Viren, Spyware, Datenschutz 11.025 Themen, 91.183 Beiträge

Der Hammer: Virus-Telefonanruf von Windows / Ammyy

-frank- / 12 Antworten / Baumansicht Nickles

Ich glaube es nicht!

Eben rief jemand an, bei dem bei mir nur die Telefonnummer "000000000000" im Display erschien. Er sprach English und es hörte sich so an wie ein Inder/Pakistani.

Er behauptete von Windows zu sein und dass mein PC mit einem Virus infiziert sei und dass dieser Virus meine Daten nach außerhalb sende und Microsoft darauf aufmerksam wurde, weil mein PC beim Hochfahren immer eine Menge Fehlermeldungen an Windows schicke. Mir war gleich klar, dass ich nicht sicher sein konnte, dass derjenige tatsächlich von Microsoft sei und Vorsicht geboten war. Aber ich hörte dennoch zu und schildere hier mal den Verlauf des Telefonats.

"Vertrauen schaffen"
--------------------------
Der Anrufer (woher er auch immer meine Telefonnummer hatte!), gab mir die "CLS-ID" meines PC (00x001xx1x011), wobei ich hier im Forum die Zahlen durch 1 und die Buchstaben durch x ersetzt habe, um mir zu beweisen, dass er wirklich von meinem PC rede.
Er sagte mir, dass ich durch Drücken von Windowstaste+R einen Befehl eintippen könne.
cmd -> OK "DOS"-Fenster erscheint
assoc (vorher habe ich mit help assoc überprüft, was es tun soll) -> OK
In der drittletzten Zeile konnte ich tatsächliche die CLS-ID lesen, die mir der Anrufer gegeben hatte: 
ZFSendToTarget=CLSID\{111xxx11-xx0x-xx0x-11xx-1x0x-00x001xx1x011}

"Virus nachweisen"
-------------------------
Dann sagte er, ich solle "eventvwr" eintippen und ich würde auf der rechten Seite Warnungen und Fehler sehen - ja OK...
Dann sagte er, ich solle mal versuchen, diese Meldungen zu löschen (entweder Keyboard "Löschen" - oder Mausrechtsklick und "löschen". Auf meine Antwort hin, dass das nicht ginge, behauptete er, dass das der Beweis sei, dass mein PC infiziert sein und meine Firewall und mein Antivirus nicht funktionieren würden.

"Remotezugriff zu seinem Server herstellen"
----------------------------------------------------------
Danach empfahl er, Remotezugriff zu seinem Server herzustellen, damit er (Microsoft) das Problem auf meinem PC analysieren könne. Er bat mich bei meinem Browser www.ammyy.com  einzugeben-> OK
Aha: Remote-Software. 
Dass ich an diesem Punkt nicht mehr weitermachte, versteht sich von selbst. Aber er versuchte, meine Bedenken zu zerstreuen:
1) "Wenn Sie glauben, dass wir mit der Remotesoftware etwas Unerwünschtes tun, können Sie einfach währenddessen Ihren PC ausschalten, dann ist es sofort abgebrochen und Sie sind geschützt"...
2) Auf die Frage, wie er sich denn als Microsoft identifizieren könne, sagte er, dass er mir eine Telefonnummer geben könne - aber erst nach Aufbau der Remoteverbindung, weil sonst zu viele Leute bei der Nummer anrufen würden...
Da wir auf diese Weise nicht weiterkamen, beendeten wir das Gespräch nach 21 Minuten :-)

Zwei kleine "Fehler" machte er meiner Meinung nach:
(1) Er fragte, ob ich XP oder Vista benutze - das müsste Microsoft ja eigentlich wissen...
(2) Er behauptete, der Befehl mit dem ich meine CLS-Nummer ausgelesen habe (er meinte wohl eventvwr) sei speziell für meinen PC - das glaube ich ja nun gar nicht
(3) Er behauptete, dass meine CLS-Nummer nur mir als Besitzer und dem Hersteller des PC bekannt sei (das hätte ja sinnvoll überhaupt nur heißen können, nur "Microsoft" bekannt).


Das nur als Dokumentation für andere. Jetzt habe ich mehrere Fragen:


1) Ist die CLS-ID eindeutig für einen PC oder hat er mir eine Nummer gegeben, die sowieso auf allen PC gleich ist?
2) Wenn CLS-ID eindeutig ist: Wie kann er an die Kombination CLS-ID+Tel-Nummer gekommen sein? Nur über einen Mini-Virus auf meinem PC -  oder auch anders?
3) Ist es nicht normal, dass man bei eventvwr die Warnungen und Fehler nicht einzeln löschen kann?
4) Wie kann ich sicher sein, momentan nicht doch irgendeinen Virus auf meinem PC zu haben? Ich nutze Avast und der meckert nicht - allerdings machen sowohl IE als auch Mozilla Ärger und lenken immer auf irgendwelche Werbewebsites. Nur Google-Chrome funktioniert noch sauber... ich hatte eh schon überlegt, diesen PC neu aufzusetzen, so wie ich vor zwei Wochen mit einem anderen PC gemacht hatte, der auch Probleme hatte. Ich habe nur wenig Lust, die ganze Software wieder zu installieren, deshalb schiebe ich es immer wieder vor mir hin...

Hier wird schon davor gewart - aber es mitzuerleben ist etwas anderes:
http://antivirus.about.com/b/2010/12/08/ammy-com-scam.htm


bei Antwort benachrichtigen
Wiesner -frank-

„Der Hammer: Virus-Telefonanruf von Windows / Ammyy“

Optionen

1. CLS-ID http://www.winfaq.de/faq_html/Content/tip0000/onlinefaq.php?h=tip0313.htm

2. Siehe oben.

3. Es ist normal, du kannst nur alle leeren.

4. Sauber zu machen schadet niemals und alles uptodate halten auch, ist halt Arbeit :-)

bei Antwort benachrichtigen
-frank- Wiesner

„1. CLS-ID...“

Optionen

Vielen Dank, Wiesner.

Meine CLS-ID ist nicht dabei, d.h. die hat vermutlich jemand angelegt - ein Virusprogramm vielleicht?
Googeln nach meine CLS-Nummer brachte nur einen Hit in China, wobei man wegen der chinesischen Schriftzeichen dort nichts außer der Nummer lesen konnte...


bei Antwort benachrichtigen
Andreas42 -frank-

„Der Hammer: Virus-Telefonanruf von Windows / Ammyy“

Optionen

Hi!

Das ist eine neue Form der Telefonabzocke, nur um das noch einmal zu betonen.

Die Abkürzung CLSID bedeutet "Class-ID" (deutsch etwa Objektklassen-Kennzeichnung). Die Spammer behauten ja das S stehe für Security, aber das ist Lötzinn.

Die Class-ID hat eine Bedeutung auf der Ebene der Programmierung und Laufzeitverwaltung von Programmkomponenten in Windows. Wenn man eine neue Komponente Programmiert, dann bekommt diese eine neue Class-ID, damit die Komponenente eindeutig idenzifiziert werden kann. Kopiere ich das teil dann auf verschiedene Rechner, dann hat es dort aber immer die selbe Class-ID.

Das kann man mit den EAN-Codes auf den ganzen Verpackungen im nächsten Supermarkt vergleichen: jedes Produkt bekommt eine neue EAN-Nummer. Wenn das Produkt dann bei Lidl, Real oder in der nächsten Tankstelle im Regal steht, hat es immer die selbe EAN-Nummer.

Zurück zum Telefonspam:

Die Class-ID die dort mit ASSOC angezeigt wird, dürfte immer gleich sein. genau weiß ich das aber auch nicht.
Was ASSOC anzeigt, ist ja, welche Dateitypen mit welchem Programm verknüpft sind. Zusätzlich gibt es da noch Pseudoeinträge und zwar u.a. einen der irgendwas mit der "Senden an"-Einstellung zu tun hat. Da ist dann als Programm kein Name, sondern eine Class-ID angeben. Ich schätze jetzt einfach mal, dass das die Kennung eines Programmteils von Outlook oder Windows ist, dass den Mailversand abwickelt.

Jetzt hab ich doch noch etwas weiter gesucht.

Bei mir ist die eingetragene Class-ID gehört offenbar zu WinZIP. Es muss um die Zippen und Mailsenden-Funktion gehen, die man im Kontextmenü des Explorers findet, wenn man auf Dateien mit der rechten Maustaste klickt.

Bis dann
Andreas

Kein Popcorn! "Mist!" (Zitat Bernd das Brot) Wieso ist kein Popcorn mehr da? Immer wenn es spannend wird! Menno!
bei Antwort benachrichtigen
-frank- Andreas42

„Hi! Das ist eine neue Form der Telefonabzocke, nur um das...“

Optionen

Danke, Andreas,
dann bleibt nur die Frage, wieso er so sicher sein konnte, dass bei mir in der drittletzten Zeile von der ASSOC-Ausgabe dieses Zahlenkürzel steht.
Ich tippe es mal ab, dann könnt Ihr ja aus Spaß mal gucken, ob Ihr die Zahlen auch habt:
1) Windowstaste gedrückt halten - dann "R" drücken (oder START-Ausführen...)
2) cmd und Return
3) assoc und Return (schreibe ich nur für diejenigen, die nicht den ganzen Thread lesen wollen)

Bei mir steht dann
ZFSSendToTarget=CLSID\{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}
Habt Ihr die fett gedruckte Nummer auch? Wenn nein, müsste der Anrufer ja irgendwas von meinem PC wissen... aber wie?! ... oder die Chance ist einfach 50/50, wenn die Zahl zu Word oder Winzip oder ... gehört, weil jeweils 50% der User Word oder Winzip oder... installiert haben...

bei Antwort benachrichtigen
Andreas42 -frank-

„Danke, Andreas, dann bleibt nur die Frage, wieso er so sicher...“

Optionen

Hi!

Ich bin zwar jetzt an meinem Mint-Rechner, aber als ich das auf meinem beruflichen Win7 Rechner geprüft hatte, war da auch was mit 62 am Ende.

So rein als Spekulation war mir durch den Kopf gegangen, ob der Anrufer am Anfang ein paar Dinge erfragt, die das mit festlegen. So in Richtung "Haben sie WinZIP installiert? Ich will ihnen da was zusenden.".
Es kann aber auch sein, dass das ganz platt einfach eine Standard-Komponente von Windows ist, die da eingetragen wird.

Ich hab jetzt auf meiner neuen Linux Mint 13 Installation den VMWare Player nachinstalliert udn meine VM des alten XP-Rechners gestartet. Auch da ist dort genau dieser CLSID-Wert eingetragen (er ist komplett identisch nicht nur der bei dir fett markierte Teil).

Bis dann
Andreas

Kein Popcorn! "Mist!" (Zitat Bernd das Brot) Wieso ist kein Popcorn mehr da? Immer wenn es spannend wird! Menno!
bei Antwort benachrichtigen
gelöscht_305164 -frank-

„Der Hammer: Virus-Telefonanruf von Windows / Ammyy“

Optionen
Aha: Remote-Software.
Darum ging es dem Herrn.
Recht dreist, wie ich meine.
bei Antwort benachrichtigen
IRON67 -frank-

„Der Hammer: Virus-Telefonanruf von Windows / Ammyy“

Optionen
1) Ist die CLS-ID eindeutig für einen PC oder hat er mir eine Nummer gegeben, die sowieso auf allen PC gleich ist?

Es gibt tausende CLSIDs und er hat sich eine gegriffen, von der erwartet werden kann, dass sie bei vielen zu finden ist.

4) Wie kann ich sicher sein, momentan nicht doch irgendeinen Virus auf meinem PC zu haben?

Gar nicht, solange man hier nicht weiß, in welchem Zustand sich dein PC befindet und wie konsequent du ein wie auch immer geartetes Sicherheitskonzept umsetzt. Wenn du wirklich ganz sicher gehen willst (was aber nur aufgrund des Anrufes nicht nötig wäre) dann müsstest du den PC komplett neu aufsetzen.

allerdings machen sowohl IE als auch Mozilla Ärger und lenken immer auf irgendwelche Werbewebsites.

Du hast dir Browser-Hijacker eingefangen, weil du statt der benutzerdefinierten Variante bei der Installation neuer Software immer brav auf OK und Installieren geklickt hast. Das ist schon mal eine Schwachstelle in deinem Konzept.
Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
-frank- IRON67

„Es gibt tausende CLSIDs und er hat sich eine gegriffen, von...“

Optionen

Hi - vielen Dank fpr die Antworten!
Aber: Wie werde ich den Hijacker wieder los?
Ich habe z.B. HiJackThis204.exe - nur der Output ist für Laien ziemlich unbrauchbar... und bei "analyze" sagt es mit "no internet connection" obwohl meine Browser Verbindung haben...

bei Antwort benachrichtigen
IRON67 -frank-

„Hi - vielen Dank fpr die Antworten! Aber: Wie werde ich den...“

Optionen

HijackThis ist veraltet und ungenau und obendrein nicht sehr aussagekräftig. O.T.L. by Oldtimer ist wesentlich umfangreicher. Kannst mir gerne die bei einem Filehoster hochgeladenen Textdateien OTL.txt und Extras.txt nach einem Quickscan per PN als Verlinkungen zukommen lassen und ich schau mir an, was so läuft auf deiner Kiste.

Wenn du den Hijacker per Software entfernen willst (aber bitte erst nach OTL), kannst du es ja mal mit AdwCleaner versuchen.

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
bechri -frank-

„Hi - vielen Dank fpr die Antworten! Aber: Wie werde ich den...“

Optionen

auf der Webseite von HiJackThis kannst du entweder dein Logfile hochladen oder den Inhalt in ein Textfeld einfügen und im Browser analysieren lassen.

Deine CLS-ID stimmt mit meiner überein.

MfG Chris
bei Antwort benachrichtigen
-frank- bechri

„auf der Webseite von HiJackThis kannst du entweder dein...“

Optionen

Danke, Berchi - die Auswertung dort zeigt nichts gefährliches...

bei Antwort benachrichtigen
IRON67 -frank-

„Danke, Berchi - die Auswertung dort zeigt nichts...“

Optionen
die Auswertung dort zeigt nichts gefährliches...

Falls du meine Antwort überlesen hast: HJT ist veraltet und meist nutzlos.
Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen