Remover serviço indesejado AsusUpdateCheck instalado na surdina em placas ASUS

[Marcos FRM]

Placas-mãe da ASUS implementam este troço aqui, igual à Gigabyte:

 

 

Mesmo que você não instale nenhum software da ASUS, o serviço AsusUpdateCheck sempre está lá, sendo iniciado. Depois de removê-lo, na próxima inicialização, estará de volta. Os logs que despeja em C:\ProgramData\ASUS (numa subpasta SCD se não me engano) registram:

 

2024-06-14 16:37:15  Process id = 4416
RegisterServiceCtrlHandlerEx
2024-06-14 16:37:15  [ServiceControl][onManagerThread] enter main thread 20190328
2024-06-14 16:37:16  WPBT value = 11
2024-06-14 16:37:16  RegQueryValueEx error 
2024-06-14 16:37:16  [ServiceControl][onManagerThread] isWpbtAllow = 1, wmi = 0.
2024-06-14 16:37:16  project check 3
2024-06-14 16:37:16  grid version
2024-06-14 16:37:16  RegQueryValueEx error 
2024-06-14 16:37:16  [ServiceControl][onManagerThread] uiState = 0.
2024-06-14 16:37:16  [ServiceControl][onManagerThread system32Folder = "C:\WINDOWS\system32".
2024-06-14 16:37:16  Start armoury manager
2024-06-14 16:37:16  dwUiResult=21847
2024-06-14 16:37:16  Wait client enter
2024-06-14 16:37:16  RegQueryValueEx error 
2024-06-14 16:37:16  [ServiceControl][onManagerThread] downloadSetupState = 0.
2024-06-14 16:37:16  dwUiResult=21847
2024-06-14 16:37:16  User cancelled installation and armoury crate is not installed, stopping service ...
2024-06-14 16:37:16  normal close socket
2024-06-14 16:37:16  Stop socket
2024-06-14 16:37:16  [ServiceControl][OnStop] force kill AsusDownloadAgent.exe

 

Depois o serviço para por conta própria.

 

C:\>sc qc AsusUpdateCheck
[SC] QueryServiceConfig ÊXITO

NOME_DO_SERVIÇO: AsusUpdateCheck
    TIPO                       : 10  WIN32_OWN_PROCESS
    TIPO_DE_INÍCIO             : 2   AUTO_START
    CONTROLE_DE_ERRO           : 1   NORMAL
    NOME_DO_CAMINHO_BINÁRIO    : C:\WINDOWS\System32\AsusUpdateCheck.exe
    GRUPO_DE_ORDEM_DE_CARREG.  :
    MARCA                      : 0
    NOME_PARA_EXIBIÇÃO         : AsusUpdateCheck
    DEPENDÊNCIAS               :
       NOME_DO_INÍCIO_DO_SERVIÇO  : LocalSystem

 

C:\>dir C:\Windows\System32\ASUS*.*
 O volume na unidade C não tem nome.
 O Número de Série do Volume é XXXX-XXXX

 Pasta de C:\Windows\System32

20/11/2023  21:13           338.040 AsusDownLoadLicense.exe
14/06/2024  16:37           845.256 AsusUpdateCheck.exe
               2 arquivo(s)      1.183.296 bytes
               0 pasta(s)   852.179.480.576 bytes disponíveis

 

Antes de tudo, tem que ir no BIOS e desativar isto aqui:

 

 

Tool -> ASUS Armoury Crate -> Download & Install ARMOURY CRATE app (Disabled)

 

Quem não usa nenhum software da marca, pode então remover a tranqueira rodando no Prompt de comando como Administrador:

 

sc stop AsusUpdateCheck
sc delete AsusUpdateCheck
del C:\Windows\System32\AsusUpdateCheck.exe
del C:\Windows\System32\AsusDownLoadLicense.exe
rmdir /s /q C:\ProgramData\ASUS

 

AsusDownLoadLicense.exe suponho que faça parte do nonsense. Foi embora junto.

 

Aplica-se também ao Windows 10.

[Adamastor Abrolio Silve]

@Marcos FRM  Boa noite!

 

Tenho por aqui uma máquina  com placa-mãe ASUS para intel bem recentes. Fiquei de cara com a situação: como podia eu mal ligar o pc a internet, após formatar, e aparecia tipo  um aviso  ou perguntando se eu queria usar algo da ASUS (não lembro exatamente o que ou recurso sei lá...). Por falta de tempo deixei pra lá... Mas como precisei fazer alguns testes, formatei a máquina algumas vezes, e após todas essas formatações, aparecia o maldito aviso.

Fiquei de cara como e  porque isso aparecia, sendo que eu não  instalei nada  da ASUS!

Como pode uma placa-mãe instalar algo no sistema operacional?

 

Isso é o que sabemos e conseguimos ver? E o que não sabemos e que não conseguimos ver?

 

Isso é ou  poderia ser um  backdor?

 

Agora, imagina isso sendo sendo usado maliciosamente por qualquer um?

 

Qual a explicação de como a ASUS faz isso? OU como os fabricantes de placa-mãe fazem isso? Se ela faz, qualquer um poderia interceptar a placa-mãe antes de chegar na casa do cliente, e fazer essa modificação na placa-mãe para injetar um código malicioso no sistema?

 

Edit: o estado de vigilância da gente tem que ser eterno! Não temos um minutos ou segundo de paz nesse mundo moderno da conexões permanentes!

[Marcos FRM]

Eu vi alguns relatos desse aviso em instalações limpas. Possivelmente usa exatamente o mesmo mecanismo que menciono aqui. Quando fiz instalação limpa do 10 (depois atualizado para o 11) nesta minha ASUS, não recebi a "oferta" para instalar nada, porém o serviço foi criado (ressuscitando caso removido). Vai ver, em placas/BIOS mais novos, o executável embutido no BIOS que o Windows roda na surdina mudou de comportamento para ser menos intrusivo.

 

6 minutos atrás, Adamastor Abrolio Silve disse:

Como pode uma placa-mãe instalar algo no sistema operacional?

 

É um "recurso" do Windows que dá aos fabricantes de placas-mãe tal poder. Olhe os outros tópicos que linkei.