Выключается комп

[y.xakep]

На днях Компютер стал сам по себе выключатся.
Нашел в автозагрузке подозрительные файлы.

Их не видно в "Настройке Системы" (msconfig):

+


Зато очень хорошо видно в менеджере Автозагрузки "Starter" (от CodeStuff):


Первый, как видно по картинке, не имеет ни имени, ни значения, ни описания, ни производителя. Все что о нем известно это его запуск через HKLM:


Второй файл: REBUILDI.EXE - запускается в C:\WINDOWS\system32 через HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOn ce под названием "Rebuild Icon Cache", под описанием "ReBuildIcon (ReBuildIcon 1.0)", под производителя "Quiet installer by YikxX":


При обычном файловом поиске в Windows - найдены его "друзья" в папке "C:\WINDOWS\inf" - RebuildI.inf и rebuildi.PNF:


Все найденые файлы отсканированы в NoVirusThanks
Заражен только REBUILDI.EXE. Вот результаты:

Report generated: 9.1.2010 at 22.10.21 (GMT 1)
Filename: REBUILDI.EXE
File size: 218529 bytes
MD5 hash: 8fe0fd81e8e47e4d0291773d361d8d01
SHA1 hash: AF498D076C5CDCE00C85C66BA95A523AC76D332F
Detection rate: 13 on 24
Status: INFECTED
Detections
a-squared - Trojan.Generic!IK
Avira AntiVir - TR/PWS.218529
Avast - -
AVG - Runtime packed upack
BitDefender - Trojan.Generic.1347006
ClamAV - -
Comodo - UnclassifiedMalware
Dr.Web - -
Ewido - -
F-PROT6 - W32/Heuristic-210!Eldorado
G-Data - -
Ikarus T3 - Trojan.Generic
Kaspersky - -
McAfee - Generic.dx trojan
NOD32 v3 - -
Norman - Trojan W32/Packed_Upack.A
Panda - Generic Trojan
QuickHeal - Trojan.Agent.irc
Solo Antivirus - -
Sophos - Sus/ComPack-K
TrendMicro - -
VBA32 - -
VirusBuster - Packed/Upack
ZonerAntivirus - -
Scan report generated by NoVirusThanks.org______________

Report generated: 9.1.2010 at 20.42.14 (GMT 1)
Filename: rebuildi.PNF
File size: 3668 bytes
MD5 hash: c6c8d724f2e0f0abde7d12dc296bd9bd
SHA1 hash: EAD8515D1E7A13BD43370272DFDDA38747491B86
Detection rate: 0 on 24
Status: CLEAN
...
Scan report generated by NoVirusThanks.org______________


Report generated: 9.1.2010 at 20.38.27 (GMT 1)
Filename: RebuildI.inf
File size: 555 bytes
MD5 hash: c14f0baf63f8c0a171ad5bc5ad24e773
SHA1 hash: C7490C720CCCC9443FCFDB61E08831F37568EE47
Detection rate: 0 on 24
Status: CLEAN
...
Scan report generated by NoVirusThanks.org______________

При реестровом поиске в regedit - найдены следующие ключи:

Код:

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Rebuild icon Cache"="REBUILDI.EXE"

В "Диспечере Задач" (Task Manager) ничего не заметно,
если конечно не запускать RABUILDI.EXE вручную.
GUI у этого приложения отсутствует.
Несмотря на зараженость не думаю что REBUILDI сильно вредит компютеру.
Моя проблема с отключением компютера наверное в другом месте.
Конечно можно было бы
убрать все подозрительное с автозагрузки,
удалить соответственные файлы,
удалить прилагающиеся ключи
и "спать" спокойно.
Но сильно манит раздел Помогите.
Так что принимайте вложеные файлы.

[миднайт]

В HiJackThis пофиксите:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)

В AVZ - AVZPM- Установить драйвер расширенного мониторинга процессов.
Повторите лог virusinfo_syscheck и HiJackThis.

[y.xakep]

1. Пофиксил вышеперечисленные два пункта в HiJackThis.
2. Установил драйвер расширенного мониторинга процессов AVZ
3. Перезагрузился.
4. Сохранил новый лог HiJackThis.
5. Сохранил новый сбор информации для раздела "Помогите!"

Вот логи:

[миднайт]

Ничего зловредного не обнаружил. Что с проблемой?

[y.xakep]

Ничего зловредного не обнаружил. Что с проблемой?

Прождал несколько дней наблюдая за машиной.
Врооде исчезла проблема.
Но не пойму что мне делать с подозрительными обьектами.
Удалять, выгружать, стереть все что с ними связано?
Или оставить?.. раз уж ничего вредного не найдено.