Разобрался, Малвербайт виновник,  отключил и сразу запустился. Твик выполнил. Но странно на втором сервере такой же малвербайт стоит, и там дал запустится )))1. Мне нужно снова отправить образ?Вот это не понял... Какие мои действия? Как я понял: Сейчас на двух серверах прибит\отключен майнер. Я уже запустил твик 39 с перезагрузкой сервера с отключённым майнером. Сейчас жду запуск майнера, когда он запускается я делаю образ автозапуска. Присылаю вам, и делаю твик 40 для отключения 39 твика, и что бы ГБ лога не росли дальше. Я правильно всё понял? Или вы это написали к тому что бы я 39 твик применил ближе к ночи, ближе по времени ДО запуску майнера?
2.Экчендж в наружу смотрит только для получения отправки почты, мобильных приложений, вэб доступ. Проброс портов минимальный. 587, 465, 443. ЛОКАЛЬНЫХ левых учетных записей нет, те что были локальные по умолчанию им сменили пароли. ДОМЕННЫХ учеток левых пытались найти, запуская скрипт повершела, левых СОЗДАНЫХ или ИЗМЕНЕНЫХ наших вроде как нет, но тут под вопросом.
3. Как я помню запускался из под СИСТЕМА, авторан или диспетчер задач показал так.
4.  Да, сделал АКТУАЛЬНОЙ.

не увидел сразу сообщение, так как попало на 3 лист.

1. да, нужен новый образ автозапуска после твика 39 и перезагрузки.

конечно, желательно, чтобы процесс запуска майнера попал сразу после перезагрузки

запись лога dns с включенным твиком 39 пойдет с момента новой загрузки системы.

за 30-5о минут непрерывной записи (после перезагрузки) лог  DNS займет порядка 500Мб, хорошо, если запуск майнера попадет в этот интервал,
тогда можно будет сделать образ автозапуска и затем отключить логгирование, чтобы файла лога не разрастался на системном диске.

2.
да, смотрел, что rundll32.exe запускается от имени системы

да , все верно,
главное, чтобы майнер запустился в это период, чтобы увидеть цепочки запуска
только для применения твика 40 (отключение отслеживания), опять же нужна перезагрузка системы

Владимир, еще пара вопросов:

1. есть какая то закономерность по времени запуска процесса с майнером?
судя по образу на сервере
Имя компьютера: IZTVMAIL01
время запуска было:
03:48:12 [2021.07.30]
2. майнер запускается повторно в течение суток  после закрытия процесса?

Что я сделал, вчера сразу отключил твиком 40 анализ, т.к. обычно в ночь стартует майнер, не хотел ГБ места тратить. А так же хотел проверить сработало удаление WMI
Закономерности нет! И это пугает. Почти всегда в разное время, при чем не во все дни. С воскресения на понедельник уже вторая неделя не чего не запускается, но на этой недели (сегодня) так же не запустился, но возможно Ваш рецепт с WMI помог.
Сейчас хочу понаблюдать, если удаление WMI помогло или нет. Если нет, то Будем твиком 39 наблюдать.
А вообще нет какого то софта специализированно, который бы наблюдал за такими вещами?

ясно.

по этому серверу проверьте IZTVMAIL01

можно через auturuns+ образ автозапуска без отслеживания процессов, проверим секцию WMI что-то там появилось вновь или нет после очистки скриптом.

или самостоятельно проверьте
здесь
(то что здесь отмечено, было в пред образе, когда майнер запускался, и это мы все удалили скриптом)



по логированию DNS разработчик дал пояснение:
regt 40  - отключение твика 39 (без перезагрузки) очищает и урезает лог до 1 мегабайта, при этом запись в лог продолжается.
regt 40 & restart - отключает твик 39 (+перезагрузка) - полностью очищает лог, и запись после перезагрузки в лог не выполнятся.

Пусто.  

да, пусто в WMI, и чисто,

SIEM системы, мониторить логи событий, системы обнаружения вторжений и т.п.
логи в uVS, autoruns - это уже постфактум действия, те после того, как злоумышленники закрепились в системе.

Второй день, и всё нормально... напишу как проблема снова появится. Если до следующего понедельника всё будет нормально, то думаю можно закрывать инцидент. Но я в любом случае отпишусь.