Ich glaube es nicht!
Eben rief jemand an, bei dem bei mir nur die Telefonnummer "000000000000" im Display erschien. Er sprach English und es hörte sich so an wie ein Inder/Pakistani.
Er behauptete von Windows zu sein und dass mein PC mit einem Virus infiziert sei und dass dieser Virus meine Daten nach außerhalb sende und Microsoft darauf aufmerksam wurde, weil mein PC beim Hochfahren immer eine Menge Fehlermeldungen an Windows schicke. Mir war gleich klar, dass ich nicht sicher sein konnte, dass derjenige tatsächlich von Microsoft sei und Vorsicht geboten war. Aber ich hörte dennoch zu und schildere hier mal den Verlauf des Telefonats.
"Vertrauen schaffen"
--------------------------
Der Anrufer (woher er auch immer meine Telefonnummer hatte!), gab mir die "CLS-ID" meines PC (00x001xx1x011), wobei ich hier im Forum die Zahlen durch 1 und die Buchstaben durch x ersetzt habe, um mir zu beweisen, dass er wirklich von meinem PC rede.
Er sagte mir, dass ich durch Drücken von Windowstaste+R einen Befehl eintippen könne.
cmd -> OK "DOS"-Fenster erscheint
assoc (vorher habe ich mit help assoc überprüft, was es tun soll) -> OK
In der drittletzten Zeile konnte ich tatsächliche die CLS-ID lesen, die mir der Anrufer gegeben hatte:
ZFSendToTarget=CLSID\{111xxx11-xx0x-xx0x-11xx-1x0x-00x001xx1x011}
"Virus nachweisen"
-------------------------
Dann sagte er, ich solle "eventvwr" eintippen und ich würde auf der rechten Seite Warnungen und Fehler sehen - ja OK...
Dann sagte er, ich solle mal versuchen, diese Meldungen zu löschen (entweder Keyboard "Löschen" - oder Mausrechtsklick und "löschen". Auf meine Antwort hin, dass das nicht ginge, behauptete er, dass das der Beweis sei, dass mein PC infiziert sein und meine Firewall und mein Antivirus nicht funktionieren würden.
"Remotezugriff zu seinem Server herstellen"
----------------------------------------------------------
Danach empfahl er, Remotezugriff zu seinem Server herzustellen, damit er (Microsoft) das Problem auf meinem PC analysieren könne. Er bat mich bei meinem Browser www.ammyy.com einzugeben-> OK
Aha: Remote-Software.
Dass ich an diesem Punkt nicht mehr weitermachte, versteht sich von selbst. Aber er versuchte, meine Bedenken zu zerstreuen:
1) "Wenn Sie glauben, dass wir mit der Remotesoftware etwas Unerwünschtes tun, können Sie einfach währenddessen Ihren PC ausschalten, dann ist es sofort abgebrochen und Sie sind geschützt"...
2) Auf die Frage, wie er sich denn als Microsoft identifizieren könne, sagte er, dass er mir eine Telefonnummer geben könne - aber erst nach Aufbau der Remoteverbindung, weil sonst zu viele Leute bei der Nummer anrufen würden...
Da wir auf diese Weise nicht weiterkamen, beendeten wir das Gespräch nach 21 Minuten :-)
Zwei kleine "Fehler" machte er meiner Meinung nach:
(1) Er fragte, ob ich XP oder Vista benutze - das müsste Microsoft ja eigentlich wissen...
(2) Er behauptete, der Befehl mit dem ich meine CLS-Nummer ausgelesen habe (er meinte wohl eventvwr) sei speziell für meinen PC - das glaube ich ja nun gar nicht
(3) Er behauptete, dass meine CLS-Nummer nur mir als Besitzer und dem Hersteller des PC bekannt sei (das hätte ja sinnvoll überhaupt nur heißen können, nur "Microsoft" bekannt).
Das nur als Dokumentation für andere. Jetzt habe ich mehrere Fragen:
1) Ist die CLS-ID eindeutig für einen PC oder hat er mir eine Nummer gegeben, die sowieso auf allen PC gleich ist?
2) Wenn CLS-ID eindeutig ist: Wie kann er an die Kombination CLS-ID+Tel-Nummer gekommen sein? Nur über einen Mini-Virus auf meinem PC - oder auch anders?
3) Ist es nicht normal, dass man bei eventvwr die Warnungen und Fehler nicht einzeln löschen kann?
4) Wie kann ich sicher sein, momentan nicht doch irgendeinen Virus auf meinem PC zu haben? Ich nutze Avast und der meckert nicht - allerdings machen sowohl IE als auch Mozilla Ärger und lenken immer auf irgendwelche Werbewebsites. Nur Google-Chrome funktioniert noch sauber... ich hatte eh schon überlegt, diesen PC neu aufzusetzen, so wie ich vor zwei Wochen mit einem anderen PC gemacht hatte, der auch Probleme hatte. Ich habe nur wenig Lust, die ganze Software wieder zu installieren, deshalb schiebe ich es immer wieder vor mir hin...
Hier wird schon davor gewart - aber es mitzuerleben ist etwas anderes:
http://antivirus.about.com/b/2010/12/08/ammy-com-scam.htm
Viren, Spyware, Datenschutz 11.213 Themen, 94.155 Beiträge
Danke, Andreas,
dann bleibt nur die Frage, wieso er so sicher sein konnte, dass bei mir in der drittletzten Zeile von der ASSOC-Ausgabe dieses Zahlenkürzel steht.
Ich tippe es mal ab, dann könnt Ihr ja aus Spaß mal gucken, ob Ihr die Zahlen auch habt:
1) Windowstaste gedrückt halten - dann "R" drücken (oder START-Ausführen...)
2) cmd und Return
3) assoc und Return (schreibe ich nur für diejenigen, die nicht den ganzen Thread lesen wollen)
Bei mir steht dann
ZFSSendToTarget=CLSID\{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}
Habt Ihr die fett gedruckte Nummer auch? Wenn nein, müsste der Anrufer ja irgendwas von meinem PC wissen... aber wie?! ... oder die Chance ist einfach 50/50, wenn die Zahl zu Word oder Winzip oder ... gehört, weil jeweils 50% der User Word oder Winzip oder... installiert haben...