Подозрительная периодическая загрузка System.

[ilax]

Здравствуйте.
Недавно столкнулся с подозрительным поведением windows 7. Время от времени, примерно с частотой 1 раз в 1-5 минут системный процесс System полностью нагружает один из логических процессоров (25%)*. Process Explorer показывает, что это потоки с названиями "ntkrnlpa.exe!KeInsertQueueDpc+0x265" и "ntkrnlpa.exe!ExpWorkerThread".
Антивирус не стоял (предпочитаю вручную проверять), firewall только базовый виндовый+роутер к интернету, несколько виртуальных приводов Blue-ray/DVD/CD.
После обнаружения странного поведения проверял CureIt, все чисто. AVZ умирал в процессе работы (Access Violation...). HyperSight при первом запуске подвесил систему, затем ругался на отсутствие памяти для запуска. Другие программы для борьбы с вирусами так же вели себя нестандартно.
В дальнейшем AVZ заработал нормально (обнаруживая множество измененных адресов (попытка отключить их не удается)), HyperSight обнаруживает множество "covert code executed" - 5-10 за 10 секунд работы. Gmer выводит подозрение на руткит:
Type,Name,Value
Device,\FileSystem\Ntfs \Ntfs,858011F8
AttachedDevice,\Driver\kbdclass \Device\KeyboardClass0,Wdf01000.sys
AttachedDevice,\Driver\kbdclass \Device\KeyboardClass1,Wdf01000.sys

Попытка исследовать потоки xperf и kernrate дала мало (никогда не было опыта).
Подозрение, что это всё же руткит. Какие будут советы? Всё что в присланом (каждый файлик, длл-ка и т.д.) - было проверено. Из видимого всё чисто, ничего нет. Не проверял только адреса перехватов (не знаю как) и альтернативные потоки ntfs и более сложные методы (mbr, скрытая запись на диск вне FS и т.д.). Может это быть руткит, есть ли шанс, что он мог быть не обнаружен несмотря на такие усердные попытки его найти?

* на 5-10 секунд.
Кстати, системное восстановление выключено, не знаю, почему в логе показывается включенным. Специально проверял и перегружался.

[ilax]

Эксперты, ну что скажете? Есть идеи?