процесс rundll32.exe (с внедренным майнером) закрыли перед созданием образа автозапуска?
может переделаете образ автозапуска с активным процессом, чтобы можно было увидеть какой процесс ему внедряет майнера?
пока что видно несколько заданий, запускаемых из WMI:
WMI:\\.\ROOT\SUBSCRIPTION\.[F5BR1LMHB]
WMI:\\.\ROOT\SUBSCRIPTION\.[FKB6RDNGR]
WMI:\\.\ROOT\SUBSCRIPTION\.[FOQ6EDPWMK]
WMI:\\.\ROOT\SUBSCRIPTION\.[FUTWMFBRLE4]
+
по второму серверу сделайте образ автозапуска, чтобы было с чем сравнить
может переделаете образ автозапуска с активным процессом, чтобы можно было увидеть какой процесс ему внедряет майнера?
пока что видно несколько заданий, запускаемых из WMI:
WMI:\\.\ROOT\SUBSCRIPTION\.[F5BR1LMHB]
WMI:\\.\ROOT\SUBSCRIPTION\.[FKB6RDNGR]
WMI:\\.\ROOT\SUBSCRIPTION\.[FOQ6EDPWMK]
WMI:\\.\ROOT\SUBSCRIPTION\.[FUTWMFBRLE4]
+
по второму серверу сделайте образ автозапуска, чтобы было с чем сравнить