Viren, Spyware, Datenschutz 11.212 Themen, 94.154 Beiträge

Verfolgung starten Optionen

Der Hammer: Virus-Telefonanruf von Windows / Ammyy

-frank- / 12 Antworten / Flachansicht Nickles

Ich glaube es nicht!

Eben rief jemand an, bei dem bei mir nur die Telefonnummer "000000000000" im Display erschien. Er sprach English und es hörte sich so an wie ein Inder/Pakistani.

Er behauptete von Windows zu sein und dass mein PC mit einem Virus infiziert sei und dass dieser Virus meine Daten nach außerhalb sende und Microsoft darauf aufmerksam wurde, weil mein PC beim Hochfahren immer eine Menge Fehlermeldungen an Windows schicke. Mir war gleich klar, dass ich nicht sicher sein konnte, dass derjenige tatsächlich von Microsoft sei und Vorsicht geboten war. Aber ich hörte dennoch zu und schildere hier mal den Verlauf des Telefonats.

"Vertrauen schaffen"
--------------------------
Der Anrufer (woher er auch immer meine Telefonnummer hatte!), gab mir die "CLS-ID" meines PC (00x001xx1x011), wobei ich hier im Forum die Zahlen durch 1 und die Buchstaben durch x ersetzt habe, um mir zu beweisen, dass er wirklich von meinem PC rede.
Er sagte mir, dass ich durch Drücken von Windowstaste+R einen Befehl eintippen könne.
cmd -> OK "DOS"-Fenster erscheint
assoc (vorher habe ich mit help assoc überprüft, was es tun soll) -> OK
In der drittletzten Zeile konnte ich tatsächliche die CLS-ID lesen, die mir der Anrufer gegeben hatte: 
ZFSendToTarget=CLSID\{111xxx11-xx0x-xx0x-11xx-1x0x-00x001xx1x011}

"Virus nachweisen"
-------------------------
Dann sagte er, ich solle "eventvwr" eintippen und ich würde auf der rechten Seite Warnungen und Fehler sehen - ja OK...
Dann sagte er, ich solle mal versuchen, diese Meldungen zu löschen (entweder Keyboard "Löschen" - oder Mausrechtsklick und "löschen". Auf meine Antwort hin, dass das nicht ginge, behauptete er, dass das der Beweis sei, dass mein PC infiziert sein und meine Firewall und mein Antivirus nicht funktionieren würden.

"Remotezugriff zu seinem Server herstellen"
----------------------------------------------------------
Danach empfahl er, Remotezugriff zu seinem Server herzustellen, damit er (Microsoft) das Problem auf meinem PC analysieren könne. Er bat mich bei meinem Browser www.ammyy.com  einzugeben-> OK
Aha: Remote-Software. 
Dass ich an diesem Punkt nicht mehr weitermachte, versteht sich von selbst. Aber er versuchte, meine Bedenken zu zerstreuen:
1) "Wenn Sie glauben, dass wir mit der Remotesoftware etwas Unerwünschtes tun, können Sie einfach währenddessen Ihren PC ausschalten, dann ist es sofort abgebrochen und Sie sind geschützt"...
2) Auf die Frage, wie er sich denn als Microsoft identifizieren könne, sagte er, dass er mir eine Telefonnummer geben könne - aber erst nach Aufbau der Remoteverbindung, weil sonst zu viele Leute bei der Nummer anrufen würden...
Da wir auf diese Weise nicht weiterkamen, beendeten wir das Gespräch nach 21 Minuten :-)

Zwei kleine "Fehler" machte er meiner Meinung nach:
(1) Er fragte, ob ich XP oder Vista benutze - das müsste Microsoft ja eigentlich wissen...
(2) Er behauptete, der Befehl mit dem ich meine CLS-Nummer ausgelesen habe (er meinte wohl eventvwr) sei speziell für meinen PC - das glaube ich ja nun gar nicht
(3) Er behauptete, dass meine CLS-Nummer nur mir als Besitzer und dem Hersteller des PC bekannt sei (das hätte ja sinnvoll überhaupt nur heißen können, nur "Microsoft" bekannt).


Das nur als Dokumentation für andere. Jetzt habe ich mehrere Fragen:


1) Ist die CLS-ID eindeutig für einen PC oder hat er mir eine Nummer gegeben, die sowieso auf allen PC gleich ist?
2) Wenn CLS-ID eindeutig ist: Wie kann er an die Kombination CLS-ID+Tel-Nummer gekommen sein? Nur über einen Mini-Virus auf meinem PC -  oder auch anders?
3) Ist es nicht normal, dass man bei eventvwr die Warnungen und Fehler nicht einzeln löschen kann?
4) Wie kann ich sicher sein, momentan nicht doch irgendeinen Virus auf meinem PC zu haben? Ich nutze Avast und der meckert nicht - allerdings machen sowohl IE als auch Mozilla Ärger und lenken immer auf irgendwelche Werbewebsites. Nur Google-Chrome funktioniert noch sauber... ich hatte eh schon überlegt, diesen PC neu aufzusetzen, so wie ich vor zwei Wochen mit einem anderen PC gemacht hatte, der auch Probleme hatte. Ich habe nur wenig Lust, die ganze Software wieder zu installieren, deshalb schiebe ich es immer wieder vor mir hin...

Hier wird schon davor gewart - aber es mitzuerleben ist etwas anderes:
http://antivirus.about.com/b/2010/12/08/ammy-com-scam.htm


bei Antwort benachrichtigen
1. CLS-ID... Wiesner
Vielen Dank, Wiesner. Meine CLS-ID ist nicht dabei, d.h. die... -frank-
Andreas42 -frank- „Der Hammer: Virus-Telefonanruf von Windows / Ammyy“
Optionen

Hi!

Das ist eine neue Form der Telefonabzocke, nur um das noch einmal zu betonen.

Die Abkürzung CLSID bedeutet "Class-ID" (deutsch etwa Objektklassen-Kennzeichnung). Die Spammer behauten ja das S stehe für Security, aber das ist Lötzinn.

Die Class-ID hat eine Bedeutung auf der Ebene der Programmierung und Laufzeitverwaltung von Programmkomponenten in Windows. Wenn man eine neue Komponente Programmiert, dann bekommt diese eine neue Class-ID, damit die Komponenente eindeutig idenzifiziert werden kann. Kopiere ich das teil dann auf verschiedene Rechner, dann hat es dort aber immer die selbe Class-ID.

Das kann man mit den EAN-Codes auf den ganzen Verpackungen im nächsten Supermarkt vergleichen: jedes Produkt bekommt eine neue EAN-Nummer. Wenn das Produkt dann bei Lidl, Real oder in der nächsten Tankstelle im Regal steht, hat es immer die selbe EAN-Nummer.

Zurück zum Telefonspam:

Die Class-ID die dort mit ASSOC angezeigt wird, dürfte immer gleich sein. genau weiß ich das aber auch nicht.
Was ASSOC anzeigt, ist ja, welche Dateitypen mit welchem Programm verknüpft sind. Zusätzlich gibt es da noch Pseudoeinträge und zwar u.a. einen der irgendwas mit der "Senden an"-Einstellung zu tun hat. Da ist dann als Programm kein Name, sondern eine Class-ID angeben. Ich schätze jetzt einfach mal, dass das die Kennung eines Programmteils von Outlook oder Windows ist, dass den Mailversand abwickelt.

Jetzt hab ich doch noch etwas weiter gesucht.

Bei mir ist die eingetragene Class-ID gehört offenbar zu WinZIP. Es muss um die Zippen und Mailsenden-Funktion gehen, die man im Kontextmenü des Explorers findet, wenn man auf Dateien mit der rechten Maustaste klickt.

Bis dann
Andreas

Bitte bei der Ueberweisung im Betreff "Loeschen fuer Kohle" und den Beitrag angeben. Knausern hilft nicht!
bei Antwort benachrichtigen
Danke, Andreas, dann bleibt nur die Frage, wieso er so sicher... -frank-
Hi! Ich bin zwar jetzt an meinem Mint-Rechner, aber als ich... Andreas42
Darum ging es dem Herrn. Recht dreist, wie ich meine. gelöscht_305164
Es gibt tausende CLSIDs und er hat sich eine gegriffen, von... IRON67
Hi - vielen Dank fpr die Antworten! Aber: Wie werde ich den... -frank-
HijackThis ist veraltet und ungenau und obendrein nicht sehr... IRON67
auf der Webseite von HiJackThis kannst du entweder dein... bechri
Danke, Berchi - die Auswertung dort zeigt nichts... -frank-
Falls du meine Antwort überlesen hast: HJT ist veraltet und... IRON67