Toon posts:

Installatie illegale dnet client

Pagina: 1
Acties:
  • 181 views sinds 30-01-2008

Verwijderd

Topicstarter
Toen ik vandaag keek waarom seti langzamer draaide dan normaal kwam ik een proces met de naam dnetc tegen dat veel van m'n cpu gebruikte.
Uit een zoekactie op m'n pc kwamen 2 bestanden waaronder een bestand met een config:

[parameters]
id=dpc_de@hotmail.com
[misc]
project-priority=RC5,OGR=0,DES=0,CSC=0

[networking]
keyserver=62.195.38.112:2064
nofallback=true
autofindkeyserver=no

[rc5]
preferred-blocksize=33
fetch-time-threshold=0
fetch-workunit-threshold=100
randomprefix=252

[ogr]
fetch-workunit-threshold=5

[buffers]
frequent-threshold-checks=0
checkpoint-filename=dpc

[logging]
log-file=koelog.txt
log-file-type=fifo

[triggers]
restart-on-config-file-change=yes

[display]
progress-indicator=on
detached=yes


Ik neem aan dat jullie met deze informatie de dader kunnen achter halen, graag hoor ik wat jullie hiermee willen doen. :(

  • SjOuKeS
  • Registratie: Augustus 2000
  • Laatst online: 03-01 20:09

SjOuKeS

HmmmmPie!!!!

Het is een chello klant die z'n eigen proxy draait, dat kan ik d'r uithalen maar denk niet dat je hier echt aan het goeie adres bent voor dit soort dingen..

Een beetje googlen had je deze link: http://www.distributed.net/trojans.php opgeleverd.
Trojan :)
#

[Apr 2002] A number of compromised Windows machines have been found with a copy of the dnetc client configured with the address dpc_de@hotmail.com. The affected machines were typically using a dnetc.ini that used a personal proxy server at address 62.195.38.112 (node-d-2670.a2000.nl). Although the email address implies a connection with the team "Dutch Power Cows", there is no official relationship between the two. It is believed that the trojan was distributed on the Kazaa filesharing network within a program claiming to be an MSN hacking utility.
Je hebt jezelf waarschijnlijk besmet met een heel oude trojan :) (MSN Hacker..)

[ Voor 86% gewijzigd door SjOuKeS op 14-11-2004 16:16 ]


  • Exterazzo
  • Registratie: Mei 2000
  • Laatst online: 13:19

Exterazzo

Qeasy

Het is iig een client die volgens mij niet eens meer werkt, want RC5(-64) is afgelopen, OGR ook, en DES en CSC al helemaal.

Het email adres is van Division Eindhoven:

http://stats.distributed.net/participant/psearch.php?project_id=205&st=dpc_de@hotmail.com

[ Voor 56% gewijzigd door Exterazzo op 14-11-2004 16:17 ]

Audentia


  • pasta
  • Registratie: September 2002
  • Laatst online: 12-01-2025

pasta

Ondertitel

Daarbij bestaat Division Eindhoven niet meer, dat is overgegaan naar Division Brabant. Ik geloof dat toendertijd het betreffende uit het team is geschopt. :) Ik heb overigens Witlof (Division Brabant Crewmember) deze kant uit geschopt, hij zal het verhaal wat beter kunnen uitleggen. :)

Signature


  • MarcyDarcy
  • Registratie: Juni 2000
  • Laatst online: 15-02 15:14
kun je achterhalen sinds wanneer die D.NET client draait en waarmee hij is geinstalleerd? Bijv. recent een crack/no cd patch gedownload voor een of ander spel?

Verwijderd

Topicstarter
Exterazzo schreef op zondag 14 november 2004 @ 16:16:
Het is iig een client die volgens mij niet eens meer werkt, want RC5(-64) is afgelopen, OGR ook, en DES en CSC al helemaal.

Het email adres is van Division Eindhoven:

http://stats.distributed.net/participant/psearch.php?project_id=205&st=dpc_de@hotmail.com
Hij werkt nog wel als hij draait gebruikt ie cpu kracht en ook heb ik een logboek waarin staat wat hij wanneer heeft gedaan hieronder een kort voorbeeld:
3.01:10:41.62 - [86.44 kkeys/s]
[Nov 08 20:36:30 UTC] 0 RC5 packets (0 work units) remain in buff-in.rc5
[Nov 08 20:36:30 UTC] 672 RC5 packets (678 work units) are in buff-out.rc5

dnetc v2.8010-463-CTR-00071213 for Win32 (WindowsNT 5.1).
Using email address (distributed.net ID) 'dpc_de@hotmail.com'

[Nov 08 20:54:41 UTC] Recovered 1 checkpoint packet
[Nov 08 20:57:21 UTC] RC5: using core #6 (RG/HB ath).
[Nov 08 20:57:22 UTC] Loaded RC5 1*2^28 packet FDDB26C8:30000000 (23.60% done)
[Nov 08 20:57:22 UTC] 0 RC5 packets (0 work units) remain in buff-in.rc5
[Nov 08 20:57:23 UTC] 672 RC5 packets (678 work units) are in buff-out.rc5
[Nov 08 20:57:23 UTC] 1 cruncher has been started.
[Nov 08 21:35:54 UTC] Completed RC5 packet FDDB26C8:30000000 (1*2^28 keys)
0.00:38:31.64 - [88,648.42 keys/sec]
[Nov 08 21:39:03 UTC] Loaded RC5 random 1*2^28 packet FD285416:E0000000
[Nov 08 21:39:03 UTC] Summary: 1 RC5 packet (1*2^28 keys)
0.00:38:31.64 - [88.64 kkeys/s]
[Nov 08 21:39:03 UTC] 0 RC5 packets (0 work units) remain in buff-in.rc5
[Nov 08 21:39:03 UTC] 673 RC5 packets (679 work units) are in buff-out.rc5
[Nov 08 22:31:29 UTC] Completed RC5 packet FD285416:E0000000 (1*2^28 keys)
0.00:52:25.40 - [85,342.07 keys/sec]
[Nov 08 22:34:38 UTC] Loaded RC5 random 1*2^28 packet FDBDAB99:C0000000
[Nov 08 22:34:38 UTC] Summary: 2 RC5 packets (2*2^28 keys)
0.01:30:57.04 - [86.74 kkeys/s]
[Nov 08 22:34:38 UTC] 0 RC5 packets (0 work units) remain in buff-in.rc5
[Nov 08 22

Verwijderd

Topicstarter
MarcyDarcy schreef op zondag 14 november 2004 @ 16:22:
kun je achterhalen sinds wanneer die D.NET client draait en waarmee hij is geinstalleerd? Bijv. recent een crack/no cd patch gedownload voor een of ander spel?
De map waar alles instaat is aangemaakt op zo 17 okt het logbestand bevat info vanaf 7 nov ik ga nu effe zoeken waar t vandaan kan komen

  • pasta
  • Registratie: September 2002
  • Laatst online: 12-01-2025

pasta

Ondertitel

Mjah, hij laadt dus random pakketjes. Die telden toendertijd bij RC5-64 al niet mee. Hij valt gewoon uit te schakelen en te verwijderen dus. Misschien is het verstandig om wel nog even te traceren waar ie vanaf komt. (bij gevoegd bij welk programma) :)

Signature


Verwijderd

Topicstarter
pasta schreef op zondag 14 november 2004 @ 16:25:
Mjah, hij laadt dus random pakketjes. Die telden toendertijd bij RC5-64 al niet mee. Hij valt gewoon uit te schakelen en te verwijderen dus. Misschien is het verstandig om wel nog even te traceren waar ie vanaf komt. (bij gevoegd bij welk programma) :)
Dat is het probleem ik weet niet waar ik moet zoeken om dat nog na te gaan, Source: C:\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\WL6RWXMJ\DNETC-WIN32-X86-SETUP[1].EXE staat in het logbestand als de lokatie waar t bestand naartoe gedownload zoe zijn maar deze map schijnt helemaal niet te bestaan zelfs niet C:\WINDOWS\TEMPORARY INTERNET FILES.

Verwijderd

Topicstarter
SjOuKeS schreef op zondag 14 november 2004 @ 16:13:
Het is een chello klant die z'n eigen proxy draait, dat kan ik d'r uithalen maar denk niet dat je hier echt aan het goeie adres bent voor dit soort dingen..

Een beetje googlen had je deze link: http://www.distributed.net/trojans.php opgeleverd.
Trojan :)


[...]


Je hebt jezelf waarschijnlijk besmet met een heel oude trojan :) (MSN Hacker..)
Als dat zo is hoe komt t dan door m'n router firewall en virusscanner heen zonder dat deze een virus vinden?

  • SjOuKeS
  • Registratie: Augustus 2000
  • Laatst online: 03-01 20:09

SjOuKeS

HmmmmPie!!!!

Verwijderd schreef op zondag 14 november 2004 @ 16:33:
[...]


Als dat zo is hoe komt t dan door m'n router firewall en virusscanner heen zonder dat deze een virus vinden?
Denk niet dat dat aan mij is om dat uit tegaan leggen..
De Dnet client is niet een trojan opzich.. totdat iemand dat er van maakt dmv een exe packer oid.. en die hoeven niet allemaal als virus te worden gezien.
Gezond verstand gaat altijd nog boven een virusscanner..
Verder staat als het goed is in je firewall log dat je PC om dezoveel tijd verbinding probeert te maken met: 62.195.38.112:2064

[ Voor 20% gewijzigd door SjOuKeS op 14-11-2004 16:44 ]


  • MarcyDarcy
  • Registratie: Juni 2000
  • Laatst online: 15-02 15:14
Verwijderd schreef op zondag 14 november 2004 @ 16:30:
[...]


Dat is het probleem ik weet niet waar ik moet zoeken om dat nog na te gaan, Source: C:\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\WL6RWXMJ\DNETC-WIN32-X86-SETUP[1].EXE staat in het logbestand als de lokatie waar t bestand naartoe gedownload zoe zijn maar deze map schijnt helemaal niet te bestaan zelfs niet C:\WINDOWS\TEMPORARY INTERNET FILES.
Het kan dat dat pad is ' afgeschermd' in Windows zelf. Probeer eens via een MS-Dos promt naar dat pad toe te gaan en kijken of het nog bestaat? :)

  • Kristof
  • Registratie: Januari 2002
  • Laatst online: 30-01 11:26

Kristof

is een Belgisch product

In Windows XP (windows200 etc gelijkaardig):
My Computer
menu tools > Folder Options
tabblad View
1) Vink uit: Hide protected Operation system files
2) verander de checkbox er iets boven naar: Show hidden files and folders

"You can get more with a kind word and a gun than you can with a kind word alone." - Al Capone


Verwijderd

Topicstarter
MarcyDarcy schreef op zondag 14 november 2004 @ 16:49:
[...]
Het kan dat dat pad is ' afgeschermd' in Windows zelf. Probeer eens via een MS-Dos promt naar dat pad toe te gaan en kijken of het nog bestaat? :)
Heb ik net geprobeerd maar het bestaat echt niet ( k heb een nederlandse windows xp versie ).
Ook kristof z'n oplossing heeft niet mogen helpen.
Allemaal bedankt alvast ik denk dat ik dit ip adres maar door ga geven aan een cracker dan kan die die gast t leven zuur maken.
>:)

  • Tjark
  • Registratie: Juni 2000
  • Laatst online: 13-02 17:53

Tjark

DON'T PANIC

Hmm, dus omdat jij zo dom bent geweest om een 'msn hacktool' te downloaden waarmee jij _jezelf_ besmet hebt ga je iemand pesten waarvan je niet eens zeker weet of hij nog wel dat ip adres heeft? :|
(ik ga er niet vanuit dat de orginele maker nog steeds dat chello ip heeft)

*insert signature here


  • SjOuKeS
  • Registratie: Augustus 2000
  • Laatst online: 03-01 20:09

SjOuKeS

HmmmmPie!!!!

Verwijderd schreef op zondag 14 november 2004 @ 17:15:
[...]


Heb ik net geprobeerd maar het bestaat echt niet ( k heb een nederlandse windows xp versie ).
Ook kristof z'n oplossing heeft niet mogen helpen.
Allemaal bedankt alvast ik denk dat ik dit ip adres maar door ga geven aan een cracker dan kan die die gast t leven zuur maken.
>:)
Wat wil je nu dat ik hier voor reactie op geef? behalve dan dat je zelf niet echt slim bezig bent... |:( :/

Verwijderd

ik weet uit het verleden dat er een client is geweest waar Devision Eindhoven hemel en aarde hebben bewogen omdat uit te zoeken wie het deed.

dit was zeker niet met hun goedkeuring, ik zou even wachten op een reactie van bv Witlof die was toen ook erg actief om alles uit te zoeken

Verwijderd

Dit is inderdaad hééél erg oud.

Er is destijds een poging geweest om deze deelnemer in discrediet te brengen. Het is destijds al opgelost door een ander account in gebruik te nemen, en het oude te blokkeren.

Er zullen niet alsnog andere maatregelen genomen worden vanuit de projectorganisatie. Mocht informatie beschikbaar komen die erop wijst dat inderdaad hackpogingen worden ondernomen tegen het genoemde IP, dan zal ik de eerste zijn die al het mogelijke zal doen de verantwoordelijken op te sporen.

Het mag overigens een prestatie op zich genoemd worden een dergelijke trojan nog binnen te krijgen. Overigens belast de client inderdaad de CPU wel steeds, en poogt werk te doen, maar kan het werk verder toch niet kwijt omdat de projecten waar die client voor is allang zijn afgelopen.

De beste oplossing is even de cleaner te downloaden:
http://www.moosoft.com/

En daarna even de meest recente client downloaden:
http://http.distributed.n...lient/dnetc-win32-x86.zip
Om je CPU cycles alsnog nuttig in te zetten.

[ Voor 28% gewijzigd door Verwijderd op 14-11-2004 18:03 ]


Verwijderd

Topicstarter
Verwijderd schreef op zondag 14 november 2004 @ 17:58:
Dit is inderdaad hééél erg oud.

Er is destijds een poging geweest om deze deelnemer in discrediet te brengen. Het is destijds al opgelost door een ander account in gebruik te nemen, en het oude te blokkeren.

Er zullen niet alsnog andere maatregelen genomen worden vanuit de projectorganisatie. Mocht informatie beschikbaar komen die erop wijst dat inderdaad hackpogingen worden ondernomen tegen het genoemde IP, dan zal ik de eerste zijn die al het mogelijke zal doen de verantwoordelijken op te sporen.

Het mag overigens een prestatie op zich genoemd worden een dergelijke trojan nog binnen te krijgen. Overigens belast de client inderdaad de CPU wel steeds, en poogt werk te doen, maar kan het werk verder toch niet kwijt omdat de projecten waar die client voor is allang zijn afgelopen.

De beste oplossing is even de cleaner te downloaden:
http://www.moosoft.com/

En daarna even de meest recente client downloaden:
http://http.distributed.n...lient/dnetc-win32-x86.zip
Om je CPU cycles alsnog nuttig in te zetten.
Ik draai al mee aan boinc een project waar gelukkig geen trojans van bestaan.
Dus op mijn hulp kan je alleen rekenen bij een ander dpc project.
De cleaner van moosoft werkt niet onder win xp dat heb ik al geprobeerd.
Als die d-net client contact maakt met het genoemde ip krijgt ie werk toegezonden dat betekent voor mij dat t ip nog in gebruik is.
Als je meer weet over DDos weet je ook dat daders nooit te vinden zijn.

Verwijderd

Topicstarter
TjarkVerhoeven schreef op zondag 14 november 2004 @ 17:28:
Hmm, dus omdat jij zo dom bent geweest om een 'msn hacktool' te downloaden waarmee jij _jezelf_ besmet hebt ga je iemand pesten waarvan je niet eens zeker weet of hij nog wel dat ip adres heeft? :|
(ik ga er niet vanuit dat de orginele maker nog steeds dat chello ip heeft)
Heb geen id waar t vandaan komt zeker niet uit een msn hacktool die heb ik nergens op m'n pc

  • BwO
  • Registratie: Juni 2002
  • Laatst online: 12-02 07:57

BwO

Up The Irons!

Verwijderd schreef op zondag 14 november 2004 @ 19:16:
[...]


Ik draai al mee aan boinc een project waar gelukkig geen trojans van bestaan.
Dus op mijn hulp kan je alleen rekenen bij een ander dpc project.
De cleaner van moosoft werkt niet onder win xp dat heb ik al geprobeerd.
Als die d-net client contact maakt met het genoemde ip krijgt ie werk toegezonden dat betekent voor mij dat t ip nog in gebruik is.
Als je meer weet over DDos weet je ook dat daders nooit te vinden zijn.
[Nov 08 21:39:03 UTC] Loaded RC5 random 1*2^28 packet FD285416:E0000000
Als ie random pakketjes doet dan heeft hij dus geen werk binnengekregen via dat IP en dat kan ook niet want RC5-64 is allang afgelopen. Ik zou gewoon de client verwijderen en gewoon verder boincen. Vooral omdat het zo out-dated is.

<<Team BSD>> #22 OGR-24 - #12 OGR-25


  • SjOuKeS
  • Registratie: Augustus 2000
  • Laatst online: 03-01 20:09

SjOuKeS

HmmmmPie!!!!

Verwijderd schreef op zondag 14 november 2004 @ 19:16:
[...]


Ik draai al mee aan boinc een project waar gelukkig geen trojans van bestaan.
Dus op mijn hulp kan je alleen rekenen bij een ander dpc project.
De cleaner van moosoft werkt niet onder win xp dat heb ik al geprobeerd.
Als die d-net client contact maakt met het genoemde ip krijgt ie werk toegezonden dat betekent voor mij dat t ip nog in gebruik is.
Als je meer weet over DDos weet je ook dat daders nooit te vinden zijn.
offtopic:
Ga jij dan maar lekker DDoS'en :Y)
Als je er zoveel verstand van hebt waarom ben je ons dan nodig :?.
En er staat met koeie letters in de log dat ie random keys berekend.. }:O

[ Voor 8% gewijzigd door SjOuKeS op 14-11-2004 20:18 ]


Verwijderd

Verwijderd schreef op zondag 14 november 2004 @ 19:16:
[...]

Als je meer weet over DDos weet je ook dat daders nooit te vinden zijn.
och... Dit topic geeft een goed idee waar te zoeken, niet?

Ik denk niet dat je je bij veel mensen hier geliefd maakt door met dingen als DDOS attacks te gaan dreigen omdat je toevallig ergens een IP adres in bent tegengekomen, en eigenlijk geen idee hebt hoe en wat. Er zit nogal een historie aan, en degenen wiens IP jij daar hebt staan bleek er in het geheel niets mee te maken te hebben.

Maar goed, laten we die client van je PC halen, en het daarbij laten.

Kijk in je services-lijst naar distributed.net client, en verander de opstart naar "uitgeschakeld". Stop tevens de service.
De client kan nu gewoon verwijderd worden.

Je kan alle files zichtbaar maken door in een command prompt ff het volgende vanuit de root directory te tikken:

attrib -r -s -h *.* /s /d

  • Pim.
  • Registratie: Mei 2001
  • Laatst online: 16-08-2025

Pim.

Aut viam inveniam, aut faciam

Maar waarom onder DoS werken ??, windows is toch makkeijker (of linux) ???

"The trouble with quotes from the Internet is that you can never know if they are genuine." - Elvis Presley | Niet met me eens ? DM ME


Verwijderd

Topicstarter
BwO schreef op zondag 14 november 2004 @ 19:55:
[...]


[Nov 08 21:39:03 UTC] Loaded RC5 random 1*2^28 packet FD285416:E0000000
Als ie random pakketjes doet dan heeft hij dus geen werk binnengekregen via dat IP en dat kan ook niet want RC5-64 is allang afgelopen. Ik zou gewoon de client verwijderen en gewoon verder boincen. Vooral omdat het zo out-dated is.
Dat heb ik ondertussen al gedaan, dat Ddos verhaal was om floppus te plagen >:)
Nu ik toch jullie aandacht heb: dpc wordt binnen enkele dagen de top 25 uitgezet door een groepje italianen laten jullie dat gebeuren of zijn er hulptroepen onderweg?

  • BwO
  • Registratie: Juni 2002
  • Laatst online: 12-02 07:57

BwO

Up The Irons!

Dat laten we gebeuren :P (ik spreek voor m'n subteam dan)

<<Team BSD>> #22 OGR-24 - #12 OGR-25


  • Witlof
  • Registratie: Mei 2000
  • Laatst online: 03:23
Dit is wel een hele oude koe die uit de sloot gehaald wordt :+

Maar uhm, het is dus een oude client die ooit verspreid is. Het is voor het RC5-64 project en flushed naar een IP-adres waar lang geleden een proxy draaide. Dit adres is allang niet meer ingebruik door iemand van ons team dus van mij mag je er mee doen wat je wilt ;)

Denk dat er verder niet veel meer over gezegd hoeft te worden want Floppus heeft alles al uitgelegd. Jammer dat deze trojan weer opduikt :(

  • DSmarty
  • Registratie: Februari 2000
  • Niet online
Gaat inmiddels nergens meer over.
Pagina: 1

Dit topic is gesloten.