Spam Blog Problem! Ich sende ohne etwas zu machen einen Spam Blog aus...

[talshiar1975]

Hallo!

Ich suche schon seit 3 Wochen. Ich verwende Phoenix Firestorm v4.3.1.31155 auch mit v 4.4 wurde nichts anders.
Mein Account sendet ohne meines Wissens einen Spam Blog aus.
-Vorerst dachte ich an einen Virus und habe die Festplatte formatiert - keine Änderung.
-Ich habe RLVa deaktiviert - nichts besser geworden.
-Nun versuche ich jedes Teil, das ich trage mal nicht zu verwenden, um herauszufinden, was die Ursache ist - bisher ohne Erfolg.

Der Spam Blog sendet diese Nachricht aus:
Hi there, Good day!  ywierc.com   would be your most trustful buddies in electronic area. Professional with lower cost and higher quality. Do not hesitate to take action! Shopping with more satisfactory and surprises. Sincerely!

Es geht an Gruppen und auch an Privatpersonen, mit den ich Kontakt hatte.

Kennt das Problem schon wer?

[Holger Gilruth]

Das muss etwas sein was du trägst. Auch wenn du sagst nein ich trage nix es geht nicht anders

[Darkie Minotaur]

Du meinst, Nachrichten werden per IM geschickt? Oder auf anderem Wege?

[talshiar1975]

Es sind IM Nachrichten.

Ich habe nun alle Objekte, die ich trage Skripte gecheckt. Die LSL-Brigde bringe ich nicht weg. Pakete die Skripts enthalten habe zurueckgesetzt, bzw. Dinge die ich in 'Boxen' gepackt habe von dort wiederhergestellt und die alten zuvor geloescht.

Leider habe ich heute wieder eine Beschwerde erhalten. Das Spam ging trotzdem wieder raus.

[Darkie Minotaur]

Also keine Gruppen Nachrichten - in diesm Falle waere das Problem gravierend gewesen.

Das Objekt muss nicht eines sein, das du trägst - aber es scheint dir zu gehoeren. Wenn es immer wieder die selben Leute sind, die die Nachrichten erhalten, dann bitte sie, beim nächsten mal den Namen des Objects im Chatfenster anzuklicken - dann wird angezeigt, wo sich das Objekt befindet.

[talshiar1975]

Welches Objekt soll der anklicken? Er bekommt von mir das als IM:

talli1 (talshiar1975): Hi there, Good day!  ywierc.com   would be your most trustful buddies in electronic area. Professional with lower cost and higher quality. Do not hesitate to take action! Shopping with more satisfactory and surprises. Sincerely!

 

Da gibts sonst nichts. Bisher haben mir alle anderen Leute bestaetigt, dass ich das Objekt tragen muss, dass diesen Spam-Blog ausloest. Außerdem muessen diese Skripte enthalten. Diese habe ich jetzt auch gecheckt. Die Beschwerde wegen des Spam Blogs habe ich gestern wieder zweimal erhalten. Die Auswahl, was es sein kann wird jetzt schon sehr gering.

LSL-Bridge? - kann das das auch machen? Ansonsten habe ich jetzt nur noch Animation OV und Fuesse getragen, die Skripte enthalten. Kleidung nur Mesh, diese enthalten keine Skripte.

[Darkie Minotaur]

Wenn die IMs von deinem ava kommen, solltest du dich dringend an LL wenden. IMs von deinem ava koennen nicht durch ein ein script verdandt werden. Ein solches IM script klaeme dann immer von diesem Objekt, nicht von dir. In diesem Falle wäre es voellig egal, ob du das Objekt traegst.

RLV - das du ja auch schon deaktiviert hast - bietet m.W. nich die Funktionalität, IMs in fremdem Namen zu versenden, sondern (wie der Name sagt) Versand und Empfang einzuschraenken.

M.E. bleibt nur, dass sich jemand in irgendeiner Weise in deinen Account eingehackt hat. Also schnellstens an LL wenden - die werden deinen Account erstmal sperren, wuerde ich erwarten.

[talshiar1975]

Also ich habe jetzt schon mit vielen geredet, was versenden von IMs betrifft. Ich habe schon viele widerspruechliche Antworten bekommen. Deswegen habe ich mich auch an Personen gewandt, die selbst Kleidung, Schuhe usw verkaufen, die selbst Skripte schreiben. Weiters habe ich mit dem Firestorm Support Kontakt aufgenommen. Von diesen Leuten hat mir jetzt jeder bestaetigt, dass ich dieses Objekt, das das Skript enthaelt, tragen muss. Nur das infizierte Objet im Inventar zu haben reicht nicht! So wie ich das Second Life System verstehe, kann ich dem auch so folgen.

Mir wurde vom Firestorm Support empfohlen RLVa zu deaktivieren. Deswegen habe ich das auch gemacht. Geholfen hat es nichts. Hier liegst du wahrscheinlich auch richtig, das das nur zum Einschraenken ist.

Fuer mein Account habe ich schon mehrmals das Password geaendert. Nicht nur irgendeins, sonderm mit Sonderzeichen, Groß- und Kleinbuchstaben und Ziffern. Weiters wuerde ich die Verbindung verlieren, wenn ich eingeloggt waere und der Hacker sich einloggt. Aber die IMs werden ausschließlich versendet, wenn ich eingeloggt bin.

Mein Account zu sperren ist nur contraproduktiv. Ich moechte das Problem loesen, nicht mich selbst aussperren und alle Sachen zu verlieren, die ich gekauft habe. Denn auf ein zweites Account kann man ja in SL nichts uebertragen. Wenn ich es koennte droht wieder, dass ich das infizierte Objekt wieder mitnehme. Also das ist die schlechteste Idee, die ich gehoert habe.

Ich hoffe nun das Problem bald eingegraenzt zu haben, die Fuesse enthalten ein Skript, das ich seit gestern Abend verdaechtige. Sollte es das sein, wird der Spam Blog nicht wieder auftreten.

[Darkie Minotaur]

Der Punkt ist: Ein Skript kann nur IMs mit dem Absender des Objekts verschicken, in dem es ist. Auch als Attachment. Natuerlich kann dieses Objekt den Namen des Avas uebernehmen - es ist aber immer das Objekt, das die IM schickt - daher mein Tipp mit dem Klick auf den Namen.

Wenn es kein Objekt ist, das die IMs schickt, sondern wirklich dein Ava, dann ist es ein Hack, der nach meinem Wissen nicht per Skript erreichbar ist. Daher auch die Vermutung des Firestorm Supports - RLV ist schließlich eine Modifikation des Viewers, und nicht einfach etwas geskriptetes.

[talshiar1975]

Ich habe heute zum 5ten Mal in 4 Wochen das Password geaendert.

Ausserdem eine neue Firewall installiert. Wenn es ein Hack ist, hoffe ich es auf diese Art und Weise herauszufinden.

Uebrigens die Fuesse waren es nicht, das Spam Mail ist vor der Passwordaenderung wieder rausgegangen. Ich habe heue eine neue Beschwerde erhalten.

[talshiar1975]

Mir wurde gesagt, dass es Tools gibt, mit dem der reale Name ueberschrieben wird und unter anderen Namen Spams ausgeschickt wird. Nur bestätigen kann ich das nicht, da ich mich mit sowas nicht beschäftige.

[Rhonda Pinion]

Den Bridge kannst Du (leider kann ich nur den englischen Pfad angeben...) unter "Avatar" "Avatar Health" "Recreate LSL Bridge" erneuern lassen in Firestorm.

[talshiar1975]

Ich habe nun eine andere Firewall installiert. Natuerlich habe ich wieder alles durchgescannt mit Virenscanner und Antispamware.

Weiters habe ich ein temporaeres Account eingerichtet, dass mein primaeres Account auf Logins ueberwacht. Ich konnte bisher keine illegalen Aktivitaeten feststellen.

Trotzdem wird von meinem Account weiterhin der Spam-Blog gesendet. Mir ist weiterhin nicht klar, wo diese Nachricht herkommt. Ich habe nun einen Missbrauchfall an Linden Lab gesendet. Mal sehen, ob mir die helfen koennen.

[Darkie Minotaur]

Also nochmal zum Zusammenfassen:

1. Wenn es ein script ist, muss es nicht in einem Attachment sein, sondern es kann an jedem beliebigen Ort sein.
2. Ein Script kann dem Objekt in dem es liegt, einen beliebigen Namen geben - das wird oft genutzt
3. IMs von avas und Objecten (d.h. Scripten) lassen sich leicht unterscheiden:

• erstere oeffnen im Normalfall ein IM Fenster - letztere nicht, denn man kann ihnen keine IM zurueckschicken
• wenn man auf einen Namen klickt, der vor der IM steht, erhält man bei IMs von Scripten den Ort angezeigt, an dem das Objekt ist, das das Script enthält. Bei avataren bekommt man eine Auswahl von avatar-spezifischen Optionen (z.B. Profil anzeigen)

Es lässt sich also leicht festellen, ob ein Script die Quelle ist, oder ob der Ava manipuliert ist.

Im Falle des Scripts, ist das ärgerlich, aber weiter nicht schlimm. Im Falle der Manipulation des Avas ist das anders - wenn du sicher bist, dass es kein Script ist, wuerde ich den Account sperren lassen und den Rechner neu installieren. Eine 'Firewall' (dieser Begriff besagt herzlich wenig) hilft nur dann wirklich, wenn man versteht, gegen was genau sie schuetzen soll. Zumal muss die Manipulation nicht auf deinem Rechner passieren - die Wahrscheinlichkeit ist jedoch hoch.

[talshiar1975]

Also sobald ich mich auf Informationen anderer verlassen muss, ist die Wahrscheinlichkeit gering, eine vernuenftige Information zu bekommen. Gerade heute konnte mir dieser nicht mal sagen, wann er diese Nachricht bekommen hat.

Also wie oft soll ich meinen PC noch formatieren? Kein Virenscanner oder Antimaleware Programm findet etwas. Skripte habe ich schon alle ausgeschlossen. Die Firewall fragt jede einzelne Aktivitaet ab, was ich mache. Ich kann bei mir wirklich nicht mehr mehr machen.

Ich habe noch einen Ratschlag bekommen, ich soll den Firestorm nicht mehr verwenden. Das Password aendere ich jetzt jeden Tag. Das hat wohl auch keinen Sinn mehr. Am besten wird wohl sein mich von Second Life zu verabschieden.

[Nova Convair]

Die Firewall ist belanglos da sie mit Inworld IMs nichts zu tun hat und im Falle das der Viewer beteiligt ist, dieser ja logischerweise eh erlaubt ist.

Du sagst du schließt Skripte aus. Das glaube ich dir aber nicht, das du dazu in der Lage bist. Du kannst sie ausschliessen indem du keine traegst, also weg mit den Attachments und Huds und trage konventionelle Klamotten. Die Firestorm Bridge kann man abschalten und dann auch ablegen. Script count 0 - sonst kannst du gar nichts ausschliessen.

Das Objekt kann auch irgendwo gerezzt sein. Ohne Hinweise wird das nicht so einfach zu finden sein, es sei denn einer der Empfaenger gibt mal ein paar Infos raus.

Apropos Empfaenger: ein Script hat keinen Zugriff auf deine Freudes Liste, also wie kommt die Auswahl zustande? Koennen ja nur Leute sein, die entweder dich besucht haben oder die du besucht hast und vom Script gescannt wurden.

Zum Viewer: deinstallieren und alle Verzeichnisse manuell loeschen (wie bei einem clean install)
Jetzt den Linden Viewer herunterladen und installieren. Sollte das Problem immer noch da sein ist es nicht der Viewer. Denn ein Trojaner der im System ist und sich nachtraeglich in den Viewer einklingt um IM's zu versenden ... vergiss es - viel zu geringe Wahrscheinlichkeit.

 

[talshiar1975]

Nochmals zu den Skripts. >>ich glaube nicht, dass du dazu in der Lage bist<<
Ich habe alles abgelegt, die LSL Bridge deaktiviert, kein Skript lief mehr. Haare, Shape und Haut haben bei mir keine Skripts. Ich bin alles durchgegangen, was ich trug - nichts zu finden. Alle Klamotten, die ich habe sind mesh und haben auch keine Skripts.

Viewer habe ich schon mehrere probiert. Egal was ich mache, es aendert sich nichts. Der Spam Blog sendet munter weiter. Hauptsaechlich an die Leader einer Gruppe, die ich habe.

Heute ist der Spam Blog wieder rausgegangen, als ich garnicht online war. Password aendere ich jeden Tag. Den Support von Linden Lab habe ich jetzt das zweite Mal einen Bericht geschickt, leider keine Reaktion. So wie es jetzt aussieht, werde ich mich von Second Life abmelden. So macht es keinen Spaß mehr.

[Nova Convair]

In diesem Falle bleibt nur noch ein Inworld Object welches den Spam versendet.

Ueber Build / Pathfinding / Linksets kannst du alle Objekte einer Sim sehen. Wenn du einen Namen hast sollte das Objekt leicht zu finden sein. Es scheint ja in deinem Namen zu senden. Koennte natuerlich jede moegliche Sim sein. Die Empfaenger sollten vielleicht mal Daten herausgeben. Wenn sich jemand beschwert, ohne genau hinzusehen. Tja, dann muss er wohl weiter damit leben, kann ja dann nicht so schlimm sein.

Waere trotzdem zu ueberlegen, wie das Objekt an die Liste der Empfaenger kommen sollte. Das kannst nur du selbst beantworten, oder auch nicht.

 

[talshiar1975]

Welche Daten sollen meine Freunde herausgeben? Sie erhalten eine IM von mir, bzw. von dem/der/die/das mit dem Text und von mir als Absender. Was sollen die noch sagen? Da steht nicht mehr.

Also das mit dem Pathfind: Soll ich jetzt in jede der tausenden von Sims gehen und dort nach einem Objekt suchen, von denen ich kein Objekt kenne? Hoert sich ziemlich sinnlos an.

Linden Lab hat geantwortet. Ich habe ihnen geschrieben, dass ich etliche Mal bereits mein Password geaendert habe. Sie empfehlen mir mein Password zu aendern. Vielleicht hilft es ja beim 500.000sten Mal.

Alle Beitraege hier im Forum waren nicht zielfuehrend. Somit ziehe ich mich aus Second Life zurueck und loesche dieses Account. Ihr koennt weitere sinnlose Beitraege schreiben, ich werde es nicht mehr lesen.

[Holger Gilruth]

Nur weil du nicht kommunizieren und lesen kannst. Naja

Ich finds toll das du gehst.

Tschuessi

[Nova Convair]

*winkt zum Abschied* und tschuess