Namen aus meinem Rechner in meinen Spams???

Hi, hier wieder mal ich.
Ich stelle vermehrt fest, dass ich Spam auf mein Mailkonto bekomme, die mit Absendern versehen sind, deren Namen von meinem Rechner "stammen".
Also nicht Peter Müller oder Stefan Schmidt (nur Beispiele), sondern Namen, die ich teilweise privat auf meinem Rechner verwende oder die in meinen Sims vorkommen.

Beispiele:
Ich benenne in meinen Sims jemanden mit Namen Assrael (wieder nur Beispiel) und prompt kommt Tage später ne Spam-Mail mit diesem Namen als Absender.
Schicke ich jemandem ne Mail mit dem Namen Muggel, kommt tags drauf ne Spam-Mail mit so einem Namen...
Und es sind immer Namen, die ja nun wirklich nicht alltäglich sind...
Woran kann das bitte liegen?

Öhm, also ich habe
- IncrediMail (hole Mails nur über erweiterten Kontozugriff)
- Firefox und manchmal noch IE
- Antivir
- und Zone Alarm...

Aber hallo!
Als Fan hat man das Original, selbstverständlich!
Aber was hat das mit OfB zu tun?
Das Problem habe ich eigentlich schon länger. War auch auf meinem anderen Rechner so.
Und was soll ich jetzt machen?

So, kann dem Menschen mal jemand das Wasser reichen?
Ich habe tatsächlich auf der CD "Open For Business" einen Trojaner. Unglaublich.
Datei Name: F:\TSBin\TS2UPD.exe
Malware-Name: Win32:Keylog-AL [Trj]
Malware-Typ: Trojanisches Pferd
VPS Version: 0611-2, 17.03.2006

Der lässt sich natürlich nicht verschieben... Und nu?

Hatte beim Scannen der Platte noch den hier:
c:/WINDOWS\system32\smlpgcfg.dll\ [UPX] ist infiziert von win32: Trojano-3384 [Trj]

cygnusalfa: Mhm, und wie soll ich das machen? Das einzige, das ich evtl. machen könnte, wäre die CD ganz tief irgendwohin zu treten. :rollauge

@Powersurge: Wieso denn Panikmache? Ich kann hier nur posten, was mir der Scanner meldet. So clever bin ich nicht, mir das auszudenken, um hier Panik zu verbreiten.

Mich würde viel mehr interessieren, was mit diesem Keylog passieren kann oder nicht. Und ob sowas nur bei vereinzelten CDs passieren kann oder ob es dann serienmäßig vorkommen müsste.
Die anderen CDs (Grundspiel und AddOns) sind jedenfalls ohne Viren-Ergebnis gescannt.

Okay, sorry, es klang so.

Was mich ein bisschen stutzig macht: Warum hat AntiVir die Trojaner nicht gefunden, die auf der Platte waren?

Hab eben bei EA angerufen.
Also die versichern, dass die CDs sauber sind.
Evtl. ist dieser Avast so empfindlich eingestellt, dass der alles anmotzt, weswegen auch AntiVir das nicht gefunden hat, weil es so gefährlich gar nicht ist.
Dieser keylog dient angeblich nur dafür, falls man seine Registrierdaten vergisst oder verliert, die wieder zu bekommen.
Komisch dann aber wieder, dass auf den CDs vorher sowas nicht zu finden ist, wo man die doch auch alle registrieren konnte...
:nixweiss

Ich vertrau jetzt einfach mal dem, was der Mensch mir gesagt hat und hoffe, dass der Fehler woanders liegt/lag.

Im offiziellen Forum ist das Problem ebenfalls aufgetreten - aber scheinbar erst nach dem Avast-Patternupdate vom 17.03.

Es ist daher wahrscheinlich ein false positive.

Was die Sache mit dem Spam angeht... da empfehle ich eine Mailheader-Analyse um zu prüfen wo die Mails physikalisch herkommen und ob die Spams etwas gemeinsam haben.

Zitat von cygnusalfa

Aber evt haben die recht. habe heute mal die anderen Sims2 CD/DVDs gescannt. da wurde der trojaner auch in der update datei gefunden.

Es wäre lieb wenn ihr bei solchen Meldungen angebt welchen Virenscanner ihr installiert habt. Das Problem ist bisher einzig und allein bei Avast aufgetreten. Kein anderer Virenscanner meldet den Keylogger. Das deutet sehr stark auf ein false positive hin.

Zitat von cygnusalfa

Aber evt haben die recht. habe heute mal die anderen Sims2 CD/DVDs gescannt. da wurde der trojaner auch in der update datei gefunden.

Bei mir eben nicht, aber ich mach mich jetzt nicht nass deswegen. So lange keiner über meine Kreditkarte einkaufen geht, ist ja noch alles im grünen Bereich... :rollauge

@Jejerod: Danke für den Tipp mit der Mailheaderanalyse! => wie zu machen? Auch über ein Antivirusdingsbums?

octron: Danke. Aber dafür muss ich die Mails ja reinholen. Wie oben geschrieben, hol ich die über den Erweiterten Kontozugriff ab. Ich hatte ja keine Angst wegen Virenmails, sondern mich hat stutzig gemacht, warum die mit den gewissen Namen versehen waren/sind.
Ich hol mal ein paar ab. In der Hoffnung, dass die nicht verseucht sind. :hua

Wenn der Mailer nichts aus dem Internet nachladen darf (Bilder in HTML z.b.) und keine Anhänge automatisch öffnet kann man Mails als ungefährlich einstufen.

Eine Mailheaderanalyse lässt sich nicht automatisch machen, da muß man schon selber gucken bzw. jemand mit Sachverstand gucken lassen.

Mailheader sagen dir insbesondere welcher Rechner die Mail wirklich verschickt hat.

Return-Path: <eldacoop@wings.com>
Received: from MYMAILHOST ([unix socket])
     by MYMAILHOST (Cyrus v2.2.12) with LMTPA;
     Mon, 20 Mar 2006 18:46:49 +0100
X-Sieve: CMU Sieve 2.2
Received: from mail.netuse.de (nuki1.netuse.de [195.244.244.10])
     by MYMAILHOST (8.13.5/8.13.5) with ESMTP id k2KHkkZZ018780
     for <xxx@MYMAILHOST>; Mon, 20 Mar 2006 18:46:48 +0100
[b]Received: from wings.com (Dynamic-IP-6979140169.cable.net.co [69.79.140.169] (may be forged))
     by mail.netuse.de (8.12.10/8.12.10) with SMTP id k2KHXUTc016653
     for <xxx@MYMAILHOST>; Mon, 20 Mar 2006 18:33:30 +0100 (MET)[/b]
Message-ID: <000001c64c44$637559c0$545ca8c0@jhq25>
Reply-To: "Elda Coop" <eldacoop@wings.com>
From: "Elda Coop" <eldacoop@wings.com>
To: xxx@MYMAILHOST
Subject: Re: news
Date: Mon, 20 Mar 2006 12:33:23 -0500
MIME-Version: 1.0
Content-Type: multipart/alternative;
     boundary="----=_NextPart_000_0001_01C64C1A.7A9F51C0"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1106
X-Spam-Checker-Version: SpamAssassin 3.0.4 (2005-06-05) on MYMAILHOST
X-Spam-Level:
X-Spam-Status: No, score=0.0 required=3.5 tests=HTML_80_90,HTML_MESSAGE
     autolearn=failed version=3.0.4

Das sind die Header einer "aktuellen" Spammail von mir. Die Received: Zeilen beschreiben den Weg durch das Netz. Sie sind von Unten nach Oben zu lesen. Außer meinem Mailhost hat mein Provider sie empfangen, somit bleibt nur die fett markierte Zeile über - diese Beschreibt den Ursprung der Mail

Sie kommt offensichtlich von Dynamic-IP-6979140169.cable.net.co (69.79.140.169), der Rechner hat sich aber als wings.com ausgegeben. Ist offenbar eine dynamische IP, also schon fast garantiert unzuverlässig. .co ist Kolumbien, zufällig kenn ich dort niemanden
Angeblich wurde die Mail per Outlook verschickt.

Angaben in diesem Kopf können auch gefälscht sein, es kann also auch gefälschte Received: Zeilen geben. Da hier nur eine einzige nach Abzug "meiner" in Frage kommt muß diese aber stimmen.

Wäre halt nun interessant woher deine "merkwürdigen" Spams kommen - möglicherweise von immer derselben (oder ähnlichen) IP.

Soweit Jejerods kleiner Ausflug in die fantastische Welt der eMail