Namen aus meinem Rechner in meinen Spams???

  • Hi, hier wieder mal ich.
    Ich stelle vermehrt fest, dass ich Spam auf mein Mailkonto bekomme, die mit Absendern versehen sind, deren Namen von meinem Rechner "stammen".
    Also nicht Peter Müller oder Stefan Schmidt (nur Beispiele), sondern Namen, die ich teilweise privat auf meinem Rechner verwende oder die in meinen Sims vorkommen.


    Beispiele:
    Ich benenne in meinen Sims jemanden mit Namen Assrael (wieder nur Beispiel) und prompt kommt Tage später ne Spam-Mail mit diesem Namen als Absender.
    Schicke ich jemandem ne Mail mit dem Namen Muggel, kommt tags drauf ne Spam-Mail mit so einem Namen...
    Und es sind immer Namen, die ja nun wirklich nicht alltäglich sind...
    Woran kann das bitte liegen?

  • Klingt nach 'nem Trojaner, möglicherweise ein Keylogger (also ein Programm, das Deine Tastatureingaben mitliest und dann weiterverschickt). Laß mich raten - Du benutzt die unschlagbar sichere Kombination von Internet Explorer und Outlook Express ? Wie sieht's mit (brauchbarer) Firewall und (brauchbarem) Virenscanner aus ?

  • Öhm, also ich habe
    - IncrediMail (hole Mails nur über erweiterten Kontozugriff)
    - Firefox und manchmal noch IE
    - Antivir
    - und Zone Alarm...

  • hi also ich muss dir leider sagen, dass du einen keylogger auf deinem rechner hast.

    dieser ist in der TS2UPD.exe versteckt.
    also nichts mit explorer.....


    setzt du eine orginal cd version von "Open for Buissnes" ein oder hast du es dir nur gesaugt?

  • Aber hallo!
    Als Fan hat man das Original, selbstverständlich!
    Aber was hat das mit OfB zu tun?
    Das Problem habe ich eigentlich schon länger. War auch auf meinem anderen Rechner so. :(
    Und was soll ich jetzt machen?

  • also es gab auch bei "älteren" versionen infizierte datein.

    diese datein sind aber meines wissens nach bei heruntergeladenen versionen vorhanden gewesen.


    vom aktuellen addon kursieren gerade mindestens 2 verschiedene infizierte images.
    mich würde jetzt interessieren ob auf der orginalsoftware ebenfalls ein keylogger drauf ist, was ja bedeuten würde das EA kompromierte software verkauft.

    wenn du die möglichkeit hast mit AVAST die cd zu untersuchen und der keylogger ist da dann auch in der TS2up.exe sollte man EA evt darauf hinweisen.

    ich werde mir jetzt jedenfalls erstmal das update nicht kaufen, ehe ich weiss woher der trojaner kommt.

    ist schon des öfteren mal vorgekommen, das Softwwarefirmen viren mitausgeliefert haben.:(

  • So, kann dem Menschen mal jemand das Wasser reichen?
    Ich habe tatsächlich auf der CD "Open For Business" einen Trojaner. Unglaublich.
    Datei Name: F:\TSBin\TS2UPD.exe
    Malware-Name: Win32:Keylog-AL [Trj]
    Malware-Typ: Trojanisches Pferd
    VPS Version: 0611-2, 17.03.2006


    Der lässt sich natürlich nicht verschieben... Und nu?


    Hatte beim Scannen der Platte noch den hier:
    c:/WINDOWS\system32\smlpgcfg.dll\ [UPX] ist infiziert von win32: Trojano-3384 [Trj]

  • danke für das prüfen der datei.

    wie ich schon vermutet hatte ist der trojaner schon auf der orginalcd.
    da hilft nur EA ganz kräftig und tief in den ***** zu treten und evt. schadensersatz geltent machen.
    wie befürchtet haben die beim Release geschlampt und die Qualitätskontrolle vernachlässigt.

  • Mal immer schön mit der Ruhe.... Es ist nicht auszuschließen, daß EA da tatsächlich ein Fehler unterlaufen ist, aber für den Moment sieht mir das hier etwas nach Panikmache aus, zumal ich im Netz bisher keine weiteren Hinweise auf eine derartige Infektion habe finden können.

  • cygnusalfa: Mhm, und wie soll ich das machen? Das einzige, das ich evtl. machen könnte, wäre die CD ganz tief irgendwohin zu treten. :rollauge


    @Powersurge: Wieso denn Panikmache? Ich kann hier nur posten, was mir der Scanner meldet. So clever bin ich nicht, mir das auszudenken, um hier Panik zu verbreiten.


    Mich würde viel mehr interessieren, was mit diesem Keylog passieren kann oder nicht. Und ob sowas nur bei vereinzelten CDs passieren kann oder ob es dann serienmäßig vorkommen müsste.
    Die anderen CDs (Grundspiel und AddOns) sind jedenfalls ohne Viren-Ergebnis gescannt.

  • Zitat von Colleen

    Wieso denn Panikmache? Ich kann hier nur posten, was mir der Scanner meldet. So clever bin ich nicht, mir das auszudenken, um hier Panik zu verbreiten.

    Ich hab nicht Dich gemeint.

    Zitat

    Mich würde viel mehr interessieren, was mit diesem Keylog passieren kann oder nicht. Und ob sowas nur bei vereinzelten CDs passieren kann oder ob es dann serienmäßig vorkommen müsste.

    Alle CDs der selben Ausgabe eines Programms sind ziemlich sicher identisch; bei OFB dürfte das also ganz Europa betreffen.

  • Okay, sorry, es klang so.


    Was mich ein bisschen stutzig macht: Warum hat AntiVir die Trojaner nicht gefunden, die auf der Platte waren?

  • Hab eben bei EA angerufen.
    Also die versichern, dass die CDs sauber sind.
    Evtl. ist dieser Avast so empfindlich eingestellt, dass der alles anmotzt, weswegen auch AntiVir das nicht gefunden hat, weil es so gefährlich gar nicht ist.
    Dieser keylog dient angeblich nur dafür, falls man seine Registrierdaten vergisst oder verliert, die wieder zu bekommen.
    Komisch dann aber wieder, dass auf den CDs vorher sowas nicht zu finden ist, wo man die doch auch alle registrieren konnte...
    :nixweiss


    Ich vertrau jetzt einfach mal dem, was der Mensch mir gesagt hat und hoffe, dass der Fehler woanders liegt/lag.

  • Im offiziellen Forum ist das Problem ebenfalls aufgetreten - aber scheinbar erst nach dem Avast-Patternupdate vom 17.03.


    Es ist daher wahrscheinlich ein false positive.


    Was die Sache mit dem Spam angeht... da empfehle ich eine Mailheader-Analyse um zu prüfen wo die Mails physikalisch herkommen und ob die Spams etwas gemeinsam haben.

  • Aber evt haben die recht. habe heute mal die anderen Sims2 CD/DVDs gescannt. da wurde der trojaner auch in der update datei gefunden.

    merkwürdig ist es trozdem. was machen die wirklich mit den eingaben.
    wozu braucht es eine keylogger im update programm. da wird keine eingabe gemacht. das läuft nach der installation zum prüfen der vorherigen installation.also ich sehe da einigen aufklärungsbedarf seitens ea.


    ok will jatzt keine panik ausrufen :)
    wünsche nooch viel spass ohne wirkliche problem

  • Zitat von cygnusalfa

    Aber evt haben die recht. habe heute mal die anderen Sims2 CD/DVDs gescannt. da wurde der trojaner auch in der update datei gefunden.


    Es wäre lieb wenn ihr bei solchen Meldungen angebt welchen Virenscanner ihr installiert habt. Das Problem ist bisher einzig und allein bei Avast aufgetreten. Kein anderer Virenscanner meldet den Keylogger. Das deutet sehr stark auf ein false positive hin.

  • Zitat von cygnusalfa

    Aber evt haben die recht. habe heute mal die anderen Sims2 CD/DVDs gescannt. da wurde der trojaner auch in der update datei gefunden.


    Bei mir eben nicht, aber ich mach mich jetzt nicht nass deswegen. So lange keiner über meine Kreditkarte einkaufen geht, ist ja noch alles im grünen Bereich... :rollauge


    @Jejerod: Danke für den Tipp mit der Mailheaderanalyse! => wie zu machen? Auch über ein Antivirusdingsbums?

  • Da ich sehe, du hast den Incredi Mail, gehe wie folgt vor.


    Mailadresse die du überprüfen möchtest, als Beispiel Assrael@mail.de


    Gehe auf die Mailadresse, klicke rechts darauf --> Eigenschaften --> Einzelheiten
    Da steht dann alles.

  • octron: Danke. Aber dafür muss ich die Mails ja reinholen. Wie oben geschrieben, hol ich die über den Erweiterten Kontozugriff ab. Ich hatte ja keine Angst wegen Virenmails, sondern mich hat stutzig gemacht, warum die mit den gewissen Namen versehen waren/sind.
    Ich hol mal ein paar ab. In der Hoffnung, dass die nicht verseucht sind. :hua

  • Wenn der Mailer nichts aus dem Internet nachladen darf (Bilder in HTML z.b.) und keine Anhänge automatisch öffnet kann man Mails als ungefährlich einstufen.


    Eine Mailheaderanalyse lässt sich nicht automatisch machen, da muß man schon selber gucken bzw. jemand mit Sachverstand gucken lassen.


    Mailheader sagen dir insbesondere welcher Rechner die Mail wirklich verschickt hat.



    Das sind die Header einer "aktuellen" Spammail von mir. Die Received: Zeilen beschreiben den Weg durch das Netz. Sie sind von Unten nach Oben zu lesen. Außer meinem Mailhost hat mein Provider sie empfangen, somit bleibt nur die fett markierte Zeile über - diese Beschreibt den Ursprung der Mail


    Sie kommt offensichtlich von Dynamic-IP-6979140169.cable.net.co (69.79.140.169), der Rechner hat sich aber als wings.com ausgegeben. Ist offenbar eine dynamische IP, also schon fast garantiert unzuverlässig. .co ist Kolumbien, zufällig kenn ich dort niemanden ;)
    Angeblich wurde die Mail per Outlook verschickt.


    Angaben in diesem Kopf können auch gefälscht sein, es kann also auch gefälschte Received: Zeilen geben. Da hier nur eine einzige nach Abzug "meiner" in Frage kommt muß diese aber stimmen.


    Wäre halt nun interessant woher deine "merkwürdigen" Spams kommen - möglicherweise von immer derselben (oder ähnlichen) IP.


    Soweit Jejerods kleiner Ausflug in die fantastische Welt der eMail :D