может переделаете образ автозапуска с активным процессом, чтобы можно было увидеть какой процесс ему внедряет майнера?
пока что видно несколько заданий, запускаемых из WMI:
WMI:\\.\ROOT\SUBSCRIPTION\.[F5BR1LMHB]
WMI:\\.\ROOT\SUBSCRIPTION\.[FKB6RDNGR]
WMI:\\.\ROOT\SUBSCRIPTION\.[FOQ6EDPWMK]
WMI:\\.\ROOT\SUBSCRIPTION\.[FUTWMFBRLE4]
+
по второму серверу сделайте образ автозапуска, чтобы было с чем сравнить