[Flex1]

По журналу аудита увидел, что удаление происходит через explorer.exe. Вот ниже привожу сообщение аудита
Выполнена попытка получения доступа к объекту.

Субъект:
ИД безопасности: Flex1PK\Flex1
Имя учетной записи: Flex1
Домен учетной записи: Flex1PK
Код входа: 0x29503

Объект:
Сервер объекта: Security
Тип объекта: File
Имя объекта: E:\$RECYCLE.BIN\S-1-5-21-2076948443-3459350233-3667173131-1000\$RKS50M2\154 КОРОБКА С КАРАНДАШАМИ.mp3
Код дескриптора: 0x480

Сведения о процессе:
Идентификатор процесса: 0x870
Имя процесса: C:\Windows\explorer.exe

Сведения о запросе на доступ:
Операции доступа: DELETE

Вопрос в следующем, как узнать почему это происходит? Если это вирус, то почему не один из известных крупных антивирусов, таких как dr. web. Nodd 32, касперский не могут его найти, даже используя live cd ил установку винды чистой без софта вообще с удалением всех данных ? Как дальше вычислить причину удаления файлов? Очень надеюсь на Вашу помощь