Спасибо. Сейчас буду проверять всё что ниписали. Но с того момента как заблокировал всю хетслерскую сеть, так уже вторую неделю не видим проблем. Но проверять нужно.

Я все же думаю что эксплойт запускается с "внешнего мира", т.е. есть какая то дыра, которая позволяет удаленно запускать на серваке заразу. Т.к. фаилы создаются самопроизвольно, под пользователем СИСТЕМА, и смысла нет искать на самом серваке. Если только с помощью чего запустили они этот процесс, но мы вроде как это выяснили.
В идеале прикрыть 443 порт, но закрыть ну не как не реально. Сейчас заблокировал хетцнерскую сеть, понаблюдаю. Думаю поможет НА ВРЕМЯ. Но дыру как отыскать...

Да. Установил на всякий случай, если вдруг удаленка по РДП будет пропадать (у нас при первой атаке так было).
я бы не сказал, 03:48:12 [2021.07.30] и 17:34:15 [2021.08.07]Заблокировал на сетевом адресе подсеть 95.216.46.0
Это самое сложное "В нужный момент". Я так понял что если перезаписывает лог каждый час, необходимо попасть(не спать) в этот час?  

Наконец то отловил.
Новая версия, без ДНСов.

Сделал.
Сегодня снова в ночь запустился майнер. Сегодня ночью\либо утром сделаю твик 39 + образ после перезагрузки от применения твика. А там будем надеяться что снова запустится майнер. Отпишусь.

Второй день, и всё нормально... напишу как проблема снова появится. Если до следующего понедельника всё будет нормально, то думаю можно закрывать инцидент. Но я в любом случае отпишусь.

Пусто.  

Что я сделал, вчера сразу отключил твиком 40 анализ, т.к. обычно в ночь стартует майнер, не хотел ГБ места тратить. А так же хотел проверить сработало удаление WMI
Закономерности нет! И это пугает. Почти всегда в разное время, при чем не во все дни. С воскресения на понедельник уже вторая неделя не чего не запускается, но на этой недели (сегодня) так же не запустился, но возможно Ваш рецепт с WMI помог.
Сейчас хочу понаблюдать, если удаление WMI помогло или нет. Если нет, то Будем твиком 39 наблюдать.
А вообще нет какого то софта специализированно, который бы наблюдал за такими вещами?

Разобрался, Малвербайт виновник,  отключил и сразу запустился. Твик выполнил. Но странно на втором сервере такой же малвербайт стоит, и там дал запустится )))1. Мне нужно снова отправить образ?Вот это не понял... Какие мои действия? Как я понял: Сейчас на двух серверах прибит\отключен майнер. Я уже запустил твик 39 с перезагрузкой сервера с отключённым майнером. Сейчас жду запуск майнера, когда он запускается я делаю образ автозапуска. Присылаю вам, и делаю твик 40 для отключения 39 твика, и что бы ГБ лога не росли дальше. Я правильно всё понял? Или вы это написали к тому что бы я 39 твик применил ближе к ночи, ближе по времени ДО запуску майнера?
2.Экчендж в наружу смотрит только для получения отправки почты, мобильных приложений, вэб доступ. Проброс портов минимальный. 587, 465, 443. ЛОКАЛЬНЫХ левых учетных записей нет, те что были локальные по умолчанию им сменили пароли. ДОМЕННЫХ учеток левых пытались найти, запуская скрипт повершела, левых СОЗДАНЫХ или ИЗМЕНЕНЫХ наших вроде как нет, но тут под вопросом.
3. Как я помню запускался из под СИСТЕМА, авторан или диспетчер задач показал так.
4.  Да, сделал АКТУАЛЬНОЙ.

Странно, Не могу запустить на одном из серверов актуальную версию, при чем uVS v4.11.6 запускается... При нажатии Запуск под текущим пользователем ничего после не открывается. Сделал перезагрузку, не помогло. На IZTVMAIL01 запустил твик, ждем.
C:\Users\All Users\Malwarebytes\MBAMService\Quarantine  - тут пусто.

Обязательно отпишусь!