Вирус или шаманство?

[bossmp3]

Установлен Win2k3 DrWeb+обновления ежедневно.

Словил шнягу, услышав и увидев, когда при посещении страницы стали запускаться всякие файлы, короче понял что процесс пошел.
DrWeb проорал что нашел один зараженный и удалил.
Сразу после этого нашел файлы за последние 5 минут, потер что на вирус было похоже, вообщем все как обычно. (за 5 лет плотного стажа всегда справлялся со всеми вирями без особых проблем)
Файлы были следующие:
Documents and Settings\Userr\Local Settings\Temp\4BNB5.exe
Documents and Settings\Userr\Local Settings\Temp\loader.exe
Documents and Settings\Userr\Local Settings\Temp\scan.exe
Documents and Settings\Userr\Local Settings\Temp\winrt5QKnj5ugF93.exe

Documents and Settings\Userr\Local Settings\Temporary Internet Files\Content.IE5\91K1PVP8\c[1].exe
Documents and Settings\Userr\Local Settings\Temporary Internet Files\Content.IE5\CPAHQB0B\load[1].exe
Documents and Settings\Userr\Local Settings\Temporary Internet Files\Content.IE5\O9QJOH2Z\load[1].exe

Program Files\S87ekhV.exe
WINDOWS\services.exe

Все отключил все удалил без проблем.
AVZ говорит все ОК
DrWeb говорит все ОК
В HIJACK тоже ничего подозрительного нового

В чем проблема?
Проблему увидел что в Documents and Settings\Userr\Local Settings\Temp появилась папка Temporary Internet Files, думаю ладно фиг с ней, вир чтото там накопировал - удаляю ее, чтото удалилось, но осталось несколько папок типа
"Documents and Settings\Userr\Local Settings\Temp/Temporary Internet Files/0T6F8XUB"
а в них файлы с длинным названием в 3 строки блокнота вообщем длинные
(типа fslfklsfjnakosj_fjsn[dskfmldskfdsfsd.dsss]dslnfjsdnfl)
и размером 0 байт, это еще не суть. Вообщем пытаюсь удалить Total Commander-ом, не удаляется. Ладно, из проводника все удалилось без проблем.
А вот теперь то что я не решил и собственно в чем проблема.
Теперь уже проблема в самой папке
"Documents and Settings\Userr\Local Settings\Temporary Internet Files",
даже не в ней а вот в чем:

"Documents and Settings\Userr\Local Settings\Temporary Internet Files\Content.IE5\440Q46MT\app_[1]." размер 0 байт

"Documents and Settings\Userr\Local Settings\Temporary Internet Files\Content.IE5\KD6JS9Q7\app_[1]." размер 0 байт

Эти два файла видит тотал коммандер но удалить не может пишет not found, а проводник вообще не раскрывает папку Temporary Internet Files как будто она пустая, НО после захода в инет после посещения страниц проводник показывает в ней Cookie, которых больше нигде нет и total commander их не видит в этой папке. Тоесть выглядит это так:
Тотал коммандер видит:

Documents and Settings\Userr\Local Settings\Temporary Internet Files\Content.IE5\440Q46MT и другие файлы и папки,

А проводник видит следующее:

"Documents and Settings\Userr\Local Settings\Temporary Internet Files\Cookie:[email protected]/" (Text Document 1kb)
"Documents and Settings\Userr\Local Settings\Temporary Internet Files\Cookie:[email protected]/" (Text Document 1kb)

и так далее... проводник удалить дает, переименовать не дает F2 не работает, но F2 не работает только в этой папке если перейти в другую папку то работает.

Понятно что связь между не удаляемыми файлами которые видит тотал и этими куки которые видит проводник есть, но не могу понять что делать, в тупике, может конечно туплю от недосыпа, но вот она проблема. Жду помощи, советов. Если от меня понадобятся любые логи и прочее - все сделаю.

[Rene-gad]

Если от меня понадобятся любые логи и прочее - все сделаю.

Ну Вы же правила читали? http://virusinfo.info/showthread.php?t=1235

[bossmp3]

Для начала надеялся на совет. Сейчас все будет.

[Rene-gad]

Для начала надеялся на совет. Сейчас все будет.

Шаманство и гадание на бобах - это не наш метод.

[bossmp3]

Готово. Удаленные вирусы-файлы могу тоже подкинуть.

[Rene-gad]

Удаленные вирусы-файлы могу тоже подкинуть.

Обязательно. Почитайте в приложении 3 правил - как это сделать.

удалите Мегааплоад Тул Бар - это шпион

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите

Код:

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O20 - Winlogon Notify: bt848rom - C:\WINDOWS\

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('apcsvra32');
 DeleteService('pptp64');
 DeleteService('pptp32');
 DeleteService('apcsvra');
 DeleteService('IpInIp');
 QuarantineFile('C:\Program Files\Common Files\System\apcsvra.exe','');
 QuarantineFile('C:\Program Files\Common Files\System\apcsvra.dll','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\ipinip.sys','');
 QuarantineFile('C:\WINDOWS\system32\pptp64.sys','');
 DeleteFile('C:\WINDOWS\system32\pptp64.sys');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\ipinip.sys');
 DeleteFile('C:\Program Files\Common Files\System\apcsvra.dll');
 DeleteFile('C:\Program Files\Common Files\System\apcsvra.exe');
BC_ImportDeletedList;
ExecuteSysClean;
executerepair(14);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.

[bossmp3]

Выслал, но их удалял я и чтото еще удалил DrWeb.
Я написал в первом посте, что AVZ не видит проблем.

Добавлено через 3 минуты

Я знаю что мега шпион, но он мне не мешал, не с него каша заварилась.
Сейчас конечно все сделаю что скажете - НЕ ВОПРОС !

[bossmp3]

Новые логи.

[Rene-gad]

Я в логах проблем не вижу.
Сервис Пак нужно поставить - для Сервера не знаю, какой последний был.
Какие проблемы видите Вы?

[bossmp3]

Я же проблему изложил подробно, вот посмотрите скрин №1

[Rene-gad]

А Вы пункт

Код:

-  Очистите темп-папки, кэш проводников и корзину.

из сообщения 6 выполнили?

[bossmp3]

Естественно выполнил!
А проблема в том что не удается удалить файл "440Q46MT/app_[1]."
справа в тотал коммандере его видно на скрине и проблема что как Вы можете видеть одну и ту же папку проводник и тотал коммандер показывают по разному!
В проводнике как будто закрыт доступ к этой папке и она показывает куки которых в файлах при поиске нигде на компьютере нет и что эти кукисы появляются только когда открываешь интернет и наче папка пустая в проводнике!
Как будто ктото или чтото следит за тем как я логинюсь на сайтах..

[Rene-gad]

проблема что как Вы можете видеть одну и ту же папку проводник и тотал коммандер показывают по разному!

А опция Показывать скрытые и системные файлы в проводнике включена?

[bossmp3]

Естественно. Да и не от этого же проводник показывает во временной папке несуществующую физически ерунду.
Правду ведь, как я уверен на 99.99%, показывает тотал коммандер и ТК не может удалить файл которого я так понимаю тоже не существует, по крайнее мере ТК пишет что не может удалить файл так как этого файла не существует...

Повторяю итог: Моя проблема в том что проводник неверно отображает временную папку, не видит то что должно быть во временной папке по определению.
А Тотал коммандер все видит но не может удалить из нее файл.
И этот файл ,как я могу предполагать, принимает какое то участие в сбое проводника.

[Rene-gad]

Проверил у себя - в Тоталкоммандере видны эти магические 4 папки, которые не видны в проводнике. В IdosWin - мой стандартный проводник - видны еще какие-то папки/файлы и т.д. Можете еще с Volkov Commander поиграться, хотя смысла большого не вижу - ну есть файл с 0 байтов, ну и пусть Может он только в памяти сидит, а на диске - его тень.

[bossmp3]

Я не говорю что чтото не так с ТК или ВК, с ними то как раз все так, а проблема с проводником Windows, может файлы и ерунда может вирус уже прибит, но дело в чем...
Дело в том что 2 файла не удаляющихся с размером 0 байт появились вместе с сегодняшними вирусами и как я могу полагать именно они связаны с неверной работой проводника Windows..
Почему проводник не видит реальное содержимое папки
"Documents and Settings\Administrator\Local Settings\Temporary Internet Files" ?

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 9
• В ходе лечения обнаружены вредоносные программы:
  
  1. \\documents and settings\\userr\\local settings\\temp\\loader.exe - Trojan-Downloader.Win32.Mutant.awn (DrWEB: Trojan.DownLoad.2077)
  2. \\documents and settings\\userr\\local settings\\temporary internet files\\content.ie5\\cpahqb0b\\load[1].exe - Trojan-Downloader.Win32.Mutant.bxe (DrWEB: Trojan.MulDrop.18282)
  3. \\documents and settings\\userr\\local settings\\temporary internet files\\content.ie5\\o9qjoh2z\\load[1].exe - Trojan.Win32.Buzus.qyt (DrWEB: Trojan.MulDrop.18267)
  4. \\documents and settings\\userr\\local settings\\temporary internet files\\content.ie5\\91k1pvp8\\c[1].exe - Trojan-Proxy.Win32.Small.vd (DrWEB: Trojan.Packed.573)
  5. \\documents and settings\\userr\\local settings\\temp\\scan.exe - Trojan-Downloader.Win32.Small.aaso (DrWEB: Trojan.Packed.600)
  6. \\documents and settings\\userr\\local settings\\temp\\winrt5qknj5ugf93.exe - Trojan.Win32.Buzus.qyt (DrWEB: Trojan.MulDrop.18267)
  7. \\documents and settings\\userr\\local settings\\temp\\4bnb5.exe - Trojan-Downloader.Win32.Obfuscated.dgg (DrWEB: Trojan.DownLoad.344
  8. \\program files\\s87ekhv.exe - Trojan-Downloader.Win32.Mutant.bxe (DrWEB: Trojan.MulDrop.18282)
  9. \\windows\\services.exe - Trojan-Proxy.Win32.Small.vd (DrWEB: Trojan.Packed.573)