[LehaMechanic]

Цитата KOTь:

Что это? »

Да просто мусор, остатки от какой-нибудь программы.

Цитата KOTь:

Как это удалить? »

Ну например CCleaner умеет удалять из списка программ такие "висяки". Можно и вручную через реестр поправить, но так удобнее.

[mwz]

Цитата KOTь:

Антивирус молчит. »

Возможно что свежачка отловили, которого антивири не знают; но странное расположение -- корень диска, причём не указано какого.
Или ошибка в реестре.

Выполните на всякий случай группу команд (можно копируя строки отсюда):

Код:

cmd /c dir /ogn /a C:\ >%userprofile%\Desktop\test.txt
cmd /c dir /ogn /a D:\ >>%userprofile%\Desktop\test.txt

повторяя вторую строку для каждого из остальных дисков (подставляя их буквы вместо D).

Общий результат будет на Рабочем столе пользователя, от имени которого запускались эти команды, в файле test.txt (в кодировке 866, т.е. в Кириллице (DOS)). Для его полной читаемости можно, открыв файл в Блокноте, переключить шрифт Блокнота (Формат -> Шрифт...) на Terminal, но не забыть по завершении вернуть тот шрифт, который стоял перед изменением.
Нет ли каких подозрительных файлов, особенно с датой 10 мая?

[KOTь]

Спасибо за ответы!

Цитата LehaMechanic:

Да просто мусор, остатки от какой-нибудь программы.

Увы, вероятно, нет. Раскопки реестра показали, что в разделе, соответствующем данному приложению, в параметре InstallSource значится путь к CS 1.6. То есть прожка, наверняка, была скачана с одного из серверов. Это не нормально.

mwz, спасибо. Результат выполнения команды:

Код:

30.04.2013  17:52    <DIR>          $Recycle.Bin
14.07.2009  09:08    <JUNCTION>     Documents and Settings [C:\Users]
03.03.2014  00:19    <DIR>          Games
02.05.2013  17:41    <DIR>          MSOCache
14.07.2009  07:20    <DIR>          PerfLogs
11.05.2014  02:43    <DIR>          Program Files ; Здесь был установлен CCleaner
11.05.2014  01:40    <DIR>          Program Files (x86) ; Здесь обновлялась Mozilla Firefox
06.02.2014  17:56    <DIR>          ProgramData
30.04.2013  17:52    <DIR>          Recovery
04.05.2014  16:13    <DIR>          System Volume Information
28.03.2014  18:20    <DIR>          Users
30.04.2013  18:18    <DIR>          W7P_BackupMulti
11.05.2014  01:35    <DIR>          Windows ; Здесь, по-подробнее, см. ниже
30.04.2013  23:29               156 csb.log
11.05.2014  01:38     3 219 152 896 hiberfil.sys
30.04.2013  23:26               189 Install.log
27.01.2014  07:50           204 288 KeyGen X64.exe
11.05.2014  01:38     4 292 206 592 pagefile.sys
30.04.2013  23:24             3 236 RHDSetup.log
30.04.2013  18:58             4 187 WPI_Log_2013.04.30_18.58.01.txt

В Windows было изменено следующее:
1)inf\WmiApRgl была создана, не пустая
2)В System32 были изменены:

Код:

perfc009.dat
perfc019.dat
perfh009.dat
perfh019.dat
PerfStringBackup.INI 
и еще два файла, имя и расширение которых - длинные число-буквенные последовательности

3) ntbtlog.txt
4) setupact.log
Сама контра, к сожалению, была удалена - посмотреть, что качалось невозможно.

[mwz]

KOTь, ничего подозрительного ни на скриншоте, ни по вашим объяснениям не вижу (ну кроме может позиции 4 снизу в каталоге С: -- но размер не соответствует вашему предыдущему скриншоту; дата файлов не всегда несёт информацию: ещё во времена DOS вирусописатели научились класть вирусы в папку DOS и давать им дату системных файлов, что затрудняло экспресс-поиск).

На всякий случай можно посмотреть в Блокноте файлы 3) и 4) -- ntbtlog.txt является протоколом загрузки системы, и по умолчанию появляться не должен бы (если не прописать вручную его создание при каждой загрузке).

Ну а дальше зависит от вашей цели. Если просто убрать эту запись из окна -- то можно сделать в реестре ручками (если же ключ "хитрый" и не даёт себя удалить даже при изменениях разрешений на него -- возможно что справиться с ним поможет утилита RegDelNull от Марка Руссиновича).

[KOTь]

Цитата mwz:

ещё во времена DOS вирусописатели научились класть вирусы в папку DOS и давать им дату системных файлов, что затрудняло экспресс-поиск »

Хм. И как это обходилось/обходится?
Лирическое отступление. Положим, вирус новый, в базах его нет. Он прописывается среди системных файлов, ненавязчиво подкорректировав дату создания. Как в таком случае он находится? Просто анализируется подозрительная активность и находится ее источник (вручную или автоматически)? Существует ли в системе служба, "следящая" за файлами? Можно ли ее использовать?

Из "Программ и компонентов" уже удалено. Мне интересно, что это было за приложение и чего оно хотело. Или, быть может, хочет до сих пор.

[LehaMechanic]

Я вас умоляю. Был бы это вирус, он не стал бы прописывать себя в панели управления на самом видном месте, прекратите этот цирк.

[KOTь]

Ваши предложения, что это?

[mwz]

Цитата KOTь:

Хм. И как это обходилось/обходится? »

Ну обходилось-то просмотром каталога: файлов не тысячи в нём были, и названия более-менее запоминались, а в каталог DOS ничего само не писалось; поэтому появление нового файла иногда замечалось (вылавливал пару-тройку раз).

Сейчас же... На NTFS у файлов кроме даты изменения (это та дата, которую мы видим в Проводнике в режиме "Таблица, в Total Commander в режиме "Вид: полный" и т.д.) есть ещё и дата создания, которая говорит, когда файл первый раз лёг на данное место. Найти файлы по дате создания можно с помощью инструмента поиска в Total Commander, указав поиск с плагинами и выбрав встроенный плагин "tc:Дата создания".

Но я согласен с мнением LehaMechanic, что в данном случае это был не троян; это могла быть либо рекламная программа, либо (судя по вашим исследованиям) защита от читерства, либо какое-то тихое обновление CS, которое из-за неаккуратности программеров плохо прибралось за собой, оставив свои следы.

[KOTь]

Выяснилось. При заходе на определенный сервер, он подгружает вам некий "delta.exe" и запускает его. Экзешник изменяет некоторые файлы в папке с игрой и перезагружает ее клиент. После этого игра ищет уже совсем другие сервера - это такой способ увеличения их посещаемости.
P.S. Разумеется, в delta.exe можно было прописать и более опасный код. Зачем, правда, эта программа добавляется в список установленных приложений, непонятно. Здесь логика "есть в программах - значит не вирус" не работает.