Обновлено 16.10.2016

Список файлов устанавливаемых staffcop

Всем привет сегодня заметка про список файлов устанавливаемых staffcop больше для себя, дабы помнить все файлы и их названия. Напомню staffcom это программный комплекс для слежки за рабочим местом сотрудника, переписка так, скриншоты, браузер и все в этом духе. Может кому пригодится, в том чтобы наказать злостного админа и вообще понять, что у вас в системе стоит программа шпион, как говорится если осведомлен, значит защищен, да и кому понравится, что без его ведома, кто то просматривает и читает все, что есть у пользователя.

Программа staffcop и ее хвосты

После установки программы StaffCop на компьютер устанавливаются следующие файлы:

• CaptureFileMonitor.sys
• netmonz.sys
• FileMonitorInstallation.inf
• netsf_m.inf
• scnet.sys
• csrss_tc.exe
• hideagent.dll

Чаще всего программа staffcop, в корпоративных средах, таких как служба каталогов active directory, там без ведома пользователя, средствами массового распространения, через групповые политики программа staffcop, легко и без наказано попадает на рабочую станцию пользователя. После чего начинает шпионаж и передача данных в отдел системных администраторов или службу безопасности.

Как найти процесс StaffCop на компьютере

Тут я вам Америку не открою:

1. Во первых зайдите на диске C:\ в папки Program Files или Program Files (x86) и посмотрите нет, ли там каких либо папок с названием staffcop
2. Воспользоваться поиском нажав горячие клавиши компьютере windows CTR+F, у вас должна открыть форма поиска в каждой системе она выглядит по своему, но принцип у нее общий, например в Windows 8.1 она выглядит вот так, вбиваем там любое из названий указанных выше, например csrss_tc.exe
3. Это проверить висит ли у вас в операционной системе вот такие процессы sstray.exe (sstray64.exe) или LTVSrv.exe

Для нахождения процессов программы staffcop я бы вам посоветовал, две вещи, первая это стандартный диспетчер задач Windows, открыть его можно через правый клик по области пуск, это все что справа от кнопки пуск, либо нажав опять комбинацию клавиш CTRL+SHIFT+ESC

или мне больше по душе утилиты process explorer, она по мимо процессов, показывает еще и прослушиваемые порты, напоминаю искомые процессы sstray.exe и LTVSrv.exe

Все программа программа staffcop и ее агент найдены, теперь вы точно знаете, что ведется слежка и мониторинг того, что вы делаете. Что дальше? тут все просто:

• Смириться, если вам нечего скрывать и вам по барабану
• Если вы не давали на это согласие и не подписывали такое в трудовом договоре, то смело идете и жалуетесь

Как удалить staffcop с компьютера

Программа staffcop удаляется несколькими способами:

• Через программы и компоненты Windows, при условии что там она отображается, актуально для старых версий, современные агенты staffcop, там не отображаются
• В ручную удалить процесс csrss_tc.exe
• Либо удаление staffcop, может так же быть выполнено средствами управляющего сервера и групповых политик
• Так же существует и некий программный продукт covert антишпион, он тоже поможет с таким пожеланием.

Выбираем Службы системы.

В правом углу есть область База угроз, в ней находим sstray.exe (sstray64.exe) и LTVSrv.exe, щелкаем по ним правым кликом и говорим удалить, это по сути и есть удаление staffcop.

Следующим пунктом мы посетим Драйверный монитор. Тут ищем драйвер с именем CaptureFileMonitor.sys (CaptureFileMonitor64.sys) или ProcObsrv.sys.

Через правый клик так же удаляем их.

Как только вы все выполнили, то перезагружаем вашу систему и проверяем, что программа staffcop, полностью удалена с вашего компьютера.

Отключаем staffcop без удаления

Если же работодатель наезжает, что эта программа нужна и вам не хочется ругаться, можно помучить администраторов тем, что вы просто отключите службу sstray.exe (sstray64.exe), через оснастку Панель управления > Администрирование > Службы. Или все в той же утилите covert.

Материал сайта pyatilistnik.org