nicht geladen" angezeigt....
  5. Latitude Serie DELL E6230: welche WWAN/UMTS-Karte?

    DELL E6230: welche WWAN/UMTS-Karte?: Ich suche für ein DELL E6230 eine passende WWAN/Broadband/UMTS-Karte. Wer hätte nen Tipp, welche genau funktioniert und wo kriegt man die am...