[QUOTE]Владимир Шариков написал:
Странно, Не могу запустить на одном из серверов актуальную версию, при чем uVS v4.11.6 запускается... [/QUOTE]
возможно причина в этом:
ответ разработчика
[B]такое бывает когда проблемы с BITS, но оно не вешается, а минут через 5-10 выдает ошибку и продолжает работу, лечится удалением базы bits [/B]

ок.

1. если скрипты очистки выполнили, те что были выше, надо смотреть есть ли что-то сейчас в WMI или нет.
2. проверить - нет ли левых учетных записей, с которых может быть удаленное подключение
3. если процесс майнера запускается - проверить, под какой учетной записью запускается процесс (возможно взломщики получили пароли)
4. если будет включено отслеживание событий - [URL=https://www.dropbox.com/s/w3pagxu3ys4jewr/uvs_latest.zip?dl=0]обязательно новой версией uVS 4.11.7[/URL] (твиком 39+перезагрузка системы)

[CODE];uVS v4.11.7 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
regt 39
restart
[/CODE]

надо иметь ввиду след. сообщение от разработчика:

[QUOTE](!) Включение ведения DNS лога требует дополнительно 512mb на системном диске, этого объема хватает на 30-50 минут,
  (!) поэтому рекомендуется проводить анализ или создание образа сразу после перезагрузки. [/QUOTE]

т.е. образ нужно будеn сделать сразу после перезагрузки системы. и передать его для анализа.

+ отключить отслеживание (с перезагрузкой системы), чтобы лог DNS не занимал Гб на системном диске.
[CODE];uVS v4.11.7 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
regt 40
restart
[/CODE]

вы можете выделить, какие сайт открывать в защищенном браузере,
смотрите след опцию "включить перенаправление на защищенные сайты"
(а защиту всех браузеров - откючить)

а это не помогает? При откл. этой опции - рамки нет

Владимир, напишите по результату - помогло удаление заданий в WMI или нет

стоит обратить внимание на данное сообщение, возможно с этого ip было сканирование ресурсов и ip попал во временную блокировку

возможно на удаленном сервере есть белый список адресов, с которых разрешено подключаться по RDP из внешней сети.
все остальные адреса блокируются при подключении.
(и это правильная политика)

рабочие станции и сервер в одной локальной сети?
или сервер за пределами локальной сети (из рабочих станций), т.е удаленный сервер, к которому станции пытаются подключиться по RDP?

[QUOTE]Владимир Шариков написал:
пришлите карантин этих файлов прислать в почту  [email protected]  в архиве с паролем infectedМожете рассказать как это делать в малвербайте? Отчет нашел как отправить, а сам карантин не вижу где это делается в программе.[/QUOTE]
здесь может быть
C:\Users\All Users\Malwarebytes\MBAMService\Quarantine
можно саму папку заархивировать с паролем infected

[B]!!!если есть еще время для исследования данной ситуации!!![/B]
можно включить отслеживание событий, на сервере, где запускается майнер.
через твик 39
чтобы лучше изучить цепочку событий, в частности непонятно, какой процесс запустил rundll32 с майнером parentid: 16032
(подозреваю что через WMI это запускается)

пример скрипта с перезагрузкой системы:
[CODE];uVS v4.11.7 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
regt 39
restart[/CODE]
но сделать надо это актуальной версией uVS v4.11.7
скачать отсюда
https://www.dropbox.com/s/w3pagxu3ys4jewr/uvs_latest.zip?dl=0
поле перезагрузки, не закрывая запущенный процесс с майнером сделать новый образ автозапуска (новой версией)
затем процесс с майнером можно закрыть