Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Программное обеспечение Windows (http://forum.oszone.net/forumdisplay.php?f=7)
-   -   Странное, неудаляющееся, приложение (http://forum.oszone.net/showthread.php?t=282082)

KOTь 11-05-2014 02:33 2349780
Странное, неудаляющееся, приложение
 
Вложений: 2
  • 2.gif (15.20 KB, скачиваний: 33)
  • 1.gif (31.90 KB, скачиваний: 34)
Здравствуйте. В "Программах и компонентах" обнаружилось следующее (см. Вложение 1.gif). При попытке удаления появляется окно, помещенное в вложении 2.gif, хотя удаление производится главным администратором. Антивирус молчит. Что это? Как это удалить? И что такое "Расположение: \"?

LehaMechanic 11-05-2014 07:12 2349795
Цитата:
Цитата KOTь
Что это? »
Да просто мусор, остатки от какой-нибудь программы.

Цитата:
Цитата KOTь
Как это удалить? »
Ну например CCleaner умеет удалять из списка программ такие "висяки". Можно и вручную через реестр поправить, но так удобнее.

mwz 11-05-2014 13:23 2349868
Цитата:
Цитата KOTь
Антивирус молчит. »
Возможно что свежачка отловили, которого антивири не знают; но странное расположение -- корень диска, причём не указано какого.
Или ошибка в реестре.

Выполните на всякий случай группу команд (можно копируя строки отсюда):
Код:
cmd /c dir /ogn /a C:\ >%userprofile%\Desktop\test.txt
cmd /c dir /ogn /a D:\ >>%userprofile%\Desktop\test.txt
повторяя вторую строку для каждого из остальных дисков (подставляя их буквы вместо D).

Общий результат будет на Рабочем столе пользователя, от имени которого запускались эти команды, в файле test.txt (в кодировке 866, т.е. в Кириллице (DOS)). Для его полной читаемости можно, открыв файл в Блокноте, переключить шрифт Блокнота (Формат -> Шрифт...) на Terminal, но не забыть по завершении вернуть тот шрифт, который стоял перед изменением.
Нет ли каких подозрительных файлов, особенно с датой 10 мая?

KOTь 11-05-2014 17:38 2350028
Спасибо за ответы!
Цитата:
Цитата LehaMechanic
Да просто мусор, остатки от какой-нибудь программы.
Увы, вероятно, нет. Раскопки реестра показали, что в разделе, соответствующем данному приложению, в параметре InstallSource значится путь к CS 1.6. То есть прожка, наверняка, была скачана с одного из серверов. Это не нормально.

mwz, спасибо. Результат выполнения команды:
Код:
30.04.2013  17:52    <DIR>          $Recycle.Bin
14.07.2009  09:08    <JUNCTION>    Documents and Settings [C:\Users]
03.03.2014  00:19    <DIR>          Games
02.05.2013  17:41    <DIR>          MSOCache
14.07.2009  07:20    <DIR>          PerfLogs
11.05.2014  02:43    <DIR>          Program Files ; Здесь был установлен CCleaner
11.05.2014  01:40    <DIR>          Program Files (x86) ; Здесь обновлялась Mozilla Firefox
06.02.2014  17:56    <DIR>          ProgramData
30.04.2013  17:52    <DIR>          Recovery
04.05.2014  16:13    <DIR>          System Volume Information
28.03.2014  18:20    <DIR>          Users
30.04.2013  18:18    <DIR>          W7P_BackupMulti
11.05.2014  01:35    <DIR>          Windows ; Здесь, по-подробнее, см. ниже
30.04.2013  23:29              156 csb.log
11.05.2014  01:38    3 219 152 896 hiberfil.sys
30.04.2013  23:26              189 Install.log
27.01.2014  07:50          204 288 KeyGen X64.exe
11.05.2014  01:38    4 292 206 592 pagefile.sys
30.04.2013  23:24            3 236 RHDSetup.log
30.04.2013  18:58            4 187 WPI_Log_2013.04.30_18.58.01.txt
В Windows было изменено следующее:
1)inf\WmiApRgl была создана, не пустая
2)В System32 были изменены:
Код:
perfc009.dat
perfc019.dat
perfh009.dat
perfh019.dat
PerfStringBackup.INI
и еще два файла, имя и расширение которых - длинные число-буквенные последовательности
3) ntbtlog.txt
4) setupact.log
Сама контра, к сожалению, была удалена - посмотреть, что качалось невозможно.

mwz 11-05-2014 19:47 2350089
KOTь, ничего подозрительного ни на скриншоте, ни по вашим объяснениям не вижу (ну кроме может позиции 4 снизу в каталоге С: -- но размер не соответствует вашему предыдущему скриншоту; дата файлов не всегда несёт информацию: ещё во времена DOS вирусописатели научились класть вирусы в папку DOS и давать им дату системных файлов, что затрудняло экспресс-поиск).

На всякий случай можно посмотреть в Блокноте файлы 3) и 4) -- ntbtlog.txt является протоколом загрузки системы, и по умолчанию появляться не должен бы (если не прописать вручную его создание при каждой загрузке).

Ну а дальше зависит от вашей цели. Если просто убрать эту запись из окна -- то можно сделать в реестре ручками (если же ключ "хитрый" и не даёт себя удалить даже при изменениях разрешений на него -- возможно что справиться с ним поможет утилита RegDelNull от Марка Руссиновича).

KOTь 11-05-2014 21:07 2350122
Цитата:
Цитата mwz
ещё во времена DOS вирусописатели научились класть вирусы в папку DOS и давать им дату системных файлов, что затрудняло экспресс-поиск »
Хм. И как это обходилось/обходится?
Лирическое отступление. Положим, вирус новый, в базах его нет. Он прописывается среди системных файлов, ненавязчиво подкорректировав дату создания. Как в таком случае он находится? Просто анализируется подозрительная активность и находится ее источник (вручную или автоматически)? Существует ли в системе служба, "следящая" за файлами? Можно ли ее использовать?

Из "Программ и компонентов" уже удалено. Мне интересно, что это было за приложение и чего оно хотело. Или, быть может, хочет до сих пор. :ninja2:

LehaMechanic 11-05-2014 21:35 2350128
Я вас умоляю. Был бы это вирус, он не стал бы прописывать себя в панели управления на самом видном месте, прекратите этот цирк.

KOTь 11-05-2014 22:05 2350140
Ваши предложения, что это?

mwz 11-05-2014 22:57 2350161
Цитата:
Цитата KOTь
Хм. И как это обходилось/обходится? »
Ну обходилось-то просмотром каталога: файлов не тысячи в нём были, и названия более-менее запоминались, а в каталог DOS ничего само не писалось; поэтому появление нового файла иногда замечалось (вылавливал пару-тройку раз).

Сейчас же... На NTFS у файлов кроме даты изменения (это та дата, которую мы видим в Проводнике в режиме "Таблица, в Total Commander в режиме "Вид: полный" и т.д.) есть ещё и дата создания, которая говорит, когда файл первый раз лёг на данное место. Найти файлы по дате создания можно с помощью инструмента поиска в Total Commander, указав поиск с плагинами и выбрав встроенный плагин "tc:Дата создания".

Но я согласен с мнением LehaMechanic, что в данном случае это был не троян; это могла быть либо рекламная программа, либо (судя по вашим исследованиям) защита от читерства, либо какое-то тихое обновление CS, которое из-за неаккуратности программеров плохо прибралось за собой, оставив свои следы.

KOTь 12-05-2014 01:42 2350193
Выяснилось. При заходе на определенный сервер, он подгружает вам некий "delta.exe" и запускает его. Экзешник изменяет некоторые файлы в папке с игрой и перезагружает ее клиент. После этого игра ищет уже совсем другие сервера - это такой способ увеличения их посещаемости.
P.S. Разумеется, в delta.exe можно было прописать и более опасный код. Зачем, правда, эта программа добавляется в список установленных приложений, непонятно. Здесь логика "есть в программах - значит не вирус" не работает.

mwz 12-05-2014 11:55 2350318
Цитата:
Цитата KOTь
Зачем, правда, эта программа добавляется в список установленных приложений, непонятно. »
Цитата:
Цитата mwz
либо какое-то тихое обновление CS, которое из-за неаккуратности программеров плохо прибралось за собой, оставив свои следы. »
На коленке писалось видать...


Время: 20:43.

Время: 20:43.
© OSzone.net 2001-