Вирус или шаманство?

Установлен Win2k3 DrWeb+обновления ежедневно.

Словил шнягу, услышав и увидев, когда при посещении страницы стали запускаться всякие файлы, короче понял что процесс пошел.
DrWeb проорал что нашел один зараженный и удалил.
Сразу после этого нашел файлы за последние 5 минут, потер что на вирус было похоже, вообщем все как обычно. (за 5 лет плотного стажа всегда справлялся со всеми вирями без особых проблем)
Файлы были следующие:
Documents and Settings\Userr\Local Settings\Temp\4BNB5.exe
Documents and Settings\Userr\Local Settings\Temp\loader.exe
Documents and Settings\Userr\Local Settings\Temp\scan.exe
Documents and Settings\Userr\Local Settings\Temp\winrt5QKnj5ugF93.exe

Documents and Settings\Userr\Local Settings\Temporary Internet Files\Content.IE5\91K1PVP8\c[1].exe
Documents and Settings\Userr\Local Settings\Temporary Internet Files\Content.IE5\CPAHQB0B\load[1].exe
Documents and Settings\Userr\Local Settings\Temporary Internet Files\Content.IE5\O9QJOH2Z\load[1].exe

Program Files\S87ekhV.exe
WINDOWS\services.exe

Все отключил все удалил без проблем.
AVZ говорит все ОК
DrWeb говорит все ОК
В HIJACK тоже ничего подозрительного нового

В чем проблема?
Проблему увидел что в Documents and Settings\Userr\Local Settings\Temp появилась папка Temporary Internet Files, думаю ладно фиг с ней, вир чтото там накопировал - удаляю ее, чтото удалилось, но осталось несколько папок типа
"Documents and Settings\Userr\Local Settings\Temp/Temporary Internet Files/0T6F8XUB"
а в них файлы с длинным названием в 3 строки блокнота вообщем длинные
(типа fslfklsfjnakosj_fjsn[dskfmldskfdsfsd.dsss]dslnfjsdnfl)
и размером 0 байт, это еще не суть. Вообщем пытаюсь удалить Total Commander-ом, не удаляется. Ладно, из проводника все удалилось без проблем.
А вот теперь то что я не решил и собственно в чем проблема.
Теперь уже проблема в самой папке
"Documents and Settings\Userr\Local Settings\Temporary Internet Files",
даже не в ней а вот в чем:

"Documents and Settings\Userr\Local Settings\Temporary Internet Files\Content.IE5\440Q46MT\app_[1]." размер 0 байт

"Documents and Settings\Userr\Local Settings\Temporary Internet Files\Content.IE5\KD6JS9Q7\app_[1]." размер 0 байт

Эти два файла видит тотал коммандер но удалить не может пишет not found, а проводник вообще не раскрывает папку Temporary Internet Files как будто она пустая, НО после захода в инет после посещения страниц проводник показывает в ней Cookie, которых больше нигде нет и total commander их не видит в этой папке. Тоесть выглядит это так:
Тотал коммандер видит:

Documents and Settings\Userr\Local Settings\Temporary Internet Files\Content.IE5\440Q46MT и другие файлы и папки,

А проводник видит следующее:

"Documents and Settings\Userr\Local Settings\Temporary Internet Files\Cookie:[email protected]/" (Text Document 1kb)
"Documents and Settings\Userr\Local Settings\Temporary Internet Files\Cookie:[email protected]/" (Text Document 1kb)

и так далее... проводник удалить дает, переименовать не дает F2 не работает, но F2 не работает только в этой папке если перейти в другую папку то работает.

Понятно что связь между не удаляемыми файлами которые видит тотал и этими куки которые видит проводник есть, но не могу понять что делать, в тупике, может конечно туплю от недосыпа, но вот она проблема. Жду помощи, советов. Если от меня понадобятся любые логи и прочее - все сделаю.

[QUOTE=bossmp3;266211]Если от меня понадобятся любые логи и прочее - все сделаю.[/QUOTE]Ну Вы же правила читали? [url]http://virusinfo.info/showthread.php?t=1235[/url]

Для начала надеялся на совет. Сейчас все будет.

[QUOTE=bossmp3;266214]Для начала надеялся на совет. Сейчас все будет.[/QUOTE]
Шаманство и гадание на бобах - это не наш метод. 8)

Готово. Удаленные вирусы-файлы могу тоже подкинуть.

[QUOTE=bossmp3;266228]Удаленные вирусы-файлы могу тоже подкинуть.[/QUOTE]Обязательно. Почитайте в приложении 3 правил - как это сделать.

удалите Мегааплоад Тул Бар - это шпион

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O20 - Winlogon Notify: bt848rom - C:\WINDOWS\
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('apcsvra32');
DeleteService('pptp64');
DeleteService('pptp32');
DeleteService('apcsvra');
DeleteService('IpInIp');
QuarantineFile('C:\Program Files\Common Files\System\apcsvra.exe','');
QuarantineFile('C:\Program Files\Common Files\System\apcsvra.dll','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\ipinip.sys','');
QuarantineFile('C:\WINDOWS\system32\pptp64.sys','');
DeleteFile('C:\WINDOWS\system32\pptp64.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\ipinip.sys');
DeleteFile('C:\Program Files\Common Files\System\apcsvra.dll');
DeleteFile('C:\Program Files\Common Files\System\apcsvra.exe');
BC_ImportDeletedList;
ExecuteSysClean;
executerepair(14);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин [COLOR="Red"][B]по красной ссылке[/B][/COLOR] вверху темы.
- Прикрепите логи к новому сообщению.

Выслал, но их удалял я и чтото еще удалил DrWeb.
Я написал в первом посте, что AVZ не видит проблем.

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Я знаю что мега шпион, но он мне не мешал, не с него каша заварилась.
Сейчас конечно все сделаю что скажете - НЕ ВОПРОС !

Новые логи.

Я в логах проблем не вижу.
Сервис Пак нужно поставить - для Сервера не знаю, какой последний был.
Какие проблемы видите Вы?

Я же проблему изложил подробно, вот посмотрите скрин №1

А Вы пункт
[CODE]- Очистите темп-папки, кэш проводников и корзину.[/CODE]
из сообщения 6 выполнили?

Естественно выполнил!
А проблема в том что не удается удалить файл "440Q46MT/app_[1]."
справа в тотал коммандере его видно на скрине и проблема что как Вы можете видеть одну и ту же папку проводник и тотал коммандер показывают по разному!
В проводнике как будто закрыт доступ к этой папке и она показывает куки которых в файлах при поиске нигде на компьютере нет и что эти кукисы появляются только когда открываешь интернет и наче папка пустая в проводнике!
Как будто ктото или чтото следит за тем как я логинюсь на сайтах..

[QUOTE=bossmp3;266256] проблема что как Вы можете видеть одну и ту же папку проводник и тотал коммандер показывают по разному![/QUOTE]А опция Показывать скрытые и системные файлы в проводнике включена?

Естественно. Да и не от этого же проводник показывает во временной папке несуществующую физически ерунду.
Правду ведь, как я уверен на 99.99%, показывает тотал коммандер и ТК не может удалить файл которого я так понимаю тоже не существует, по крайнее мере ТК пишет что не может удалить файл так как этого файла не существует...

Повторяю итог: Моя проблема в том что проводник неверно отображает временную папку, не видит то что должно быть во временной папке по определению.
А Тотал коммандер все видит но не может удалить из нее файл.
И этот файл ,как я могу предполагать, принимает какое то участие в сбое проводника.

Проверил у себя - в Тоталкоммандере видны эти магические 4 папки, которые не видны в проводнике. В IdosWin - мой стандартный проводник - видны еще какие-то папки/файлы и т.д. Можете еще с Volkov Commander поиграться, хотя смысла большого не вижу - ну есть файл с 0 байтов, ну и пусть :) Может он только в памяти сидит, а на диске - его тень.

Я не говорю что чтото не так с ТК или ВК, с ними то как раз все так, а проблема с проводником Windows, может файлы и ерунда может вирус уже прибит, но дело в чем...
Дело в том что 2 файла не удаляющихся с размером 0 байт появились вместе с сегодняшними вирусами и как я могу полагать именно они связаны с неверной работой проводника Windows..
Почему проводник не видит реальное содержимое папки
"Documents and Settings\Administrator\Local Settings\Temporary Internet Files" ?

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\documents and settings\\userr\\local settings\\temp\\loader.exe - [B]Trojan-Downloader.Win32.Mutant.awn[/B] (DrWEB: Trojan.DownLoad.2077)[*] \\documents and settings\\userr\\local settings\\temporary internet files\\content.ie5\\cpahqb0b\\load[1].exe - [B]Trojan-Downloader.Win32.Mutant.bxe[/B] (DrWEB: Trojan.MulDrop.18282)[*] \\documents and settings\\userr\\local settings\\temporary internet files\\content.ie5\\o9qjoh2z\\load[1].exe - [B]Trojan.Win32.Buzus.qyt[/B] (DrWEB: Trojan.MulDrop.18267)[*] \\documents and settings\\userr\\local settings\\temporary internet files\\content.ie5\\91k1pvp8\\c[1].exe - [B]Trojan-Proxy.Win32.Small.vd[/B] (DrWEB: Trojan.Packed.573)[*] \\documents and settings\\userr\\local settings\\temp\\scan.exe - [B]Trojan-Downloader.Win32.Small.aaso[/B] (DrWEB: Trojan.Packed.600)[*] \\documents and settings\\userr\\local settings\\temp\\winrt5qknj5ugf93.exe - [B]Trojan.Win32.Buzus.qyt[/B] (DrWEB: Trojan.MulDrop.18267)[*] \\documents and settings\\userr\\local settings\\temp\\4bnb5.exe - [B]Trojan-Downloader.Win32.Obfuscated.dgg[/B] (DrWEB: Trojan.DownLoad.3448)[*] \\program files\\s87ekhv.exe - [B]Trojan-Downloader.Win32.Mutant.bxe[/B] (DrWEB: Trojan.MulDrop.18282)[*] \\windows\\services.exe - [B]Trojan-Proxy.Win32.Small.vd[/B] (DrWEB: Trojan.Packed.573)[/LIST][/LIST]