seti.exe

zaterdag 8 november 2003 22:39

Just Chill

Topicstarter

Oke het zijn maar 2 bestanden die tevoorschijn komen als ik naar seti.exe zoek:

"SETI.EXE-0CA2D7AF.pf" staat in C:\WINDOWS\Prefetch 8-11-03 19:31

"seti" staat in C:\WINDOWS\system32 7-11-03 22:59

Die user_info.sah en .ini file kan ik dus niet vinden.

De progsels die ik het laatst van emule heb gehaald is ad-aware 6
en voor de rest niks.

Ik denk dat het dan via mIRC is binnen gekomen, want ik ben van
de week er achter gekomen hoe mIRC werkt

en hiermee heb
ik gister 1 game gedownload, en wat bijbehorende tuinschepjes.
Misschien dat iemand via mIRC het op mijn PC tje gegooid heeft?

Ik heb ongeveer een jaar geleden eens contact gehad met paar leden van
crazycows via mIRC en vroegen of ik een software wilde installeeren, om mee
te doen met het hacken van een bedrijf of zo. Ik dus dat ding installeeren,
maar heb het na 2 dagen weer geuninstalleerd omdat ik me daar toch niet
mee bezig houd. Misschien is die seti.exe een restand van die client of zo?

http://www.crazycows.nl

Ik laat die 2 seti files nog wel even staan tot vanavond, voor als iemand het wil
bekijken of zo.

Acties:

zaterdag 8 november 2003 22:49

Online marketing

het kraken hacken van een bedrijf klinkt als een armoedige omschrijving van het decoderen van een (destijds) 64-bits encryptie sleutel voor een door de makers uitgeschreven prijsvraag (RC5-64) wat destijds een van de projecten van DPC was, crazy cows is een van onze subteams. toch zal daar de link niet liggen aangezien seti een compleet ander project is en het geen overblijfsel zou kunnen zijn..

welke versie van windows gebruik je?

edit: staat er toevallig ook geen seti.ini (kan ook een gerename'de dnetc client zijn..) ?

[ Voor 17% gewijzigd door Sequence op 08-11-2003 22:42 ]

Acties:

Pim.

Aut viam inveniam, aut faciam

mail anders het exe bestand en ini eens door, dan kunnen we daar naar kijken

"The trouble with quotes from the Internet is that you can never know if they are genuine." - Elvis Presley | Niet met me eens ? DM ME

zaterdag 8 november 2003 23:15

Acties:

zaterdag 8 november 2003 23:22

Just Chill

Topicstarter

Oke ik heb het bestand naar jullie gemaild.

Volgens mij start seti.exe op zodra ik packetnewscom gebruik
in combinatie met mIRC.

Net springt mijn cooler weer aan, staat weer die seti.exe daar te draaien,
ik heb hem nu verwijderd.

[ Voor 38% gewijzigd door WietBoer op 08-11-2003 23:16 ]

Acties:

zaterdag 8 november 2003 23:44

Online marketing

het is idd de seti-client, als dat ding begint zal ie toch echt een user_info.sah nodig hebben want anders vraagt ie om een nieuwe ID.. dus staat ie ook niet ergens hidden ofzo?

Acties:

zaterdag 8 november 2003 23:45

Just Chill

Topicstarter

Zoeken in verborgen mappen/bestanden staat altijd aan bij mij,
en echt, ik vond alleen deze 2 bestanden. 2x gezocht op "semi"
en op "semi.exe".

Ik gerbruik trouwens WinXP IE6 (sp1 enz.) en Mozilla FireBird 0.7

En ben je al wat wijzer geworden uit het seti.exe bestandje?

Het lijkt erop dat ik er vanaf ben nu ik het verwijderd heb,
want ik heb nog eens dat trukje met mIRC in combi met
packetnews uitgevoerd, en ik zie het seti.exe bestandje niet
meer verschijnen.

[ Voor 30% gewijzigd door WietBoer op 08-11-2003 23:49 ]

Acties:

zaterdag 8 november 2003 23:49

Universe Radio!

./Proxy schreef op 08 november 2003 @ 22:49:
mail anders het exe bestand en ini eens door, dan kunnen we daar naar kijken

Is al gedaan...

Acties:

zaterdag 8 november 2003 23:52

Universe Radio!

WietBoer schreef op 08 november 2003 @ 23:44:
Zoeken in verborgen mappen/bestanden staat altijd aan bij mij,
en echt, ik vond alleen deze 2 bestanden. 2x gezocht op "semi"
en op "semi.exe".

Ik gerbruik trouwens WinXP IE6 (sp1 enz.) en Mozilla FireBird 0.7

En ben je al wat wijzer geworden uit het seti.exe bestandje?

Het lijkt erop dat ik er vanaf ben nu ik het verwijderd heb,
want ik heb nog eens dat trukje met mIRC in combi met
packetnews uitgevoerd, en ik zie het seti.exe bestandje niet
meer verschijnen.

Zoek eens naar bestanden met de .sah extensie als je wilt.

Acties:

zondag 9 november 2003 00:15

Online marketing

het setibestand is de normale client zoals wij deze hier ook kennen, dat ding draait zoals ie hoort te draaien maar de vraag is natuurlijk hoe ie op jou computer terecht is gekomen.

kijk eens wat er in je startup group staat of bij HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (in regedit) of daar wat staat wat seti doet opstarten

Acties:

zondag 9 november 2003 00:17

Just Chill

Topicstarter

In "msconfig" bij opstarten zie ik "resphane" resphane.exe seti.exe

De zoek resultaat op .sah

key.sah
lock.sah
outfile.sah
pid.sah
result header.sah
state.sah
temp.sah
user info.sah
version.sah
work unit.sah

En zoeken op "resphane"

RESPHANE.EXE-34189F4A.pf

resphane.exe (Remote Acces Phonebook)

Ik mail wel een zipfiletje met deze 2 resphane bestandjes.

[ Voor 7% gewijzigd door WietBoer op 09-11-2003 00:20 ]

Acties:

zondag 9 november 2003 00:24

Universe Radio!

WietBoer schreef op 09 november 2003 @ 00:15:
In "msconfig" bij opstarten zie ik "resphane" resphane.exe seti.exe

De zoek resultaat op .sah

key.sah
lock.sah
outfile.sah
pid.sah
result header.sah
state.sah
temp.sah
user info.sah
version.sah
work unit.sah

En zoeken op "resphane"

RESPHANE.EXE-34189F4A.pf

resphane (Remote Acces Phonebook)

Ik mail wel een zipfiletje met deze 2 resphane bestandjes

Zip vooral ook even die .sah files... daar kunnen we zeker uit halen wat we willen weten

Acties:

zondag 9 november 2003 00:25

Just Chill

Topicstarter

Oke wacht, hier komen die .sah files aan.

En kan ik die .sah en die resphane ook verwijderen?

Acties:

zondag 9 november 2003 00:37

Universe Radio!

WietBoer schreef op 09 november 2003 @ 00:24:
Oke wacht, hier komen die .sah files aan.

En kan ik die .sah en die resphane ook verwijderen?

ja die kun je allemaal weggooien..

Ok, user is achterhaald.. we proberen er actie tegen te ondernemen.
Het is (gelukkig) geen DPC gebruiker.

[ Voor 19% gewijzigd door RedVox op 09-11-2003 00:36 ]

Acties:

BwO

Up The Irons!

Ik ben benieuwd welke kwade geest dit heeft gedaan (en vooral van welk team die persoon afkomstig is). Het is goed als "cheaters" worden gepakt.

<<Team BSD>> #22 OGR-24 - #12 OGR-25

zondag 9 november 2003 00:41

Acties:

zondag 9 november 2003 00:43

Universe Radio!

BwO schreef op 09 november 2003 @ 00:37:
Ik ben benieuwd welke kwade geest dit heeft gedaan (en vooral van welk team die persoon afkomstig is). Het is goed als "cheaters" worden gepakt.

Hij of zij is op dit moment geen lid van een team...
Het mail adress stuur ik Wietboer wel even.

[ Voor 4% gewijzigd door RedVox op 09-11-2003 00:43 ]

Acties:

zondag 9 november 2003 00:49

Anti Android

Ten eerste; voor zover ik weet kan mIRC via DCC alleen bestanden downloaden, niet automatisch uitvoeren.

Het lijkt mij dat je die SETI client op de een of andere manier zelf geinstalleerd hebt

Kan me herrineren dat er een tijdje geleden ook ophef was over een programma dat RC5 installeerde. Alleen daar stond wel een waarschuwing bij voor het installeren ("Contains an RC5 Client!"). Als zoiets erbij staat is het imo geen cheaten

Wat ik hiermee dus wil zeggen; jullie gaan wel mooi actie ondernemen, maar het is nog niet eens bekend hoe die client erop gekomen is.

PV 4915wp op oost, 2680 wp op west, 1900 wp op zuid. pvoutput - AUX 8 kW bi bloc

Acties:

zondag 9 november 2003 00:53

Universe Radio!

dual-zip schreef op 09 november 2003 @ 00:43:
Ten eerste; voor zover ik weet kan mIRC via DCC alleen bestanden downloaden, niet automatisch uitvoeren.

Het lijkt mij dat je die SETI client op de een of andere manier zelf geinstalleerd hebt

Kan me herrineren dat er een tijdje geleden ook ophef was over een programma dat RC5 installeerde. Alleen daar stond wel een waarschuwing bij voor het installeren ("Contains an RC5 Client!"). Als zoiets erbij staat is het imo geen cheaten

Wat ik hiermee dus wil zeggen; jullie gaan wel mooi actie ondernemen, maar het is nog niet eens bekend hoe die client erop gekomen is.

Als iemand in 24 uur 1145 wu's doet, en dan blijkt er bij iemand een "start" script te zijn wat seti op de achtergrond laat starten dan lijkt dit op zijn minst verdacht vind ik.

Acties:

zondag 9 november 2003 00:55

Anti Android

Maar hoe komt dat start script daar dan

verdacht zijn is geen reden tot onmiddelijke veroordeling

[ Voor 52% gewijzigd door Glashelder op 09-11-2003 00:54 ]

PV 4915wp op oost, 2680 wp op west, 1900 wp op zuid. pvoutput - AUX 8 kW bi bloc

Acties:

zondag 9 november 2003 01:00

Universe Radio!

dual-zip schreef op 09 november 2003 @ 00:53:
Maar hoe komt dat start script daar dan

Dus als ik iets van jouw krijg via dcc, en ik installeer dat, dan geeft dat jouw het recht om andere dingen 'mee" te installeren ??

verdacht zijn is geen reden tot onmiddelijke veroordeling

Ik veroordeel niemand. Maar het mail-adres blijkt ook nog eens niet te werken.
Dus denk dat er gegronde reden is om dit te laten uitzoeken.

[ Voor 19% gewijzigd door RedVox op 09-11-2003 01:00 ]

Acties:

zondag 9 november 2003 01:03

Anti Android

Uitzoeken kan natuurlijk altijd. Ik plaatste mijn kritiek alleen maar om aan het licht te stellen dat het heel goed mogelijk is dat Wietboer de client op een of andere manier zelf heeft geinstalleerd, wellicht door een ander programma. Als dit programma Wietboer op de hoogte heeft gesteld van het feit dat dit script (en de SETI-client) erin zaten, of athans de kans heeft geboden om daar kennis van te vernemen (misschien te snel op next geklikt?

), dan lijken maatregelen, zoals hierboven genoemd (blocken van email wellicht?) me niet gepast.

my 2 cents enzo

Dus als ik iets van jouw krijg via dcc, en ik installeer dat, dan geeft dat jouw het recht om andere dingen 'mee" te installeren ??

Als er bijvoorbeeld tijdens het installeren wordt gezegt dat er een SETI-client wordt geinstalleerd (wellicht voorwaarde voor het gebruik van het programma ofzo), dan wel ja

[ Voor 22% gewijzigd door Glashelder op 09-11-2003 01:01 ]

PV 4915wp op oost, 2680 wp op west, 1900 wp op zuid. pvoutput - AUX 8 kW bi bloc

Acties:

Verwijderd

dual-zip schreef op 09 november 2003 @ 00:43:
...Als zoiets erbij staat is het imo geen cheaten...

Wil ik toch even inhaken

Wat het iyo is, maakt niet uit, het ging erom wat het idnetso was.
Het is niet aan ons te bepalen wat wel of niet mag, maar aan de projectorganisatie.

zondag 9 november 2003 01:04

Acties:

zondag 9 november 2003 01:04

Just Chill

Topicstarter

Oke ik heb het zooitje er af gehaald en gereboot,
en er staat niks meer bij msconfig

Ik zie dat jullie al druk aan het speculeren zijn

Acties:

zondag 9 november 2003 01:05

Universe Radio!

dual-zip schreef op 09 november 2003 @ 01:00:
[...]

Als er bijvoorbeeld tijdens het installeren wordt gezegt dat er een SETI-client wordt geinstalleerd (wellicht voorwaarde voor het gebruik van het programma ofzo), dan wel ja

Al betwijfel ik of SETI@home hier mee accoord zou gaan,.... dan zou ik hier iets in kunnen vinden... maar gezien de files die er bij Wietboer op de pc stonden kun je er voor 95% vanuit gaan dat dit niet het geval is.

We horen het verder wel.. het "onderzoek" loopt

Acties:

zondag 9 november 2003 01:11

Anti Android

Verwijderd schreef op 09 november 2003 @ 01:03:
[...]

Wil ik toch even inhaken

Wat het iyo is, maakt niet uit, het ging erom wat het idnetso was.
Het is niet aan ons te bepalen wat wel of niet mag, maar aan de projectorganisatie.

Mja dat is afwachten. Kan hier alleen maar een reactie over plaatsen hoe ik erover denk

Floppus: Zou je die afkortingen effe willen verklaren? Athans die laatste, die eerste zal wel typfout zijn

Vraag me ook af; wat voor bestanden stonden er dan precies, en hoe kun je hieruit opmaken dat er van mijn scenario geen sprake is?

[ Voor 26% gewijzigd door Glashelder op 09-11-2003 01:07 ]

PV 4915wp op oost, 2680 wp op west, 1900 wp op zuid. pvoutput - AUX 8 kW bi bloc

Acties:

zondag 9 november 2003 01:13

Universe Radio!

dual-zip schreef op 09 november 2003 @ 01:05:
[...]

Mja dat is afwachten. Kan hier alleen maar een reactie over plaatsen hoe ik erover

Dat is je goed recht.

me ook af; wat voor bestanden stonden er dan precies, en hoe kun je hieruit opmaken dat er van mijn scenario geen sprake is?

Het is niet mijn intensie om dat hier uit te gaan werken. Mischien krijgen andere nog wel ideeën dan.

"Jullie" zullen in deze de crew moeten vertrouwen

[ Voor 3% gewijzigd door RedVox op 09-11-2003 01:12 ]

Acties:

zondag 9 november 2003 01:13

Anti Android

"Jullie" zullen in deze de crew moeten vertrouwen

met andere woorden, doe/deden ik/we toch al

Floppus: zie ik eruit als een die-hard DPC'er?

Sta wel #1 bij _p&P maarja, zit nou niet echt vaak in /5, post er ook niet echt vaak. Die eerste tweede (iyo) afkorting ben ik nog nooit tegengekomen op dit forum. Die 3e lijkt me typisch iets voor /5

[ Voor 103% gewijzigd door Glashelder op 09-11-2003 01:16 ]

PV 4915wp op oost, 2680 wp op west, 1900 wp op zuid. pvoutput - AUX 8 kW bi bloc

Acties:

Verwijderd

dual-zip schreef op 09 november 2003 @ 01:05:
[...]

Mja dat is afwachten. Kan hier alleen maar een reactie over plaatsen hoe ik erover denk

Floppus: Zou je die afkortingen effe willen verklaren? Athans die laatste, die eerste zal wel typfout zijn

Vraag me ook af; wat voor bestanden stonden er dan precies, en hoe kun je hieruit opmaken dat er van mijn scenario geen sprake is?

dus imo ken je wel, en iyo en idnetso niet

wat dacht je van "in your opinion" en "in dnet's opinion"... Ik dacht mooi in te haken op je eigen afkorting

zondag 9 november 2003 01:58

Acties:

zondag 9 november 2003 02:00

Just Chill

Topicstarter

Ik heb net een fsx file van winrar gevonden:

"abcde.exe" gewoon op C:\

staat daar sind 8-11-2003 19:30, ik zweer je dat die daar
vanmidag nog niet stond.

Ik heb met winrar gekeken wat er in stond, en ja hoor al die
files die ik naar jullie gemaild had en meer!

Ik mail jullie die sfx file wel even.

Acties:

zondag 9 november 2003 02:18

Anti Android

Die moet er toch op een of andere manier gekomen zijn....en die moet uitgevoerd zijn, dat gaat niet vanzelf

(uitzonderingen daargelaten, maar ik neem aan dat de verantwoordelijke geen PC's gaat hacken voor SETI

)

PV 4915wp op oost, 2680 wp op west, 1900 wp op zuid. pvoutput - AUX 8 kW bi bloc

Acties:

zondag 9 november 2003 02:20

Just Chill

Topicstarter

Er zat ook een reg.bat bestand bij, kan ik die ook verwijderen?

En dan ben ik zeker gehacked, want ik heb zeker geen abcde.exe
gedownload en heb hem ook zeker niet uitgevoerd, sterker nog
ik heb alleen mIRC en battlefield 1942 the road to rome geinstalleerd
de afgelopen week.

Acties:

zondag 9 november 2003 02:25

Anti Android

Dat .bat bestand heeft dan waarschijnlijk SETI geinstallerd of iig geactiveerd. Ik denk dat je dat BAT bestand wel weg kan gooien

Firewall ?

PV 4915wp op oost, 2680 wp op west, 1900 wp op zuid. pvoutput - AUX 8 kW bi bloc

Acties:

zondag 9 november 2003 02:26

Just Chill

Topicstarter

Maar ik kan die .bat wel veilig verwijderen?

Windows XP standard firewall.

Acties:

zondag 9 november 2003 02:31

Anti Android

Ik ben eigenlijk benieuwd naar de inhoud. Kan je die is sturen/posten als er geen vertrouwelijke gegevens ofzo in staan?

PV 4915wp op oost, 2680 wp op west, 1900 wp op zuid. pvoutput - AUX 8 kW bi bloc

Acties:

zondag 9 november 2003 02:36

Just Chill

Topicstarter

Ik heb net het laatste restje verwijderd.

Acties:

swampy

Coconut + Swallow = ?

WietBoer schreef op 09 november 2003 @ 01:04:
Oke ik heb het zooitje er af gehaald en gereboot,
en er staat niks meer bij msconfig

Ik zie dat jullie al druk aan het speculeren zijn

Nou ja, begrijp het goed...cheaters vervuilen het goede doel van projecten waar DPC mee aandoet. Als er niets ondernomen wordt tegen cheaters, dan stijgt het ratio cheaters/non-cheaters op zo'n manier dat mailboxen volraken met klachten over "wat doet dit programma hier" en dan kan het wel eens zo worden dat het project GESLOTEN moet worden.

Lijkt me geen goed nieuws.....

There is no place like ::1

zondag 9 november 2003 02:38

Acties:

swampy

Coconut + Swallow = ?

WietBoer schreef op 09 november 2003 @ 02:25:
Maar ik kan die .bat wel veilig verwijderen?

Windows XP standard firewall.

Windows XP standaard Firewall? Dan kun je net zo goed geen firewall nemen, installeer eens iets zoals Zone-Alarm, merk je het gelijk als een programma op de achtergrond toegang tot internet zoekt :-)

There is no place like ::1

zondag 9 november 2003 02:49

Acties:

zondag 9 november 2003 03:01

Just Chill

Topicstarter

Ik dacht dat winxp firewall wel goed was.
Online poort scans zeiden dat alles dicht zat.

Dan moet ik toch maar eens zone alarm halen.

Of is Black Ice Defender v3.6 beter?

[ Voor 12% gewijzigd door WietBoer op 09-11-2003 02:55 ]

Acties:

zondag 9 november 2003 10:06

Online marketing

verschil tussen zonealarm en blackice is qua functie nix of nauwelijks te merken, persoonlijk vind ik zonealarm fijner, maar da's persoonlijk

test zelf ff welke je fijner vind

en om ff terug te komen over het al dan niet oke zijn van het meeinstalleren van DC-clients: of er tijdens de installatie nou wel of geen melding van wordt gemaakt, een popup met 'Seti will be installed - Yes/No' is nog steeds onvoldoende zonder bijbehorende uitleg. dus dat komt sowieso onder de categorie cheaten te vallen.

Acties:

zondag 9 november 2003 13:10

Universe Radio!

swampy schreef op 09 november 2003 @ 02:38:
[...]

Windows XP standaard Firewall? Dan kun je net zo goed geen firewall nemen, installeer eens iets zoals Zone-Alarm, merk je het gelijk als een programma op de achtergrond toegang tot internet zoekt :-)

Voor aanvallen van buiten naar binnen is de Xp firewall heel goed.
Alleen van binnen naar buiten (trojan detectie bijv) daar doet ie helemaal niets aan. Maar als iedereen met Xp die "slechte" firewall zou aanzetten hadden we al een hoop ellende minder.

Wietboer, kijk eens op www.grc.com Staat een stukje op over testen met firewall.
Dat zou ik zeker eerst lezen voor je iets installed/koopt.

[ Voor 13% gewijzigd door RedVox op 09-11-2003 10:08 ]

Acties:

alt-92

ye olde farte

Wat mij ten zeerste verbaast dat er volledig voorbij wordt gegaan aan het punt dat meneer Wietboer's PC niet meer te vertrouwen is.

zal wel met een mate van beroeps (

) blindheid te maken hebben als het om seti / dnetc client progsels gaat..

En onder meer hierom:

Ik heb ongeveer een jaar geleden eens contact gehad met paar leden van
crazycows via mIRC en vroegen of ik een software wilde installeeren, om mee
te doen met het hacken van een bedrijf of zo. Ik dus dat ding installeeren,
maar heb het na 2 dagen weer geuninstalleerd omdat ik me daar toch niet
mee bezig houd.

Off-line halen dat ding en op andere trojans / rootkits /DDoSkits inspecteren, zou me niet verbazen als er nog meer ellende op staat die je pas in je goedwillendheid/onwetendheid binnengehaald hebt.

[ Voor 9% gewijzigd door alt-92 op 09-11-2003 13:12 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zondag 9 november 2003 13:32

Acties:

Pim.

Aut viam inveniam, aut faciam

Wietboer, je hebt dus waarschijnlijk zelf het proggie binnen gehaald en geinstalleerd, daar doet geen firewall iets aan. Ik denk dat je in de toekomst beter moet opletten wat je installeerd. Op dezelfde manier worden virii verzonden en geinstalleerd.

Imo (is ie weer

) is de enige toegestane manier om dit soort clients te installeren als er een duidelijke uitleg is wat de client doet, van welk team hij is en de mogelijkheid om de client te weigeren.
Als je het dan helemaal eerlijk wilt doen moet je de client ook visible installeren en niet verstopt..

my 2 cts

"The trouble with quotes from the Internet is that you can never know if they are genuine." - Elvis Presley | Niet met me eens ? DM ME

zondag 9 november 2003 14:37

Acties:

zondag 9 november 2003 15:03

Just Chill

Topicstarter

Kom ik net beneden, hoor ik weer mijn cooler aan staan. En ja hoor seti.exe@95%
en weer die abcde.exe op C:\
Ik had gister alles er af gehaald. Maar ik zal nu eens Zone alarm er op zetten.

Ik heb Norton Anti Virus 2004, Ad-aware 6, ik scan altijd alles wat ik gedownload heb.

p.s. als jullie meer files weten die ik moet zoeken en verwijderen hoor ik dat graag.

Acties:

JustMe

#1 R@H

De eigenaar van de pc moet toestemming geven, als je het zelf niet weet kan je ook moeilijk bewust toestemming hebben gegeven en is het imo een illegale client. Ook al is het misschien door de users eigen laksheid erop gekomen...

Cureseekers | There's something wrong with this yogurt

zondag 9 november 2003 15:41

Acties: