Нелепая история. подстава друга.

[Gravit]

1. Правило "нарушенное" titen2 2.5
2. Мой ник Gravit. Ник забаненного titen2
3. Он был забанен Qexy
4.Начну с того, что я, titen2, denisandroid друзья.Прошу дочитать все до конца. Мы знакомы и дружим более 1года, titen2 доверяет мне написать эту заявку. Доказательство: http://joxi.ru/1A5Q6NzhyQzNAE
На скриншоте групповой чат между мной(Оби Ван Кеноби) titen2(Артем Разум) и denisandroid(Денис Котляров)
Вчера вечером(или уже ночью) после того как я ушел спать появился странный игрок с ником Derera. Он получил мут за какоето оскорбление. Он начал строить оскорбительную надпись, titen2 и denisandroid видели это. Оглашать надпись не буду, там есть мат. После чего Derera получил перманетный бан по правилу 2.5, за ним получил бан titen2. denisandroid решил написать заявку на разбан( ссылка ). Там ему ответили, что почта Derera это [email protected] . Titen2 был в растерености: эту почту он нигде не регистрировал, как он мог узнать ее, да еще и пароль к ней.

На скриншоте в заявку на разбан видно, что индентификатор железа у этих компьютеров одинаковый, одинаковый и Ip адрес. При попытке поговорить с Qexy через некоторое время разговора он сказал про правило 2.11 и разговор пришлось прекратить(не хочу я бана). После моего прихода titen2 denisandroid рассказали мне всю эту историю. Они показали мне видео https://yadi.sk/i/GsUb3nJhgGrrC (простите за размер) и http://www.icq.com/files/8cU7KLcTmKJYhPULhe0S3QDV4a2kiUjAJ
При этом ОБА игрока находились онлайн одновременно. Но сюрпризы не кончаются. Артем доверил мне подключится к его компьютеру и совершить удаленное управление через Team Viewer и поискать там чтото необычное. В папке Temp было обнаружено ровно 1000 файлов с названием by Derera.txt с размером 0 байт. Но что произошло сейчас это нечто. Был обнаружен ini файл by Dereralogwebkill.ini в котором содержвлась следующая информация:

Спойлер

kill GrandMine procces|Step 1
download killer.jar|Step 2
load key and login files|Step 3
load key map data|Step 4
Ftp>Вырезано is OK
Delete system files|Step 5
refresh mail keys|Step 5
mail port>Вырезано/
smtp.yandex.ru/
Imap POI3/
mail id 4356 is OK>
download informs>
OK|
04/27 14:42:04.312 [2228] cfg: sid: [S-1-5-19]
04/27 14:42:04.312 [2228] cfg: get_reg_value()
04/27 14:42:04.312 [2228] cfg: expand_env()
04/27 14:42:04.312 [2228] cfg: found LocalService
04/27 14:42:04.312 [2228] cfg: got config folder
04/27 14:42:04.312 [2228] cfg: config is already in the folder of LocalService
vk.com________server didn't respond_____>>>>
operation is Ok>
read>>НОМЕР СКРЫТ МНОЮ<<
read is OK
system restart---->svhost.ex
04/27 14:42:04.312 [2228] cfg: got config folder
04/27 14:42:04.312 [2228] cfg: config is already in the folder of LocalService
port:3322___>s3.grandmine.ru-->
connect is suported_>
download player list|Ok
Start___>>>serv/webkill.php

Я в недоумении. Ктото сделал вирус специально для Grand Mine, специально для titen2, и специально чтобы его подставить. ID компа одинаковые, значит человек либо знает как генерируется ID компа, либо запустил ланучер и джаву, не выводя на экран ни слова, ни окна, не подавая никаких признаков. Мне, как человеку более менее знающему, не представляется такое. Поиск вируса еще идет, пока безуспешно. Внимание всем игрокам! Остерегайтесь этого вируса! Прошу принять меры.

Обновление:
Вирус оказался куда более серьезным чем я ожидал
http://joxi.ru/a2XaPd3H5Vv1Ag
http://joxi.ru/LmGqNXET9nEKAl
Вирус зарегистрировался на странном сайте(сам)
Были обнаружены странные файлы, угнан вк.

 

[Cheat]

Воу воу воу.Вот это история! Прям Смертельные файлы какие-то. После этого вообще жутко стало:

kill GrandMine procces|Step 1
download killer.jar|Step 2
load key and login files|Step 3
load key map data|Step 4
Ftp>[Вырезано] is OK
Delete system files|Step 5

Надеюсь всё это правда и ваших друзей разбанят. Если они конечно не врут)
А так блин, какая загадочная история, вот бы расследование устроить

 

[Gravit]

Уже Файлик пополнился

Спойлер

kill GrandMine procces|Step 1
download killer.jar|Step 2
load key and login files|Step 3
load key map data|Step 4
Ftp>[Вырезано] is OK
Delete system files|Step 5
refresh mail keys|Step 5
mail port>[Вырезано]/
smtp.yandex.ru/
Imap POI3/
mail id [Вырезано] is OK>
download informs>
OK|
04/27 14:42:04.312 [2228] cfg: sid: [S-1-5-19]
04/27 14:42:04.312 [2228] cfg: get_reg_value()
04/27 14:42:04.312 [2228] cfg: expand_env()
04/27 14:42:04.312 [2228] cfg: found LocalService
04/27 14:42:04.312 [2228] cfg: got config folder
04/27 14:42:04.312 [2228] cfg: config is already in the folder of LocalService

Вирус завладел паролями от почты и зарегался на странном сайте

 

[sadness]

Думаю администрация всё проверит, и если есть какая-либо угроза для игроков и сервера, то постарается её устранить. Что по поводу твоего друга, то лично я была свидетелем этой ситуации, и вёл себя на сервере не лучшим образом, чем собственно и привлек к себе внимание. Назойливое поведение в чате в сторону модераторов, призывы к тому, чтобы модераторы исполняли свои обязанности, хотя они в этот момент этим и занимались, проверяли игрока и выписывали наказания. Твой друг весь чат зафлудил сообщениями типа " И это всё?" "Модераторы примите меры" "Он опять нарушает почему бездействуете", даже если и за 2.5 разбанят, я б на месте модераторов за 2.11 наказала

 

[Cheat]

Думаю администрация всё проверит, и если есть какая-либо угроза для игроков и сервера, то постарается её устранить. Что по поводу твоего друга, то лично я была свидетелем этой ситуации, и вёл себя на сервере не лучшим образом, чем собственно и привлек к себе внимание. Назойливое поведение в чате в сторону модераторов, призывы к тому, чтобы модераторы исполняли свои обязанности, хотя они в этот момент этим и занимались, проверяли игрока и выписывали наказания. Твой друг весь чат зафлудил сообщениями типа " И это всё?" "Модераторы примите меры" "Он опять нарушает почему бездействуете", даже если и за 2.5 разбанят, я б на месте модераторов за 2.11 наказала

Ну Саднесс((( Почему ты такая злая?

kill GrandMine procces|Step 1
download killer.jar|Step 2
load key and login files|Step 3
load key map data|Step 4
Ftp>[Вырезано] is OK
Delete system files|Step 5
refresh mail keys|Step 5
mail port>[Вырезано]/
smtp.yandex.ru/
Imap POI3/
mail id [Вырезано] is OK>
download informs>
OK|
04/27 14:42:04.312 [2228] cfg: sid: [S-1-5-19]
04/27 14:42:04.312 [2228] cfg: get_reg_value()
04/27 14:42:04.312 [2228] cfg: expand_env()
04/27 14:42:04.312 [2228] cfg: found LocalService
04/27 14:42:04.312 [2228] cfg: got config folder
04/27 14:42:04.312 [2228] cfg: config is already in the folder of LocalService

А я думал это простой батник.

 

[Gravit]

Это ужас
http://joxi.ru/a2XaPd3H5Vv1Ag
http://joxi.ru/LmGqNXET9nEKAl

Сообщение автоматически объединено: 27 Апр 2015

" И это всё?" "Модераторы примите меры" "Он опять нарушает почему бездействуете"

Кто это сделал? Почему мне об этом не сказал?

 

[sadness]

Это ужас
http://joxi.ru/a2XaPd3H5Vv1Ag
http://joxi.ru/LmGqNXET9nEKAl

Сообщение автоматически объединено: 27 Апр 2015

Кто это сделал? Почему мне об этом не сказал?

Грав, не превращай собственную тему во флудилку Дополнительные "улики" добавляй в первое сообщение и не задавай риторических вопросов

 

[Jet_Fire]

Грав, не превращай собственную тему во флудилку Дополнительные "улики" добавляй в первое сообщение и не задавай риторических вопросов

Чтобы предотвратить проблему нужно попробывать в антивирусе поставить галочку в "особо опасных условиях"
Такая система блочит фактически все и в этот момент провести проверку пк

 

[Gravit]

Будет разбан?
P.S> Если бы я попал в такую ситуацию, совершенно безпричинно(по вине вируса) потерять любимый гранд майн, почту, вк, то долго бы не мог простить это.

 

[Qexy]

Понравилось, как игрок titen2 пишет только в тот момент, когда derera не шевелится и наоборот, когда derera двигается, titen2 молчит.
Еще интересней, это то, что написано под спойлером в "типа" ini файле.
s3.grandmine.ru - это что вообще?))) Такого сервера у Grand-Mine'а нет вовсе.

Давайте сюда все эти ваши "вирусы", js, jar, dll, exe, будем вместе упарываться.
И еще лучше доступ к team viewer (в лс).

 

[Black_CoFFe]

Ахахах 2 компа что ли?
titen2 бегал, с одного компа к другому, играл Ахахаха лоол

 

[Dimazil2004]

Ахахах 2 компа что ли?
titen2 бегал, с одного компа к другому, играл Ахахаха лоол

Может друзья близкие?

 

[Jet_Fire]

Может друзья близкие?

Вполне

 

[Gravit]

Как раз наоборот
Derera На одном из скриншотов ходит, а titen2 летает над ним в нано кирасе(Он в причине бана Derera)Вот скриншот(кстати из бан листа) http://ssmaker.ru/fd6cd144/
И если бы он играл с 2 разных компов, то ID железа былобы разным.
Причина одинаковых номеров компа теперь понятна, из за бага ланучера Id Не обновился после кражи пароля.
Предпологаю что вирус не умеет работать с знаком "-". Я пишу только то, что видел своими глазами, на скриншотах и видео, в экране Team Viewer. Файлы остались, но я не могу их выложить в публичный доступ. Увы доступ по Team Viewer дать не могу, Titen2 переустановил виндовс, несмотря на то что я просил не делать этого. Он живет в Белоруссии и я не имею возможности приехать к нему. Ах да, он не может пополнить счет. Виновник найден, некий процесс, маскирующийся под svchost.exe и svchost.ex (не exe)

 

[Dimazil2004]

Как раз наоборот
Derera На одном из скриншотов ходит, а titen2 летает над ним в нано кирасе(Он в причине бана Derera)Вот скриншот(кстати из бан листа) http://ssmaker.ru/fd6cd144/
И если бы он играл с 2 разных компов, то ID железа былобы разным.
Причина одинаковых номеров компа теперь понятна, из за бага ланучера Id Не обновился после кражи пароля.
Предпологаю что вирус не умеет работать с знаком "-". Я пишу только то, что видел своими глазами, на скриншотах и видео, в экране Team Viewer. Файлы остались, но я не могу их выложить в публичный доступ. Увы доступ по Team Viewer дать не могу, Titen2 переустановил виндовс, несмотря на то что я просил не делать этого. Он живет в Белоруссии и я не имею возможности приехать к нему. Ах да, он не может пополнить счет. Виновник найден, некий процесс, маскирующийся под svchost.exe и svchost.ex (не exe)

Классное расследование!!