[RC5-72] *speculatief* waarom de polen zo hard gaan - Dutch Power Cows

woensdag 13 oktober 2004 12:55

Acties:

0 Henk 'm!

Topicstarter

Even kort door de bocht: ik werk in een computerwinkel, doe al mee met rc5 sinds halverwege rc5-64.
Vandaag werkte ik aan een pc van een klant die klaagde dat zijn pc traag was, naast de bekende malware, spyware en meer van die shit vond ik op het eind nog een proces genaamd iosdt.exe die constant 99% draaide.
Msconfig vertelde mij dat dat de distributed.net client was, enigszins nieuwsgierig ging ik even kijken waarom dat ding niet gewoon dnetc.exe heette. tot mijn grote verbazing vond ik in de directory een .ini bestand met een pools email adres. Na even bij de klant nagevraagd te hebben heeft hij geen idee wie die pool is, wat dnet is en wat in rc5 is.
Even wat research op dnet leerde mij dat deze vriendelijke jongen lid is van het team dat ons zo hard voorbij gaat.
En hier komt mijn speculatie: deze gasten doen wat iemand bij rc5-64 ook gedaan heeft, via virus/worm/malware/whatever de client verspreiden onder een andere naam, installeren en crunchen onder hun eigen naam. Ik wil onze concurrenten niet meteen zwartmaken bij dnet, dus eerst even hier maar een discussie. Wat moet ik hiermee?
Voor degenen die het zelf even willen checken, hier de inhoud van de ini file

code:

[parameters]
id=grazpat@poczta.onet.pl
[buffers]
checkpoint-filename=check.dat
frequent-threshold-checks=3
buffer-file-basename=in
output-file-basename=out
[misc]
project-priority=RC5-72,OGR=0
[triggers]
restart-on-config-file-change=yes
[display]
progress-indicator=auto-sense
detached=yes
[ogr]
fetch-workunit-threshold=0
[networking]
dialup-watcher=passive
interfaces-to-watch=*
firewall-type=http
keyserver=*:80
nettimeout=300
[rc5-72]
fetch-time-threshold=336

woensdag 13 oktober 2004 12:57

Acties:

0 Henk 'm!

Verwijderd

*** FLOPPUS ***

hier kan je wel iets mee denk ik, maar het is iets wat iedereen al weet denk ik

nu maar hopen dat hier door Dnet iets aan te doen zal zijn, maar ga nou niet allemaal gelijk dnet mailen maar laat dit over aan FLOPPUS onze zeer bekwame DNET PV-ert

woensdag 13 oktober 2004 13:00

Acties:

0 Henk 'm!

YakuzA

Wat denk je nou zelluf hey :X

volgens mij kwam ook gister 1 van onze members klagen over een iosdt.exe waar ook een in.r72 in de buurt was, heb helaas irclog niet

weet dus zonder navragen ook niet of er zo'n ini bij stond, zal us rondvragen

PS mensen alsjeblieft niet de hele thread volstampen met cheat geblaat

[ Voor 16% gewijzigd door YakuzA op 13-10-2004 13:02 ]

Death smiles at us all, all a man can do is smile back.
PSN

woensdag 13 oktober 2004 13:02

Acties:

0 Henk 'm!

Verwijderd

Kerel staat 16e wereldwijd, met 6,683,772 blokjes..

-edit-
Heel google staat er vol mee trouwens (iosdt.exe).

[ Voor 38% gewijzigd door Verwijderd op 13-10-2004 13:04 ]

woensdag 13 oktober 2004 13:04

Acties:

0 Henk 'm!

Verwijderd

Dit is de log.

* SIC66 has joined #*****
* bertjah sets mode: +o SIC66
<SIC66> hey, ik heb ff iemand nodig.. er is n service gestart, er staat dat t n dnet client is, maar dat is t niet denk ik..
<SIC66> iemand die me kan helpen?
<SIC66> iosdt.exe heet het, maar er stond wel een in.r72 bij (buffer in)
<SIC66>

woensdag 13 oktober 2004 13:08

Acties:

0 Henk 'm!

Witlof

Known Trojans @ D.net

[quote][Oct 2003] A trojan claiming to be a "Product Activation" tool is in circulation. It installs in system32\iosdt\. The id is nordom@o2.pl. It emails it's log files through smtp.o2.pl. You will see a process, iosdt.exe, using taskman.[/url]

Er staan er wel meer. Het verschil is trouwens ook wel raar tussen de nederlandse en engelse trojan-pagina

woensdag 13 oktober 2004 13:09

Acties:

0 Henk 'm!

Webgnome

heeft dnet niet een mail adres waar je dit soort bevindingen kan dumpen?

Strava | AP | IP | AW

woensdag 13 oktober 2004 13:10

Acties:

0 Henk 'm!

Verwijderd

Maar dit gaat weer om een ander e-mail adres dan die bij dnet bekend is, er zijn dus meerdere accounts waar het op draait.

Webgnome schreef op 13 oktober 2004 @ 13:09:
heeft dnet niet een mail adres waar je dit soort bevindingen kan dumpen?

Floppus (onze PV) leest dit vanzelf en zal dan ws. actie ondernemen

[ Voor 52% gewijzigd door Verwijderd op 13-10-2004 13:11 ]

woensdag 13 oktober 2004 13:11

Acties:

0 Henk 'm!

ParaNoiMia

.

[ Voor 98% gewijzigd door ParaNoiMia op 13-10-2004 13:12 . Reden: laat maar, spuit 11 :P ]

woensdag 13 oktober 2004 13:12

Acties:

0 Henk 'm!

Verwijderd

ParaNoiMia schreef op 13 oktober 2004 @ 13:11:
http://www.distributed.net/trojans.php

Daar is het sinds oktober 2003 al bekend ?

Die kerel met het emailadres op d.net zit ook niet meer in de database

woensdag 13 oktober 2004 13:14

Acties:

0 Henk 'm!

Sequence

Online marketing

die Spec gast is toch 1 van de 'subteams' van de polen die op dit moment buiten het team om grazen?

woensdag 13 oktober 2004 13:15

Acties:

0 Henk 'm!

Mist

Een gevaar op de weg

Hmm dit is dus een van de twee die tijdelijk uit het team is gestapt om ons in een klap in te halen.

edit heheh ja dus ^^

[ Voor 11% gewijzigd door Mist op 13-10-2004 13:16 ]

[DPC] help conquer cancer @ WCG

woensdag 13 oktober 2004 13:17

Acties:

0 Henk 'm!

MaVl

Topicstarter

Ok, ik ga dus helemaal geen actie ondernemen en wacht rustig af wat floppus gaat doen.

woensdag 13 oktober 2004 13:21

Acties:

0 Henk 'm!

YakuzA

Wat denk je nou zelluf hey :X

Some trojan horses and worms have been discovered to deploy our client, in contradiction to our stated policies. Please report other instances of abuse to abuse@distributed.net.

je kan dus ook iig nog even mailen naar abuse@distrubuted.net

Death smiles at us all, all a man can do is smile back.
PSN

woensdag 13 oktober 2004 13:37

Acties:

0 Henk 'm!

Verwijderd

Of gewoonweg dus wachten op onze PV-er FLoppus en anders op de reserve PV-er Pim.

Dus niets mailen! DPC heeft niet voor niets die PV-er!

woensdag 13 oktober 2004 13:42

Acties:

0 Henk 'm!

Webgnome

_lama_

[ Voor 96% gewijzigd door Webgnome op 13-10-2004 13:42 ]

Strava | AP | IP | AW

woensdag 13 oktober 2004 13:58

Acties:

0 Henk 'm!

Verwijderd

het is toch te ziek voor woorden als dit waar is. Ik hoop dat floppus snel stappen onder neemt en dat dit voor eens en altijd wordt uitgebannen.
Het lijkt langzamerhand bij die polen wel op te lijken

woensdag 13 oktober 2004 14:05

Acties:

0 Henk 'm!

Webgnome

soap?

Strava | AP | IP | AW

woensdag 13 oktober 2004 15:01

Acties:

0 Henk 'm!

MarcyDarcy

Netjes van je MaVl om dit topic zo te openen en eerst wat helderheid te verkrijgen. Prima gehandeld

Op GoT zijn volgens de search reeds eerder mensen geweest met hetzelfde probleem: klik.

12 oktober 2003:

De exe file zat bij mij in een fake keygen voor windows 2003. OK, moet je maar niet met keygens spelen
...
Het smerige is dat het een exe is met een winrar icon. Je denkt dan self extracting winrar. Dus even scannen, en Open doen. Et voila!

Zoeken op google op isodt.exe en isodt levert aardig wat results op

---------
Voor de Poolse taalexperts onder ons (ik snap er de ballos van

):
- topic over iets met een virus
- topic over iets met een trojan

[ Voor 16% gewijzigd door MarcyDarcy op 13-10-2004 15:28 ]

woensdag 13 oktober 2004 15:19

Acties:

0 Henk 'm!

Verwijderd

Floppus zit momenteel in de VS voor z'n werk. Hij zal vast gauw hier een reactie op geven.

woensdag 13 oktober 2004 17:00

Acties:

0 Henk 'm!

Pim.

Aut viam inveniam, aut faciam

Floppus heeft me gevraagd de D.net vragen af te handelen zolang hij weg is. Natuurlijk is hier D.net access voor nodig maar het topic gaat in de bookmarks.

Ik wil iedereen die last heeft van deze client verzoeken het .ini bestand naar crew@dutchpowercows.org te sturen met een kleine uitleg erbij waar de client is aangetroffen. Het resultaat zal mischien een week of twee op zich laten wachten maar het komt zeker.

Verder mijn complimenten aan iedereen voor de beheerste manier van reageren

"The trouble with quotes from the Internet is that you can never know if they are genuine." - Elvis Presley | Niet met me eens ? DM ME

woensdag 13 oktober 2004 18:13

Acties:

0 Henk 'm!

Verwijderd

Hmmm mccafee heeft bij mij ook zo,n dnet client verwijderd

woensdag 13 oktober 2004 18:17

Acties:

0 Henk 'm!

Verwijderd

Jah en ik laatst bij mijn vriendin.

Daarna natuurlijk weer gewoon geinstaleerd als een echte client

woensdag 13 oktober 2004 18:39

Acties:

0 Henk 'm!

Pim.

Aut viam inveniam, aut faciam

Verzamelen mensen!, zonder hard bewijs tegen *wiedanook* kunnen we niets doen

"The trouble with quotes from the Internet is that you can never know if they are genuine." - Elvis Presley | Niet met me eens ? DM ME

woensdag 13 oktober 2004 18:40

Acties:

0 Henk 'm!

ParaNoiMia

Pim. schreef op 13 oktober 2004 @ 18:39:
Verzamelen mensen!, zonder hard bewijs tegen *wiedanook* kunnen we niets doen

Ik heb SIC66 een mailtje gestuurd en hem gevraagd of hij uit kan zoeken hoe die client daar komt, weet alleen niet wanneer hij dat gaat lezen, want hij schijnt niet veel meer thuis te zijn. Keep you posted

woensdag 13 oktober 2004 18:47

Acties:

0 Henk 'm!

UTM

Mja, mischien komt het dan toch aan het licht waarom de Polen zo hard gaan. Maar idd, zonder enig hard bewijs is het natuurlijk niet fair om de Polen van cheaten te betichten

woensdag 13 oktober 2004 18:50

Acties:

0 Henk 'm!

MaVl

Topicstarter

Die pc van mij was dus van een klant, geen idee waar hij vandaan kwam, klant had ook geen idee

.
Voor de mensen die de dir niet kunnen vinden, zelfs met de optie verborgen bestanden laten zien zie je hem niet in windows xp (geen idee over andere versies), want hij staat genoteerd als systeembestand.
Om de client te vinden: bij mapopties --> weergave de optie "beveiligde systeembestanden verbergen" uitzetten. Of gewoon bij deze computer in de adresbalk "%windir%\system32\iosdt" intypen, inclusief de procenttekens exclusief de quotes.
Hopelijk helpt dit.

edit:

wat typo's verwijderd

[ Voor 9% gewijzigd door MaVl op 13-10-2004 18:52 ]

woensdag 13 oktober 2004 18:50

Acties:

0 Henk 'm!

Webgnome

persoonlijk vind ik dat als er 1 computer is gevonden met een client waavan de user niet weet dat hij dat draait er al sprake is van cheaten.

Strava | AP | IP | AW

woensdag 13 oktober 2004 19:13

Acties:

0 Henk 'm!

Verwijderd

Even vanuit de VS

Ik zit hier nu voor het eerst voor een paar minuten op internet, en natuurlijk viel mijn oog gelijk op dit draadje.

Zodra ik terugben (Vrijdag), en uitgejetlagged ben ga ik info verzamelen en actie ondernemen. De methode was idd al bekend bij d.net, maar niet voor dit specifieke account.

Mocht iemand toevallig ook de .exe hebben, dan zou ik die graag hebben voor onderzoek.

woensdag 13 oktober 2004 19:17

Acties:

0 Henk 'm!

MaVl

Topicstarter

Die zal ik morgen mailen, heb de hele dir opzij gezet op mijn werk

Ook sturen naar crew@dutchpowercows.org?

woensdag 13 oktober 2004 19:38

Acties:

0 Henk 'm!

SIC66

ok...
ik heb dus een sims 2 nocd crack gedownload die te klein was om goed te zijn en dus ook niet geopend, toen ik keek hoe groot hij was zag ik niet dat het een exe was met een winrar icoontje, later heeft dus iemand deze file geopend en gelijk was de pc traag en zag ik dat iosdt.exe 99% cpu gebruikte.
het programma was als een service geinstalleerd en heb ik toen meteen uitgeschakeld.
wat ook vreemd was was dat het een map befrof in system32, maar deze map kon ik niet vinden, maar als ik het gewoon intypte (c:/winnt/system32/iosdt/) werkte het wel en zag ik 2 bestanden staan, iosdt.exe en in.r72 (wss een buffer in dus) maar geen ini file

dit was op mijn werk en omdat we meteen allemaal virusmeldingen kregen op andere pc's heb ik mijn pc zo snel mogelijk geformateerd dus ik kan jammergenoeg nu geen info meer halen uit die bestanden.
ik heb ook nog gezocht naar waar ik die nocd vandaan had maar ook dat kan ik zo snel niet meer vinden..
ik weet iig dat het gaat om een nocd van the sims 2 die ongeveer 300-400kb groot was

het is natuurlijk niet normaal dat iemand op deze manier misschien wel honderden pc's infecteert en lekker op zijn naam laat grazen..
ik denk wel dat we ff deze file moeten vinden, dus iedereen ff zoeken naar die nocd

verder heb ik helaas ook geen verdere informatie

PROUD member of NoizyCows

woensdag 13 oktober 2004 19:55

Acties:

0 Henk 'm!

Adm.Spock

Duik-Aap

Dit is idd een vrij ernstige zaak. Het is goed mogelijk dat dit ook met andere projecten gebeurt waarvan de client niet al te groot is. (bijvoorbeeld Seti: Client + Instsrv + srvany + registerbestanden en installer komt uit op minder dan 300k)

Dus als iemand dat soort zaken aantreft: Geef dit door aan de PV'er van het betreffende project!

woensdag 13 oktober 2004 20:09

Acties:

0 Henk 'm!

YakuzA

Wat denk je nou zelluf hey :X

1x raden rond welke datum The_Sims2_Alcoholclone-Clonegame released werd

http://stats.distributed....hp?project_id=8&id=409649

Death smiles at us all, all a man can do is smile back.
PSN

woensdag 13 oktober 2004 20:19

Acties:

0 Henk 'm!

TGEN

Hmmmx_

YakuzA schreef op 13 oktober 2004 @ 20:09:
1x raden rond welke datum The_Sims2_Alcoholclone-Clonegame released werd

http://stats.distributed....hp?project_id=8&id=409649

Ik ben sprakeloos.

Pixilated NetphreaX
Dronkenschap is Meesterschap
DragonFly

woensdag 13 oktober 2004 20:26

Acties:

0 Henk 'm!

E-jey

SIC66 schreef op 13 oktober 2004 @ 19:38:
ok...
ik heb dus een sims 2 nocd crack gedownload die te klein was om goed te zijn en dus ook niet geopend, toen ik keek hoe groot hij was zag ik niet dat het een exe was met een winrar icoontje, later heeft dus iemand deze file geopend en gelijk was de pc traag en zag ik dat iosdt.exe 99% cpu gebruikte.
het programma was als een service geinstalleerd en heb ik toen meteen uitgeschakeld.
wat ook vreemd was was dat het een map befrof in system32, maar deze map kon ik niet vinden, maar als ik het gewoon intypte (c:/winnt/system32/iosdt/) werkte het wel en zag ik 2 bestanden staan, iosdt.exe en in.r72 (wss een buffer in dus) maar geen ini file

dit was op mijn werk en omdat we meteen allemaal virusmeldingen kregen op andere pc's heb ik mijn pc zo snel mogelijk geformateerd dus ik kan jammergenoeg nu geen info meer halen uit die bestanden.
ik heb ook nog gezocht naar waar ik die nocd vandaan had maar ook dat kan ik zo snel niet meer vinden..
ik weet iig dat het gaat om een nocd van the sims 2 die ongeveer 300-400kb groot was

het is natuurlijk niet normaal dat iemand op deze manier misschien wel honderden pc's infecteert en lekker op zijn naam laat grazen..
ik denk wel dat we ff deze file moeten vinden, dus iedereen ff zoeken naar die nocd

verder heb ik helaas ook geen verdere informatie

Er zijn een aantal manieren om mappen verborgen te maken buiten de verberg optie van windows om. In de FXP scene noemen ze dat altijd taggen. De enige manier om erin te komen is idd het adres in je adresbalk typen. Waarschijnlijk hebben ze die truuk ook toegepast op dat mapje in je system32.

woensdag 13 oktober 2004 20:50

Acties:

0 Henk 'm!

TrekDr0p

QR niet scannen

Het zal toch best wel triest zijn als het werkelijk waar zal zijn dat de polen idd cheaten.
Het is gewoon zonde want hiermee verpesten ze dan gewoon enorm veel mee, maar ik hoop voor de echte normale flushers van de polen dat ze niet de dupe worden van dit gecheat, want dat zal zonde zijn voor hun en voor ons..

YakuzA schreef op 13 oktober 2004 @ 20:09:
1x raden rond welke datum The_Sims2_Alcoholclone-Clonegame released werd

http://stats.distributed....hp?project_id=8&id=409649

Het is idd wel heeeel erg toevallig..
Je zal idd bijna gaan denken dat er wat aan de hand is

woensdag 13 oktober 2004 21:56

Acties:

0 Henk 'm!

Sybr_E-N

$eik0 schreef op 13 oktober 2004 @ 20:50:
Het zal toch best wel triest zijn als het werkelijk waar zal zijn dat de polen idd cheaten.
Het is gewoon zonde want hiermee verpesten ze dan gewoon enorm veel mee, maar ik hoop voor de echte normale flushers van de polen dat ze niet de dupe worden van dit gecheat, want dat zal zonde zijn voor hun en voor ons..

[...]

Het is idd wel heeeel erg toevallig..
Je zal idd bijna gaan denken dat er wat aan de hand is

We moeten niet meteen ALLE Polen over 1 kam scheren en ze de tag 'cheater' meegeven. Ik denk dat niet alle Poolse RC5-72 deelnemers zo lame zijn om te gaan lopen cheaten dmv een trojan of wat dan ook.

woensdag 13 oktober 2004 22:00

Acties:

0 Henk 'm!

Verwijderd

Owkee, de laatste week heb ik al bij een aantal klanten en op kantoor dit weg gehaald, ik wist niet dat het dit was maar het was dezelfde executable en die vrat ook alle reserves.
Zal eens kijken of ik het nog terughalen kan en mijn bevindingen een posten.
Ik merkte het vooral omdat ik normaliter op die bakken d2ol heb staan (legaal met toestemming) van het werk uit en de output daalde ietswat...

woensdag 13 oktober 2004 22:00

Acties:

0 Henk 'm!

Pim.

Aut viam inveniam, aut faciam

En laten we nu niet "als nog" gaan speculeren. Als iemand het betrefende bestand vindt, die naar het crew mail adres stuurt gaan we er naar kijken. Laten we het daar eerst op laten.

Find that crackje (met client) !!

"The trouble with quotes from the Internet is that you can never know if they are genuine." - Elvis Presley | Niet met me eens ? DM ME

woensdag 13 oktober 2004 22:04

Acties:

0 Henk 'm!

Theadalus

Nostalgist

Conclusie: Alleen mensen met illegale software hebben last van deze client

Computing...

woensdag 13 oktober 2004 22:06

Acties:

0 Henk 'm!

Verwijderd

Theadalus schreef op 13 oktober 2004 @ 22:04:
Conclusie: Alleen mensen met illegale software hebben last van deze client

Tis alleen ff uitvinden waar ie allemaal in verwerkt is want ik kan met 100% zekerheid zeggen dat oudere echtparen geen sims spelen, en aangezien enkele zelfs geen kleinkinderen hebben durf ik dat scenario wel uit te sluiten.
Maar ik ga wel ff na wat er de laatste dagen allemaal geinstalleerd is.

woensdag 13 oktober 2004 22:16

Acties:

0 Henk 'm!

Verwijderd

Het is trouwens ook nog wel aan te raden om de verdachte/betreffende files naar de anti-virusboeren te sturen zodat deze (mogelijk) aan de database toegevoegd kunnen worden.

Dat zal ook nog wel meehelpen aan het zo snel mogelijk stoppen van het cheaten/verkwinselen van cpu power.

woensdag 13 oktober 2004 22:27

Acties:

0 Henk 'm!

Verwijderd

Verwijderd schreef op 13 oktober 2004 @ 22:16:
Het is trouwens ook nog wel aan te raden om de verdachte/betreffende files naar de anti-virusboeren te sturen zodat deze (mogelijk) aan de database toegevoegd kunnen worden.

Dat zal ook nog wel meehelpen aan het zo snel mogelijk stoppen van het cheaten/verkwinselen van cpu power.

Misschien ook maar naar adaware toe sturen? Lavasoft of hoe het ook heet?
Dat programma detecteert immers malware en dit is geen echt virus maar gewoon malware (vind ik persoonlijk) maar goed.

Doe ik wel ff btw

woensdag 13 oktober 2004 22:31

Acties:

0 Henk 'm!

MaVl

Topicstarter

Laten we er dan wel duidelijk bij vermelden dat dnetc.exe een goede client is, want jaartje of 2 geleden werd die toch ook verwijderd door norton?
Maar het is wel een idee om alle cheatende adressen door te geven aan die gasten, maar dat zou aan dnet zelf overgelaten moeten worden, we kunnen hoogstens het idee zelf opperen. Als we zelf dit soort dingen door gaan geven worden we of niet serieus genomen, of ze verwijderen gewoon alle exe's met de code van dnet, en dat willen we niet toch?

woensdag 13 oktober 2004 22:33

Acties:

0 Henk 'm!

NightBird

DPC-Crew Coding

*zie MaVl*

[ Voor 89% gewijzigd door NightBird op 13-10-2004 22:34 ]

WatHoorJeWaar · Asobakken
Eerdere projecten: Leading Courses · Brandstof-zoeker.nl · Voertuig-zoeker.nl

woensdag 13 oktober 2004 22:55

Acties:

0 Henk 'm!

Verwijderd

Verwijderd schreef op 13 oktober 2004 @ 22:27:
[...]

Misschien ook maar naar adaware toe sturen? Lavasoft of hoe het ook heet?
Dat programma detecteert immers malware en dit is geen echt virus maar gewoon malware (vind ik persoonlijk) maar goed.

Doe ik wel ff btw

Ik denk dat lavasoft dat eventueel ook nog wel wil hebben ja, maar in deze vorm is het niets minder dan een trojan, kijk maar naar de gevolgen die het heeft...

De 'crack' an sich is een zogenaamde TrojanDropper, die sowieso met standaard definities herkend zal moeten worden.

De componenten zelf zijn een ander verhaal, ik kan niets voor symantec/mcafee etc zeggen, maar als er bij Kaspersky hopen aan reports binnenkomen zal het waarschijnlijk (tijdelijk) in de standaard definities zitten en wordt het na een tijd naar de extended definities verplaatst, iig een van de files dan.

_{Ik kan me nog een heel verhit debat herinneren waarin het ging om standard vs extended klassering, geloof de vorige keer dat er weer lamers aan het werk waren geweest}

woensdag 13 oktober 2004 23:01

Acties:

0 Henk 'm!

Verwijderd

Verwijderd schreef op 13 oktober 2004 @ 22:55:
[...]

Ik denk dat lavasoft dat eventueel ook nog wel wil hebben ja, maar in deze vorm is het niets minder dan een trojan, kijk maar naar de gevolgen die het heeft...

De 'crack' an sich is een zogenaamde TrojanDropper, die sowieso met standaard definities herkend zal moeten worden.

De componenten zelf zijn een ander verhaal, ik kan niets voor symantec/mcafee etc zeggen, maar als er bij Kaspersky hopen aan reports binnenkomen zal het waarschijnlijk (tijdelijk) in de standaard definities zitten en wordt het na een tijd naar de extended definities verplaatst, iig een van de files dan.

_{Ik kan me nog een heel verhit debat herinneren waarin het ging om standard vs extended klassering, geloof de vorige keer dat er weer lamers aan het werk waren geweest}

Check je mail eens in je profile

woensdag 13 oktober 2004 23:08

Acties:

0 Henk 'm!

Cardinal

Sybr_E-N schreef op 13 oktober 2004 @ 21:56:
[...]

We moeten niet meteen ALLE Polen over 1 kam scheren en ze de tag 'cheater' meegeven. Ik denk dat niet alle Poolse RC5-72 deelnemers zo lame zijn om te gaan lopen cheaten dmv een trojan of wat dan ook.

Kan me vaag herinneren dat een "eigen medecruncher" hier ooit ook eens verantwoordelijk voor is geweest. Volgens mij zat het toen in een smilie-pack voor MSN.

woensdag 13 oktober 2004 23:20

Acties:

0 Henk 'm!

Verwijderd

Verwijderd schreef op 13 oktober 2004 @ 23:01:
[...]

Check je mail eens in je profile

Thanks, ik reply er zodadelijk op.

Wat doet de client eigenlijk als de configfile weg is? Niets meer?
Want in dat geval zou detectie van DNet client in std bases eigenlijk helemaal niet (meer) hoeven.

woensdag 13 oktober 2004 23:22

Acties:

0 Henk 'm!

Verwijderd

Pim. schreef op 13 oktober 2004 @ 22:00:

Find that crackje (met client) !!

En geef dan ook natuurlijk even door waar je de bestandjes kan vinden op het net (niet in deze thread maar via mail naar de desbetreffende personen).

woensdag 13 oktober 2004 23:23

Acties:

0 Henk 'm!

Verwijderd

Verwijderd schreef op 13 oktober 2004 @ 23:20:
[...]

Thanks, ik reply er zodadelijk op.

Wat doet de client eigenlijk als de configfile weg is? Niets meer?
Want in dat geval zou detectie van DNet client in std bases eigenlijk helemaal niet (meer) hoeven.

Volgens mij rekent ie dan nog altijd blokjes uit alleen kan ie ze slechts niet meer verzenden.
Dan zou dus het probleem van misbruik eigenlijk we gzijn, alleen blijft de pc van de gebruiker sloom, wat ik meen dat ie die onverzonden blokjes opslaat in een tempfile.
Weet niet of dat met rc5 zo werkt aangezien ik dat zelf niet draai.
Iig met eccp was het zo destijds, ik weet dat daar ook mee gefraudeerd werd en dat heb ik toen destijds uitgeplozen en bleek het zo te werken.

woensdag 13 oktober 2004 23:49

Acties:

0 Henk 'm!

Verwijderd

MarcyDarcy schreef op 13 oktober 2004 @ 15:01:

Voor de Poolse taalexperts onder ons (ik snap er de ballos van ):
- topic over iets met een virus
- topic over iets met een trojan

Nah, heb er es een online translator op losgelaten, en dit is het resultaat: succes iedereen die het probeert te snappen

Dat andere topic (over die trojan) gaat over iemand wiens virusscanner RC5 als trojan ziet.

------ Virus RC5 ----------

d2uriel
I reviewed so exactly FAQ and I have run on strange idea. Wyczytałem, That it walks about it, that (in order to) as now already client install ( know najwięej prznajmniej, where from has for (after) thousand block a day ) niektóryz pareset. Idea is following (step). " Virus " sent mail, which (who) fits what starts up in mode on it and " " quiet dnetc?

Kikus
It has run on it not first which (who) Hehe jestes but where morality healthy competition and? But so, they are think (consider) for some tens (any tens) thousands blocks on this forum it that have a day as you throw accusations hehe

d2uriel
There are no accusations yet big number of block ask morality Must be taken so where from you ) simply? Must be taken you where from morality ? Hmm, Healthy competition. But you know, there was FAQ so as, it is illegal on " " machine anwet inatslowanie nieswoich, so, I do not know tongue (speech) about that very what with other inventive persons but? Has imitated it memorial < they (their) > ? It with (from) it " big " amount block a day? I salute PS. If who has been felt piqued, then I ask it about reading with (from) one more time observation smiley posta dokładnejszym

-=LuCkY=-
It is old en pomysl as caly d.net they were before - not first tray < such > jestes juz Toba. They were on zwroc uwage podkreslenie slowa because not company ltd. person juz kazda, it will orientate that obliged not from (with) on its (her) for right < law (as of right) > ( ) ktora sie kompie dziala cos pa zglosci distributed.net abuse@distributed.net and several such complaints become (stay) for they with your in configuration file along with your possesions your account cancel ( ) jesli wplynie ID but coordinator of team with (from) all this tlumaczy sie but you not. You will delete from statistics ultimate punishment even team moze byc calego.

d2uriel
Emm, Good < goods (right) >, Emm, good < goods (right) >, silly idea. I will fit client on each computer today illegally less, I will sit at which (who)

SiNuS
Does not have so many (so much) < rear > ikt.

d2uriel
But good < goods (right) >, I have exaggerated a bit, but it have for (after) thousand paredziesiąt ludziska D

Anubis
So, there is not one about from (with) on one account only people ludzisk caly zespol pracujacych, in order to in ranking high position zajac

merlin
There is secret yet Ciiiiiiii, that there is subteam

Kikus
From it secret not epiej robic because for people glupie pomysly glowy przychodza

woensdag 13 oktober 2004 23:52

Acties:

0 Henk 'm!

Verwijderd

Yodatalk

but worse

woensdag 13 oktober 2004 23:53

Acties:

0 Henk 'm!

Verwijderd

Pim. schreef op 13 oktober 2004 @ 22:00:
En laten we nu niet "als nog" gaan speculeren. Als iemand het betrefende bestand vindt, die naar het crew mail adres stuurt gaan we er naar kijken. Laten we het daar eerst op laten.

Find that crackje (met client) !!

Stuur me morgen ff een pmetje op irc, dan regelen we dat :-)

woensdag 13 oktober 2004 23:57

Acties:

0 Henk 'm!

Jis

Er wordt hier gemeld dat de pc langzamer wordt en dat daardoor is ontdekt dat die client er opstaat. Wordt de pc met zo'n 'foute' client dan echt langzamer? Normaal gesproken gebruikt een dc-client namelijk toch alleen maar de idle tijd...

https://u24.gov.ua/

donderdag 14 oktober 2004 00:02

Acties:

0 Henk 'm!

MaVl

Topicstarter

In mijn geval was het niet de client die hem langzaam maakte, maar als de klant meld dat een pc langzaam is en ik zie een 99% cpu tijd proces, dan word mijn aandacht getrokken

Na het verwijderen van de troep was pc al heel handelbaar. Dus in mijn geval was het niet de client die hem langzaam maakte.

donderdag 14 oktober 2004 00:15

Acties:

0 Henk 'm!

Sequence

Online marketing

Witlof schreef op 14 oktober 2004 @ 00:11:
[...]

Zonder dnetc.ini (configfile) gaat de client grazen onder rc5@distributed.net dacht ik. Echter zijn er dan ook geen settings voor het flushen want de client-settings zijn zo ingesteld dat het via poort 80 allemaal ge-update wordt maar standaard is dit 2072 dacht ik.

2064

donderdag 14 oktober 2004 00:27

Acties:

0 Henk 'm!

Verwijderd

Hmm, ik zit nu een oudere DNet trojan te testen - die trouwens ook van een Pool lijkt te zijn.

Daar lijkt de removal van de .ini file genoeg te zijn om het beestje kreupel te maken.

Zonder de ini file gebeurt er @ reboot gewoon niets meer.

Ik zal het opnieuw moeten testen met de nieuwe trojan, maar standaard detectie van alleen de ini file zou voor 'jullie crunchers' natuurlijk een stuk fijner zijn.

donderdag 14 oktober 2004 00:34

Acties:

0 Henk 'm!

bigfoot1942

mail met "crackje" en een stuk of wat screenshots is practisch onderweg.
Kaspersky herkent een win32.dater ding... maar ik heb geen zin om te proberen wat het doet.
ding is ieg 237KB groot...

screenie v properties:
Afbeeldingslocatie: http://home.tiscali.nl/eelkehagen/properties.JPG

Afbeeldingslocatie: http://home.tiscali.nl/eelkehagen/properties.JPG

[ Voor 21% gewijzigd door bigfoot1942 op 14-10-2004 00:41 ]

donderdag 14 oktober 2004 09:22

Acties:

0 Henk 'm!

MarcyDarcy

Is het een aanpassing van de worm die destijds via KaZaA is verstuurd? W32.Shydy.worm. De namen waarin deze worm voorkwam komen aardig overeen.

donderdag 14 oktober 2004 10:34

Acties:

0 Henk 'm!

Twisted

Mogli <3

Verwijderd schreef op 13 oktober 2004 @ 23:49:
[...]
Nah, heb er es een online translator op losgelaten, en dit is het resultaat: succes iedereen die het probeert te snappen

Dat andere topic (over die trojan) gaat over iemand wiens virusscanner RC5 als trojan ziet.

[...]

Ik heb de topic doorgelezen. Het gaat over een Pool die een idee heeft om de client als virus naar iedereen te gaan mailen. De replay's van andere polen zijn over het algemeen:

"Je bent niet de eerste met dat idee. Het is al geprobeerd maar het is illegaal. Als iemand het merkt dan stuurt degene een mail en ben je je credits sowieso kwijt. Het is ook amoreel en bevordert niet de competitie"

Het draadje op de Poolse forum is dus tamelijk negatief over dat idee.

du -ba --max-depth=1| sort -nr | awk ' {printf("%20.2f MB %-s %-s %-s %-s %-s %-s\n", $1 / (1024*1024)+"MB\n", $2,$3,$4,$5,$6,$7)}'

donderdag 14 oktober 2004 11:06

Acties:

0 Henk 'm!

MaVl

Topicstarter

Zou het dan niet zo kunnen zijn dat die twee gasten eruit geschopt zijn door hun teamgenoten? Want als ze openlijk op dat forum zeggen dat ze hun punten zo krijgen kan ik mij best voorstellen dat de andere polen zoiets hebben van "zout op uit ons team"

donderdag 14 oktober 2004 13:37

Acties:

0 Henk 'm!

Verwijderd

Neej dat is al paar keer uitgelegd.

Dat doen ze dus om zo voorbij ons te komen (virtueel) en dan weer te mergen zodat ze in 1 klap ons voorbij komen.

Afijn, me wacht het zaakje met goede hoop af.

donderdag 14 oktober 2004 14:13

Acties:

0 Henk 'm!

MaVl

Topicstarter

Ja, ik weet dat die theorie bestaat, maar is het zeker, heeft iemand het poolse forum doorgelezen en vertaald? en zeggen ze ook dat dit gebeurt? Of is het zo dat wij (dpc) denken dat ze dat doen terwijl ze er gewoon zijn uitgezet, dat bedoelde ik te zeggen.

donderdag 14 oktober 2004 14:27

Acties:

0 Henk 'm!

Ingmar

Volgens mij hebben ze dat zelfs hier aangekondigd (in ut engels

) Ze lezen hier namelijk ook mee via babelfish.

One semester we took criminology for God's sake! Criminology! Who the fuck are we studying to be, Batman?

donderdag 14 oktober 2004 16:29

Acties:

0 Henk 'm!

MaVl

Topicstarter

Aha, ik snap het.
Ik heb net mijn eerste post door babelfish gehaald, erg humoristisch, maar er is prima te begrijpen wat ik bedoel. Ben benieuwd of ze erop reageren, want een topic met polen in de titel moet hun aandacht toch wel trekken.

donderdag 14 oktober 2004 17:11

Acties:

0 Henk 'm!

MarcyDarcy

Even offtopic, het heeft niets te maken met de Polen, maar deze post: [rml]Schuppe in "[ RC5-72] hitparade van 13 oktober"[/rml] lijkt me voor de DPC (d.net) crew eveneens van belang betreffende Rc5-72.
Beter een kleine dubbelspam (omdat dit waarschijnlijk meer gelezen wordt)

donderdag 14 oktober 2004 18:21

Acties:

0 Henk 'm!

Verwijderd

http://stats.distributed....p?project_id=8&team=10313
Daar valt op dat fragvalley 9 oktober gestopt is bij DPC...

en die link in de vorige post laat zien dat ze nu flushen voor die gekke oostblokkers...

Ik sprak er net iemand over aan en die wist van niks...

Dunno of ze het gaan wijzigen binnenkort maar misschien moet iemand even contact opnemen met dnet?

[ Voor 15% gewijzigd door Verwijderd op 14-10-2004 18:22 ]

donderdag 14 oktober 2004 19:28

Acties:

0 Henk 'm!

Pim.

Aut viam inveniam, aut faciam

Gaan we aan werken, iemand de Sims nocd crack verder nog gevonden ? . Ik heb de huidige nog niet geinstalleerd (kan me pc niet missen

)

"The trouble with quotes from the Internet is that you can never know if they are genuine." - Elvis Presley | Niet met me eens ? DM ME

donderdag 14 oktober 2004 19:43

Acties:

0 Henk 'm!

Afwezig

Pim. schreef op 14 oktober 2004 @ 19:28:
Gaan we aan werken, iemand de Sims nocd crack verder nog gevonden ? . Ik heb de huidige nog niet geinstalleerd (kan me pc niet missen )

Ik heeft hem ook net van Emule geplukt. Geinstalleerd, en inderdaad een d.net client met een vage naam. Inmiddels weer er af gepleurt, en verder gaan grazen voor TSC.

donderdag 14 oktober 2004 19:52

Acties:

0 Henk 'm!

Verwijderd

Heel toevallig vandaag ook 1 aangetroffen bij een kennis van mij. Vond het al zo vreemd dat ik de laatste dagen iets langzamer ging. Ook een Sims2 NOCD krack. Naam van client was iosdt.exe. Heb ff vergeten in de ini file te kijken.

donderdag 14 oktober 2004 19:52

Acties:

0 Henk 'm!

Verwijderd

Mag ik jullie er op wijzen dat het bepaald niet verstandig is zomaar Trojans te gaan runnen?

Wie weet wat er nog meer vrolijk meegeïnstalleerd wordt.

donderdag 14 oktober 2004 20:04

Acties:

0 Henk 'm!

TGEN

Hmmmx_

We draaien die toch allemaal onder Wine? Windows is voor mietjes?

Pixilated NetphreaX
Dronkenschap is Meesterschap
DragonFly

donderdag 14 oktober 2004 21:00

Acties:

0 Henk 'm!

E-jey

Afwezig schreef op 14 oktober 2004 @ 19:43:
[...]

Ik heeft hem ook net van Emule geplukt. Geinstalleerd, en inderdaad een d.net client met een vage naam. Inmiddels weer er af gepleurt, en verder gaan grazen voor TSC.

Wat stond er in de ini? Dat is het belangrijkste

donderdag 14 oktober 2004 22:28

Acties:

0 Henk 'm!

Verwijderd

TGEN schreef op 14 oktober 2004 @ 20:04:
We draaien die toch allemaal onder Wine? Windows is voor mietjes?

Ja, maar windhoos levert wel meer candidates af, ben nu aan het testen met Mandrake 9.1 en 10.0, die waren met DF ook aanzienlijk sneller dan windhoos en RH

donderdag 14 oktober 2004 22:33

Acties:

0 Henk 'm!

TGEN

Hmmmx_

Verwijderd schreef op 14 oktober 2004 @ 22:28:
[...]

Ja, maar windhoos levert wel meer candidates af, ben nu aan het testen met Mandrake 9.1 en 10.0, die waren met DF ook aanzienlijk sneller dan windhoos en RH

Je spreekt jezelf tegen, eerst zeg je dat Windows beter presteert, en vervolgens dat Mandrake beter presteert? Wassup dawg?

Pixilated NetphreaX
Dronkenschap is Meesterschap
DragonFly

donderdag 14 oktober 2004 22:42

Acties:

0 Henk 'm!

Verwijderd

TGEN schreef op 14 oktober 2004 @ 22:33:
[...]

Je spreekt jezelf tegen, eerst zeg je dat Windows beter presteert, en vervolgens dat Mandrake beter presteert? Wassup dawg?

Beter lezen

Ik zeg dat "ja" dat windhoos voor mietjes is, MAAR wel beter presteert op TSC

donderdag 14 oktober 2004 22:52

Acties:

0 Henk 'm!

TGEN

Hmmmx_

Ow, je bent nu aan t testen met RC5, en Mandrake was sneller dan Windows in DF maar andersom in RC5 dus. Aha.

Pixilated NetphreaX
Dronkenschap is Meesterschap
DragonFly

donderdag 14 oktober 2004 23:23

Acties:

0 Henk 'm!

SandStar

DPC-Crew

Zandster

DF was toch ook op linux gebouwd ofzow?

vrijdag 15 oktober 2004 00:30

Acties:

0 Henk 'm!

Lautie

Verwijderd schreef op 14 oktober 2004 @ 18:21:
http://stats.distributed....p?project_id=8&team=10313
Daar valt op dat fragvalley 9 oktober gestopt is bij DPC...

en die link in de vorige post laat zien dat ze nu flushen voor die gekke oostblokkers...

Ik sprak er net iemand over aan en die wist van niks...

Dunno of ze het gaan wijzigen binnenkort maar misschien moet iemand even contact opnemen met dnet?

Voorzover ik weet is Fragvalley er helemaal meegestopt, geen intersse meer geloof ik. Ik hoorde net dat ze kennelijk hun e-mail adres kwijt zijn. Meer weet ik er ook niet over.

Vader van Tobias en Ylana \o/ GoT-Papa clublid

vrijdag 15 oktober 2004 08:58

Acties:

0 Henk 'm!

Verwijderd

Wel lame om emailadressen van "gestopte" teams te claimen...

Zo krijg je soms toch nog blokjes binnen van achtergebleven clients...

Lame, erg lame maar goed

vrijdag 15 oktober 2004 12:25

Acties:

0 Henk 'm!

hemz

Het is lame dat het ten koste gaat van DPC

vrijdag 15 oktober 2004 15:09

Acties:

0 Henk 'm!

DSmarty

Denk dat het handiger is om alle input via de PV Distributed.net te laten lopen. (Floppus)
Gaarne alle, nuttige, inbreng mailen naar hem of naar de crew in het algemeen.

Dit topic gaat de verkeerde kant op.