Здравствуйте. В "Программах и компонентах" обнаружилось следующее (см. Вложение 1.gif). При попытке удаления появляется окно, помещенное в вложении 2.gif, хотя удаление производится главным администратором. Антивирус молчит. Что это? Как это удалить? И что такое "Расположение: \"?

Что это? »
Да просто мусор, остатки от какой-нибудь программы.

Как это удалить? »

Ну например CCleaner умеет удалять из списка программ такие "висяки". Можно и вручную через реестр поправить, но так удобнее.

Антивирус молчит. »

Возможно что свежачка отловили, которого антивири не знают; но странное расположение -- корень диска, причём не указано какого.
Или ошибка в реестре.

Выполните на всякий случай группу команд (можно копируя строки отсюда):
cmd /c dir /ogn /a C:\ >%userprofile%\Desktop\test.txt
cmd /c dir /ogn /a D:\ >>%userprofile%\Desktop\test.txtповторяя вторую строку для каждого из остальных дисков (подставляя их буквы вместо D).

Общий результат будет на Рабочем столе пользователя, от имени которого запускались эти команды, в файле test.txt (в кодировке 866, т.е. в Кириллице (DOS)). Для его полной читаемости можно, открыв файл в Блокноте, переключить шрифт Блокнота (Формат -> Шрифт...) на Terminal, но не забыть по завершении вернуть тот шрифт, который стоял перед изменением.
Нет ли каких подозрительных файлов, особенно с датой 10 мая?

Спасибо за ответы!
Да просто мусор, остатки от какой-нибудь программы.
Увы, вероятно, нет. Раскопки реестра показали, что в разделе, соответствующем данному приложению, в параметре InstallSource значится путь к CS 1.6. То есть прожка, наверняка, была скачана с одного из серверов. Это не нормально.

mwz, спасибо. Результат выполнения команды:

30.04.2013 17:52 <DIR> $Recycle.Bin
14.07.2009 09:08 <JUNCTION> Documents and Settings [C:\Users]
03.03.2014 00:19 <DIR> Games
02.05.2013 17:41 <DIR> MSOCache
14.07.2009 07:20 <DIR> PerfLogs
11.05.2014 02:43 <DIR> Program Files ; Здесь был установлен CCleaner
11.05.2014 01:40 <DIR> Program Files (x86) ; Здесь обновлялась Mozilla Firefox
06.02.2014 17:56 <DIR> ProgramData
30.04.2013 17:52 <DIR> Recovery
04.05.2014 16:13 <DIR> System Volume Information
28.03.2014 18:20 <DIR> Users
30.04.2013 18:18 <DIR> W7P_BackupMulti
11.05.2014 01:35 <DIR> Windows ; Здесь, по-подробнее, см. ниже
30.04.2013 23:29 156 csb.log
11.05.2014 01:38 3 219 152 896 hiberfil.sys
30.04.2013 23:26 189 Install.log
27.01.2014 07:50 204 288 KeyGen X64.exe
11.05.2014 01:38 4 292 206 592 pagefile.sys
30.04.2013 23:24 3 236 RHDSetup.log
30.04.2013 18:58 4 187 WPI_Log_2013.04.30_18.58.01.txt

В Windows было изменено следующее:
1)inf\WmiApRgl была создана, не пустая
2)В System32 были изменены:
perfc009.dat
perfc019.dat
perfh009.dat
perfh019.dat
PerfStringBackup.INI
и еще два файла, имя и расширение которых - длинные число-буквенные последовательности
3) ntbtlog.txt
4) setupact.log
Сама контра, к сожалению, была удалена - посмотреть, что качалось невозможно.

KOTь, ничего подозрительного ни на скриншоте, ни по вашим объяснениям не вижу (ну кроме может позиции 4 снизу в каталоге С: -- но размер не соответствует вашему предыдущему скриншоту; дата файлов не всегда несёт информацию: ещё во времена DOS вирусописатели научились класть вирусы в папку DOS и давать им дату системных файлов, что затрудняло экспресс-поиск).

На всякий случай можно посмотреть в Блокноте файлы 3) и 4) -- ntbtlog.txt является протоколом загрузки системы, и по умолчанию появляться не должен бы (если не прописать вручную его создание при каждой загрузке).

Ну а дальше зависит от вашей цели. Если просто убрать эту запись из окна -- то можно сделать в реестре ручками (если же ключ "хитрый" и не даёт себя удалить даже при изменениях разрешений на него -- возможно что справиться с ним поможет утилита RegDelNull от Марка Руссиновича).

ещё во времена DOS вирусописатели научились класть вирусы в папку DOS и давать им дату системных файлов, что затрудняло экспресс-поиск »
Хм. И как это обходилось/обходится?
Лирическое отступление. Положим, вирус новый, в базах его нет. Он прописывается среди системных файлов, ненавязчиво подкорректировав дату создания. Как в таком случае он находится? Просто анализируется подозрительная активность и находится ее источник (вручную или автоматически)? Существует ли в системе служба, "следящая" за файлами? Можно ли ее использовать?

Из "Программ и компонентов" уже удалено. Мне интересно, что это было за приложение и чего оно хотело. Или, быть может, хочет до сих пор. :ninja2:

Я вас умоляю. Был бы это вирус, он не стал бы прописывать себя в панели управления на самом видном месте, прекратите этот цирк.

Ваши предложения, что это?

Хм. И как это обходилось/обходится? »

Ну обходилось-то просмотром каталога: файлов не тысячи в нём были, и названия более-менее запоминались, а в каталог DOS ничего само не писалось; поэтому появление нового файла иногда замечалось (вылавливал пару-тройку раз).

Сейчас же... На NTFS у файлов кроме даты изменения (это та дата, которую мы видим в Проводнике в режиме "Таблица, в Total Commander в режиме "Вид: полный" и т.д.) есть ещё и дата создания, которая говорит, когда файл первый раз лёг на данное место. Найти файлы по дате создания можно с помощью инструмента поиска в Total Commander, указав поиск с плагинами и выбрав встроенный плагин "tc:Дата создания".

Но я согласен с мнением LehaMechanic, что в данном случае это был не троян; это могла быть либо рекламная программа, либо (судя по вашим исследованиям) защита от читерства, либо какое-то тихое обновление CS, которое из-за неаккуратности программеров плохо прибралось за собой, оставив свои следы.

Выяснилось. При заходе на определенный сервер, он подгружает вам некий "delta.exe" и запускает его. Экзешник изменяет некоторые файлы в папке с игрой и перезагружает ее клиент. После этого игра ищет уже совсем другие сервера - это такой способ увеличения их посещаемости.
P.S. Разумеется, в delta.exe можно было прописать и более опасный код. Зачем, правда, эта программа добавляется в список установленных приложений, непонятно. Здесь логика "есть в программах - значит не вирус" не работает.

Зачем, правда, эта программа добавляется в список установленных приложений, непонятно. »

либо какое-то тихое обновление CS, которое из-за неаккуратности программеров плохо прибралось за собой, оставив свои следы. »На коленке писалось видать...