здесь rar.exe запущен из процесса оснастки для Exchange, вряд ли он здесь запущен с целью архивирования/разархивирования - но все может быть, может инициатор запуска запущен из архива, а то что он является родительским по отношению к запуску процесса майнера это мы видим из образа автозапуска

все может быть.
если telnet не нужен, а он очевидно запускается на маршрутизаторе, как раз для возможности дист. подкл,  то его надо отключить.

и каким боком этот отчет к нашему случаю запуска майнера?
[QUOTE]Данные атаки были выявлены в 2020 году специалистами центра
противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» совместно
с Национальным координационным центром по компьютерным инцидентам (НКЦКИ[/QUOTE]
уязвимости в Exchange открыты были в начале этого года. (хотя возможно, кому то были известны  до публикации в открытом доступе)

да, похоже на попытки доступа юзеров, которых нет в настройках роутера.

по вкладкам настроек походите, на предмет поиска инфо по этим возможностям.
Веб-конфигуратор на русском языке
Командная строка (CLI) по TELNET
Возможность управления из внешней сети (веб-конфигуратор/CLI)

я съехал с Zyxel Omni (в том числе и ) поскольку уже не работает автоматическое обновление для NDMS 2
на Keenetic Giga

http://download.from.zyxel.ru/download/6a52db2f-4b0d-4ebb-84e2-716d85651ec2/Keenetic_omni_qsg.pdf

такой? OS - NDMS 2?



раздел есть в документации, надо смотреть веб-интерфейс настроек, возможно есть так доп настройки.
Диагностика и управление
ӜВеб-конфигуратор на русском языке
ӜКомандная строка (CLI) по TELNET
ӜВозможность управления из внешней сети (веб-конфигуратор/CLI)
ӜРезервирование и восстановление конфигурации
ӜПрограммное обновление функций
ӜСистемный журнал

добавьте образ автозапуска
+
журнал обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

модель роутера какая у вас?

[QUOTE]Сергей Шустов написал:
таких в темпе нет. Посмотрю при запущенном майнере[/QUOTE]

судя по образу, процесс короткий, не более минуты длился
09:36:07 [2021.11.07]
09:36:55 [2021.11.07]
процесс с майнингом
[CODE]C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZYZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON[/CODE]
запущен именно в этом интервале
09:36:23 [2021.11.07]

проверьте в папке C:\Windows\Temp есть указанные файлы?
C:\Windows\Temp\Rar.exe
C:\Windows\Temp\tmpVJSY.tmp
C:\Windows\Temp\tmpSCWT.tmp

[QUOTE]Полное имя C:\WINDOWS\TEMP\RAR.EXE
Имя файла                   RAR.EXE
Тек. статус                 ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
Инф. о файле                The system cannot find the file specified.
Цифр. подпись               проверка не производилась
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Доп. информация             на момент обновления списка
pid = 8132                  NT AUTHORITY\SYSTEM
Процесс создан              09:36:07 [2021.11.07]
Процесс завершен            09:36:55 [2021.11.07]
CmdLine                     "C:\Windows\Temp\Rar.exe" C:\Windows\Temp\tmpVJSY.tmp C:\Windows\Temp\tmpSCWT.tmp
parentid = 12404            C:\WINDOWS\SYSTEM32\INETSRV\W3WP.EXE[/QUOTE]