Viren, Spyware, Datenschutz 11.213 Themen, 94.186 Beiträge

Der Hammer: Virus-Telefonanruf von Windows / Ammyy

-frank- / 12 Antworten / Flachansicht Nickles

Ich glaube es nicht!

Eben rief jemand an, bei dem bei mir nur die Telefonnummer "000000000000" im Display erschien. Er sprach English und es hörte sich so an wie ein Inder/Pakistani.

Er behauptete von Windows zu sein und dass mein PC mit einem Virus infiziert sei und dass dieser Virus meine Daten nach außerhalb sende und Microsoft darauf aufmerksam wurde, weil mein PC beim Hochfahren immer eine Menge Fehlermeldungen an Windows schicke. Mir war gleich klar, dass ich nicht sicher sein konnte, dass derjenige tatsächlich von Microsoft sei und Vorsicht geboten war. Aber ich hörte dennoch zu und schildere hier mal den Verlauf des Telefonats.

"Vertrauen schaffen"
--------------------------
Der Anrufer (woher er auch immer meine Telefonnummer hatte!), gab mir die "CLS-ID" meines PC (00x001xx1x011), wobei ich hier im Forum die Zahlen durch 1 und die Buchstaben durch x ersetzt habe, um mir zu beweisen, dass er wirklich von meinem PC rede.
Er sagte mir, dass ich durch Drücken von Windowstaste+R einen Befehl eintippen könne.
cmd -> OK "DOS"-Fenster erscheint
assoc (vorher habe ich mit help assoc überprüft, was es tun soll) -> OK
In der drittletzten Zeile konnte ich tatsächliche die CLS-ID lesen, die mir der Anrufer gegeben hatte: 
ZFSendToTarget=CLSID\{111xxx11-xx0x-xx0x-11xx-1x0x-00x001xx1x011}

"Virus nachweisen"
-------------------------
Dann sagte er, ich solle "eventvwr" eintippen und ich würde auf der rechten Seite Warnungen und Fehler sehen - ja OK...
Dann sagte er, ich solle mal versuchen, diese Meldungen zu löschen (entweder Keyboard "Löschen" - oder Mausrechtsklick und "löschen". Auf meine Antwort hin, dass das nicht ginge, behauptete er, dass das der Beweis sei, dass mein PC infiziert sein und meine Firewall und mein Antivirus nicht funktionieren würden.

"Remotezugriff zu seinem Server herstellen"
----------------------------------------------------------
Danach empfahl er, Remotezugriff zu seinem Server herzustellen, damit er (Microsoft) das Problem auf meinem PC analysieren könne. Er bat mich bei meinem Browser www.ammyy.com  einzugeben-> OK
Aha: Remote-Software. 
Dass ich an diesem Punkt nicht mehr weitermachte, versteht sich von selbst. Aber er versuchte, meine Bedenken zu zerstreuen:
1) "Wenn Sie glauben, dass wir mit der Remotesoftware etwas Unerwünschtes tun, können Sie einfach währenddessen Ihren PC ausschalten, dann ist es sofort abgebrochen und Sie sind geschützt"...
2) Auf die Frage, wie er sich denn als Microsoft identifizieren könne, sagte er, dass er mir eine Telefonnummer geben könne - aber erst nach Aufbau der Remoteverbindung, weil sonst zu viele Leute bei der Nummer anrufen würden...
Da wir auf diese Weise nicht weiterkamen, beendeten wir das Gespräch nach 21 Minuten :-)

Zwei kleine "Fehler" machte er meiner Meinung nach:
(1) Er fragte, ob ich XP oder Vista benutze - das müsste Microsoft ja eigentlich wissen...
(2) Er behauptete, der Befehl mit dem ich meine CLS-Nummer ausgelesen habe (er meinte wohl eventvwr) sei speziell für meinen PC - das glaube ich ja nun gar nicht
(3) Er behauptete, dass meine CLS-Nummer nur mir als Besitzer und dem Hersteller des PC bekannt sei (das hätte ja sinnvoll überhaupt nur heißen können, nur "Microsoft" bekannt).


Das nur als Dokumentation für andere. Jetzt habe ich mehrere Fragen:


1) Ist die CLS-ID eindeutig für einen PC oder hat er mir eine Nummer gegeben, die sowieso auf allen PC gleich ist?
2) Wenn CLS-ID eindeutig ist: Wie kann er an die Kombination CLS-ID+Tel-Nummer gekommen sein? Nur über einen Mini-Virus auf meinem PC -  oder auch anders?
3) Ist es nicht normal, dass man bei eventvwr die Warnungen und Fehler nicht einzeln löschen kann?
4) Wie kann ich sicher sein, momentan nicht doch irgendeinen Virus auf meinem PC zu haben? Ich nutze Avast und der meckert nicht - allerdings machen sowohl IE als auch Mozilla Ärger und lenken immer auf irgendwelche Werbewebsites. Nur Google-Chrome funktioniert noch sauber... ich hatte eh schon überlegt, diesen PC neu aufzusetzen, so wie ich vor zwei Wochen mit einem anderen PC gemacht hatte, der auch Probleme hatte. Ich habe nur wenig Lust, die ganze Software wieder zu installieren, deshalb schiebe ich es immer wieder vor mir hin...

Hier wird schon davor gewart - aber es mitzuerleben ist etwas anderes:
http://antivirus.about.com/b/2010/12/08/ammy-com-scam.htm


bei Antwort benachrichtigen
1. CLS-ID... Wiesner
IRON67 -frank- „Hi - vielen Dank fpr die Antworten! Aber: Wie werde ich den...“
Optionen

HijackThis ist veraltet und ungenau und obendrein nicht sehr aussagekräftig. O.T.L. by Oldtimer ist wesentlich umfangreicher. Kannst mir gerne die bei einem Filehoster hochgeladenen Textdateien OTL.txt und Extras.txt nach einem Quickscan per PN als Verlinkungen zukommen lassen und ich schau mir an, was so läuft auf deiner Kiste.

Wenn du den Hijacker per Software entfernen willst (aber bitte erst nach OTL), kannst du es ja mal mit AdwCleaner versuchen.

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen