Владимир,

сделайте еще лог ESETlogCollector на IZTVMAIL01, может в журналах событий что-то будет на момент запуска 30.07
(надо было конечно пораньше запросить, вместе с образом автозапуска)
https://forum.esetnod32.ru/forum9/topic10671/

+
статья о примере мониторинга событий в WMI,
https://www.fireeye.com/blog/threat-research/2016/08/wmi_vs_wmi_monitor.html

Сделал.
Сегодня снова в ночь запустился майнер. Сегодня ночью\либо утром сделаю твик 39 + образ после перезагрузки от применения твика. А там будем надеяться что снова запустится майнер. Отпишусь.

можно новой версией UVS 4.11.8 включить только отслеживание процессов (только твик 39+перезагрузка)
и дождаться запуска майнера.
затем сделать образ автозапуска (с уже включенным отслеживанием)
(+ можно добавить новые логи autoruns и Esetlogcollector)



лог DNS в новой версии вынесен отдельно.
4.11.8

 если не поможет отслеживание процессов, после можно будет еще и добавить логгирование DNS

Наконец то отловил.
Новая версия, без ДНСов.

В SPHVMAIL01
Есть: RemoteAdmin
Полное имя                  C:\PROGRAM FILES (X86)\LITEMANAGER PRO - SERVER\ROMSERVER.EXE
Имя файла                   ROMSERVER.EXE

Сохраненная информация      на момент создания образа
Статус                      ПРОВЕРЕННЫЙ
File_Id                     573EB6C862B000
Linker                      2.25
Размер                      5890016 байт
Создан                      20.05.2016 в 10:06:30
Изменен                     20.05.2016 в 10:06:30
                           
TimeStamp                   20.05.2016 в 07:03:36
EntryPoint                  +
OS Version                  5.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Оригинальное имя            ROMSERVER.EXE
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано Yakhnovets Denis Aleksandrovich IP
                           
Версия файла                4.7.2.0
                           
Доп. информация             на момент обновления списка
SHA1                        1D3A7A4B1A57192A9187D5901D38495B0F7888CB
MD5                         1A0C89DC5D3814C030DCAC5BD88349F9
                           
Ссылки на объект            
SHORTCUT                    C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\LITEMANAGER PRO - SERVER\Settings for LM-Server.lnk
SHORTCUT                    C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\LITEMANAGER PRO - SERVER\Start LM-Server.lnk
SHORTCUT                    C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\LITEMANAGER PRO - SERVER\Stop LM-Server.lnk
                           
Вы с ним работаете ?

отслеживание задач - не поддерживается для данной системы, только отсл процессов+возможно лог DNS.

на первом сервере (Имя компьютера: IZTVMAIL01)


на втором сервере (Имя компьютера: SPHVMAIL01) запуск примерно в это же время.
отфильтровать процессы, которые были запущены в этом интервале - не найдено других процессов в данный промежуток времени (17:**:** [2021.08.07].
в WMI - чисто

в пред. образе от 30.07
NT AUTHORITY\СИСТЕМА
C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZ­YZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON
03:48:12 [2021.07.30]
1001,31%
192.168.24.26:60064 <-> 95.216.46.125:443 /WHOIS: country:        FI/
----------------

итого:
1. запуск происх примерно в одно и тоже время на обоих серверах.
2. запуск майнера идентичный на обоих серверах
3. удаленный адрес подкл - один и тот же, повторяется при новых запусках.


4. нужны новые логи ESETlogCollector (с обоих серверов), чтобы выполнить поиск по журналам, есть ли инфо в журналах по процессу с pid=13100, pid=27320

5. думаю, стоит еще включить лог DNS (в нужный момент), пусть пишется по 512Мб - на производительности системы не должно сказываться, после 512  - пойдет перезапись файла лога,

Да. Установил на всякий случай, если вдруг удаленка по РДП будет пропадать (у нас при первой атаке так было).
я бы не сказал, 03:48:12 [2021.07.30] и 17:34:15 [2021.08.07]Заблокировал на сетевом адресе подсеть 95.216.46.0
Это самое сложное "В нужный момент". Я так понял что если перезаписывает лог каждый час, необходимо попасть(не спать) в этот час?  

Я все же думаю что эксплойт запускается с "внешнего мира", т.е. есть какая то дыра, которая позволяет удаленно запускать на серваке заразу. Т.к. фаилы создаются самопроизвольно, под пользователем СИСТЕМА, и смысла нет искать на самом серваке. Если только с помощью чего запустили они этот процесс, но мы вроде как это выяснили.
В идеале прикрыть 443 порт, но закрыть ну не как не реально. Сейчас заблокировал хетцнерскую сеть, понаблюдаю. Думаю поможет НА ВРЕМЯ. Но дыру как отыскать...

нет,
имел ввиду, что когда происходит запуск какой-то день, то запуске происходят примерно в одно и то же время на обоих серверах.

по 2021.07.30 у нас были логи только с одного сервера

а вот 2021.08.07 есть логи от обоих серверов, и здесь видно, что время запуска примерно одинаковое

17:34:15 [2021.08.07] на SPHVMAIL01
17:43:35 [2021.08.07] на IZTVMAIL01

с другой стороны, согласен, что четкого расписания по времени нет в разные дни

склоняюсь к версии, либо проникновение возможно в сеть, либо удаленный запуск через доступную уязвимость
+ имеет смысл проверить дату изменения паролей учетных записей (если не было изменений после взлома, то сменить пароли)
---------
вот опять недавно пишут про новую обнаруженную уязвимость ProxyShell

ProxyShell - это название трех уязвимостей, которые при объединении в цепочку выполняют удаленное выполнение кода без проверки подлинности на серверах Microsoft Exchange.

Эти связанные уязвимости используются удаленно через службу клиентского доступа (CAS) Microsoft Exchange, работающую на порту 443 в IIS.

В атаках ProxyShell используются три связанных уязвимости:

CVE-2021-34473 - Pre-auth Path Confusion leads to ACL Bypass (исправлено в апреле KB5001779)
CVE-2021-34523 - Повышение привилегий для серверной части Exchange PowerShell (исправлено в апреле, KB5001779)
CVE-2021-31207 - Запись произвольного файла после авторизации приводит к RCE (исправлено в мае KB5003435)

https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-servers-scanned-for-proxyshell-vulnerability-patch-now/

если есть возможность, проверьте по журналам было ли вторжение в локальную сеть (проникновение  или удаленное выполнение кода  в данных интервалах времени
17:34:15 [2021.08.07] на SPHVMAIL01
17:43:35 [2021.08.07] на IZTVMAIL01


да, успеть создать образ автозапуска пока система не затерла в логах DNS нужные записи, связанные с запуском процесса.
в принципе, можно создать скрипт с созданием образа автозапуска из uVS, который бы сработал на запуск майнера.
автоматически сразу после обнаружения процесса запуска майнера.
(важно, чтобы отслеживание на сервере было уже включено: и процессов и DNS)
ну, собственно прописать в скрипте:
"создать образ автозапуска"
выгрузить процесс майнера после завершения создания образа автозапуска"
и "отключить отслеживание".

или создать задачу, которая бы с определенной периодичностью запускала скрипт,
скрипт сканирует список процессов
если находит процесс с майнером, то запускает uVS на создание образа автозапуска, после завершения выгружает процесс майнера,
закрывает отслеживание
+
отправляет сообщение на почту администратору.

важно определить сколько по времени займет однократный процесс сканирования, чтобы определить с какой периодичностью можно запускать задачу.

Владимир,
стоит еще выполнить поиск в сети по след. параметрам:

возможно, это адрес кошелька
+
pool.supportxmr.com:443

Apr 29 2021

https://docs.microsoft.com/en-us/answers/questions/376174/exchange-server-vulnerability-still-having-issues.html