[QUOTE]DNS лог: 0
Отслеживание задач: 0
Отслеживание запуска процессов: 1
Отслеживание завершения процессов: 1[/QUOTE]
отслеживание задач - не поддерживается для данной системы, только отсл процессов+возможно лог DNS.

на первом сервере (Имя компьютера: IZTVMAIL01)
[QUOTE]pid=7260 NT AUTHORITY\СИСТЕМА
17:43:35 [2021.08.07]
cmdline=C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZ­YZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON
CPU 1013,99%
[B]parentid=13100[/B] не определился, или был закрыт после запуска майнера.
192.168.24.26:38069 <-> 95.216.46.125:443[/QUOTE]


на втором сервере (Имя компьютера: SPHVMAIL01) запуск примерно в это же время.
[QUOTE]C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZYZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON
17:34:15 [2021.08.07]
parentid=27320
192.168.10.26:51537 <-> 95.216.46.125:443
----------------[/QUOTE]
отфильтровать процессы, которые были запущены в этом интервале - не найдено других процессов в данный промежуток времени (17:**:** [2021.08.07].
в WMI - чисто

в пред. образе от 30.07
NT AUTHORITY\СИСТЕМА
C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZ­YZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON
03:48:12 [2021.07.30]
1001,31%
192.168.24.26:60064 <-> 95.216.46.125:443 /WHOIS: country:        FI/
----------------

итого:
[B]1. запуск происх примерно в одно и тоже время на обоих серверах.[/B]
2. запуск майнера идентичный на обоих серверах
3. удаленный адрес подкл - один и тот же, повторяется при новых запусках.


4. нужны новые логи ESETlogCollector (с обоих серверов), чтобы выполнить поиск по журналам, есть ли инфо в журналах по процессу с pid=13100, pid=27320

5. думаю, стоит еще включить лог DNS (в нужный момент), пусть пишется по 512Мб - на производительности системы не должно сказываться, после 512  - пойдет перезапись файла лога,

все может быть,
доставка вредоносных программ на комп пользователя - целая индустрия.
если модифицированный файл сохранился, проверьте его там же, на Virustotal.com, и дайте нам ссылку на линк проверки.
то, что нет изначального детекта у антивирусов - это естественная практика злоумышленников, сбить детект, выложить сборку, привлечь к ней внимание.
знают, что обнаружение будет, но не сразу.

будьте внимательны при скачивании и установке программ с недоверенных сайтов.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.11.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
hide %Sys32%\OPENSSH\SSH-AGENT.EXE
;------------------------autoscript---------------------------

zoo %SystemDrive%\USERS\DOK44\APPDATA\ROAMING\STEAMAPI\CHARTTABL­E\GAMESLIST\STEAMAPILIB.DLL
addsgn BA4D77BA55EA4D720BD4515164C81205258AFCF689FA1F7885C3C5BC50D6­714C2317C3573E559D492B80849F461649FA7DDFE87255DAB02C2D77A42F­C7062273 64 MSIL/Agent.TPR [ESET-NOD32] 7

chklst
delvir

apply

deltmp
delref %SystemDrive%\USERS\DOK44\APPDATA\LOCAL\TEMP\WCT8483.TMP
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVIDIA RTX VOICE\NVIDIA RTX VOICE.EXE
delref %Sys32%\REMOTEFXVGPUDISABLEMENT.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\RADMIN VPN\RVRVPNGUI.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %Sys32%\PWCREATOR.EXE
delref %Sys32%\BLANK.HTM
delref BROWSER\[SERVICE]
delref %Sys32%\DRIVERS\ENE.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\RADMIN VPN\RVCONTROLSVC.EXE
delref %Sys32%\DRIVERS\VBAUDIO_VMAUXVAIO64_WIN10.SYS
delref %Sys32%\DRIVERS\VBAUDIO_VMVAIO64_WIN10.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.145.49\PSMACHINE_64.DLL
delref D:\TV\TEAMVIEWER.EXE
delref %Sys32%\VAILAUDIOPROXY.EXE
delref %SystemRoot%\SYSWOW64\UPDATEDEPLOYMENTPROVIDER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.145.49\PSMACHINE.DLL
delref F:\HISUITEDOWNLOADER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\WINDSCRIBE\WINDSCRIBE.EXE
delref %SystemDrive%\USERS\DOK44\DESKTOP\TOR BROWSER\BROWSER\FIREFOX.EXE
delref D:\STEAM\STEAMAPPS\COMMON\CRY OF FEAR\COF.EXE
delref %SystemDrive%\PROGRAM FILES\IMAGE-LINE\FL STUDIO 20\FL64.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT VISUAL STUDIO\SHARED\PYTHON37_64\PYTHONW.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT VISUAL STUDIO\SHARED\PYTHON37_64\LIB\IDLELIB\IDLE.PYW
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT VISUAL STUDIO\SHARED\PYTHON37_64\PYTHON.EXE
;-------------------------------------------------------------
czoo

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

кстати, сюда надо почаще заглядывать, здесь просто кладезь полезной информации по нашей профильной теме.

[QUOTE]Злоумышленники могут использовать Regsvr32.exe для выполнения вредоносного кода через прокси. Regsvr32.exe - это программа командной строки, используемая для регистрации и отмены регистрации элементов управления связыванием и внедрением объектов, включая библиотеки динамической компоновки (DLL), в системах Windows. Regsvr32.exe также является двоичным файлом, подписанным Microsoft. [1]

Вредоносное использование Regsvr32.exe может предотвратить запуск инструментов безопасности, которые могут не отслеживать выполнение и модули, загружаемые процессом regsvr32.exe из-за списков разрешений или ложных срабатываний из Windows, использующих regsvr32.exe для обычных операций. Regsvr32.exe также можно использовать для обхода управления приложениями с помощью функции загрузки сценариев COM для выполнения библиотек DLL с разрешениями пользователя. Поскольку Regsvr32.exe поддерживает сеть и прокси, сценарии могут быть загружены путем передачи унифицированного указателя ресурсов (URL) в файл на внешнем веб-сервере в качестве аргумента во время вызова. Этот метод не вносит изменений в реестр, поскольку COM-объект фактически не регистрируется, а только выполняется[/QUOTE]

https://attack.mitre.org/techniques/T1218/010/

[QUOTE]С пустого места словил вирусняк [/QUOTE]
откуда кстати файл прилетел: после захода на сайт, или после установки некоторой программы?

[QUOTE]RP55 RP55 написал:
На V.T. обновили базы теперь файл  cef5aa279f639d500f83f51ae3bb846a2908019d  определяется как 1/68:  ESET-NOD32  A Variant Of MSIL/Agent.URR[/QUOTE]
отлично!

думаю, файл уже детектируется

[QUOTE]Время;Модуль сканирования;Тип объекта;Объект;Обнаружение;Действие;Пользователь;Информация;Хэш;Первое обнаружение здесь
06.08.2021 17:51:29;Защита файловой системы в реальном времени;файл;G:\DATA\image\майнеры\hashcalc\ZOO_2021-08-06_08-37-18\STEAMAPILIB.DLL._CEF5AA279F639D500F83F51AE3BB846A2908019D;модифицированный MSIL/Agent.URR троянская программа;очищено удалением;-Событие произошло при попытке получения доступа к файлу следующим приложением: C:\Program Files\Mozilla Firefox\firefox.exe (8288CDC1F6AB89A159E5A1A17A22F4AEB7838A61).;CEF5AA279F639D500F83F51AE3BB846A2908019D;06.08.2021 12:42:51
[/QUOTE]

систему, так понимаю уже очистили,
скрипт поправил, используйте исправленный скрипт

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]


;uVS v4.11.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

hide %Sys32%\OPENSSH\SSH-AGENT.EXE
delall %SystemDrive%\USERS\WIN10\APPDATA\ROAMING\MICROSOFT\HASHCALC­\MD5\HASHCALC.EXE

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCALJGKLBBFBCJJANAIJLACGNCAFPEGLL%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCBPBKEBODCJKKNKFKPMFECIINHIDAEH%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFLLIILNDJEOHCHALPBBCDEKJKLBDGFKK%26INSTALLSOURCE%3D­ONDEMAND%26UC
apply

deltmp
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_D71D3F5EA7618CBB\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F C:\PROGRAMDATA\NVIDIA\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_D71D3F5EA7618CBB\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\FRAMEVIEWSDK\FRAMEVIEW.CSV
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {BFD98515-CD74-48A4-98E2-13D209E3EE4F}\[CLSID]
delref %Sys32%\PWCREATOR.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\FOXIT SOFTWARE\FOXIT READER\PLUGINS\NPFOXITREADERPLUGIN.DLL
delref %Sys32%\BLANK.HTM
delref {45AC2688-0253-4ED8-97DE-B5370FA7D48A}\[CLSID]
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_D71D3F5EA7618CBB\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F %PROGRAMDATA%\NVIDIA\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_D71D3F5EA7618CBB\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM
delref %SystemDrive%\USERS\WIN10\APPDATA\ROAMING\MOZILLA\FIREFOX\PR­OFILES\JRYZUO5B.DEFAULT-RELEASE\EXTENSIONS\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES\CFOSSPEED\CFOSSPEED.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\INTERNET DOWNLOAD MANAGER\IDMIECC64.DLL
delref %SystemRoot%\ARKINO12\JSDRIVER64.DLL
delref %SystemRoot%\ARKINO12\JSPAGESTD64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\FOXIT SOFTWARE\FOXIT READER\PLUGINS\FOXITREADERBROWSERAX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\INTERNET DOWNLOAD MANAGER\DOWNLWITHIDM64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\INTERNET DOWNLOAD MANAGER\IDMGETALL64.DLL
delref D:\PROGRAMMS\PREMIERE PRO 2019\ADOBE\ADOBE PREMIERE PRO CC 2019\WMENCODINGHELPER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.45\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.65\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\BLACKMAGIC DESIGN\DAVINCI CONTROL PANELS\API\FAIRLIGHTPANELAPI.DLL
delref %SystemRoot%\USB VIBRATION\DR100&110\807EZFRD64.DLL
delref %SystemRoot%\USB VIBRATION\DR100&110\811EZFRD64.DLL
delref %SystemRoot%\USB VIBRATION\DR100&110\813EZFRD64.DLL
delref %SystemRoot%\USB VIBRATION\DR100&110\807FCVAP64.DLL
delref %SystemRoot%\USB VIBRATION\DR100&110\811FCVAP64.DLL
delref %SystemRoot%\USB VIBRATION\DR100&110\813FCVAP64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\INTERNET DOWNLOAD MANAGER\IDMIECC.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\INTERNET DOWNLOAD MANAGER\IDMFSA.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\ACCESSIBLEMARSHAL.DLL
delref %SystemRoot%\SYSWOW64\PERCEPTIONSIMULATIONEXTENSIONS.DLL
delref %SystemRoot%\ARKINO12\JSDRIVER32.DLL
delref %SystemRoot%\ARKINO12\JSPAGESTD32.DLL
delref %SystemRoot%\SYSWOW64\MAPSCSP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\INTERNET DOWNLOAD MANAGER\DOWNLWITHIDM.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\INTERNET DOWNLOAD MANAGER\IDMGETALL.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_D71D3F5EA7618CBB\NVENCMFTH264.DLL
delref %SystemRoot%\SYSWOW64\ESCLWIADRIVER.DLL
delref %SystemDrive%\PROGRA~2\COMMON~1\WONDER~1\WONDER~1\WSHELPER.EXE
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_D71D3F5EA7618CBB\NVDECMFTMJPEG.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.45\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.65\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_D71D3F5EA7618CBB\NVENCMFTHEVC.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\INTERNET DOWNLOAD MANAGER\IDMAN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\INTERNET DOWNLOAD MANAGER\IDMBROKER.EXE
;-------------------------------------------------------------
czoo
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/