Подозреваю удаленный контроль, прошу помощи [not-a-virus:RemoteAdmin.Win32.Ammyy.xcs ]

[choin]

Здравствуйте.

Пользуюсь браузером Opera давно, обновляю редко. Не уверен, что именно с этим стоит связывать мою проблему, но вот как было:
Вчера (т.е. сегодня ночью) в 1:40 обновил в очередной раз барузер до последней версии через встроенное авто-обновление, проблем не обнаружил, пошёл спать. Компьютер и большинство программ я держу включенными даже ночью.

С утра вижу, что в Opera открыты несколько новых вкладок, среди них - почта Yandex (никогда не пользовался), несколько открытых писем, и несколько сайтов. Изучил их сожержимое и состояние системы, вот что увидел:
- Почта Yandex открыта и доступна, как будто кто-то залогинился под своим аккаунтом и не вышел. Я могу просматривать почтовые сообщения, содержимое Яндекс.Диска и даже Яндекс.Кошелек.
- На Яндекс.Кошельке вижу массу переводов очень малой суммы - от 1 до 4 копеек, датой от июня до сегодняшнего дня.
- Сайты в основном про какие-то накрутки, SEO или биткоин. Но большинство их них уже не работает, например btc-spoil.com http://www.seopromax.ru SEOprice.net , а на http://mig-bux.net не работают указанные логин-пароль. Также был открыт https://blockchain.info/wallet/ с введенным логином но без пароля. Введенный логин явно связан с этим ящиком Yandex.
- Судя по истории браузера, первый такой вход в моё отсутствие имел место быть в 2:00, т.е. через 20 минут после обновления браузера.
- Из того что я видел, я не обнаружил явных изменений в системе, списке автозапуска и прочих важных настроек.
- Браузер Opera, судя по всему, рухнул (экстренное завершение) в 7:57 и перезапустился. Причину падения обнаружить не смог.

Мои вопросы:
- Что это и на что похоже? Я даже не берусь утверждать, было ли это удаленное управление реальным человеком или вредоносный скрипт, попавший в браузер. Если человек - зачем открывались письма и сайты, связанными с мертвыми сервисами? Если скрипт - зачем этому скрипту доверили доступ к аккаунту реального, судя по всему, человека?
- Прошу помощи в обнаружении лазейки, которая была задействована.
- Что я могу еще сделать, пока сессия неизвестного аккаунта Yandex открыта?

Лог приложил.

[Info_bot]

Уважаемый(ая) choin, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[choin]

В разделе аудита защищенности сказали что в системе имеется вредоносное программное обеспечение, и что нужно сначала от него избавиться.

[Никита Соловьев]

Выполните скрипт в AVZ:

Код:

BEGIN
 ClearQuarantine;
 TerminateProcessByName('c:\program files (x86)\teamviewer\aa_v3.exe');
 QuarantineFile('c:\program files (x86)\teamviewer\aa_v3.exe','');
 DeleteFile('c:\program files (x86)\teamviewer\aa_v3.exe','32');
 ExecuteSysClean;
 ExecuteWizard('SCU',2,2,false);
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(true);
END.

_______________________

> Компьютер будет перезагружен.


> Используйте ссылку "Прислать запрошенный карантин", которая находится над первым сообщением этой темы, чтобы прислать quarantine.zip.

> Сделайте повторный анализ системы, прикрепите файл с отчётом + ADWCleaner.

[choin]

Готово.

[Никита Соловьев]

Удалите всё, что обнаружила программа согласно инструкции.

[choin]

Готово.

[Никита Соловьев]

Готово, можно переходить к аудиту.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files (x86)\teamviewer\aa_v3.exe - not-a-virus:RemoteAdmin.Win32.Ammyy.xcs ( DrWEB: Program.RemoteAdmin.758 )