Враг на сервере создал учетку, дал ей права админа, пользователя удаленного рабочего стола и зашел на сервер из инета по RDP. порт RDP изменен, снаружи тоже другой порт, пароли сложные. Переборов замечено не было. В журнале первое упоминание этой учетки имеет SubjectLogonId 0x3e7. Когда я создаю учетку то в SubjectLogonId видно автора, создающего пользователя, а в данном случае получается пользователя создала системная служба. Для локальной сети на сервере есть общие папки, пользователи тоже авторизуются.
Очень очень хочется узнать какими средствами нужно создавать пользователя, чтобы SubjectLogonId получился 0x3e7 ? И именем создающей учетной записи было бы название самого сервера с $ на конце типа "SERVER02$"
да, дополнительные проверки на вирусы ничего не выявили. на сервере стоит Eset, он сработал только когда враг попытался запустить варианты mimikatz. утилиты от dr.web и касперского нашли только майнинги, которые и установил враг, но я их и так увидел так как они сильно грузили процы

похоже, что воспользовались какой-то уязвимостью службы.
скорее всего вы не устанавливаете обновления.

Обновления всегда устанавливаю сразу. Сразу после недавней эпидемии дополнительно закрыл порты 135, 137, 138, 139, 1024-1035 даже в локальной сети, плюс отключил SMBv1

тогда я внимательней бы поизучала логи - возможно сбрутили RDP и уже внутри сессии что-то делали.

Во время игры в онлайне оборвалась связь с сервером, я решил посмотреть, что в это время происходило на компе и в Просмотре событий обнаружил следующее: То есть кто то взломал мой компьютер?

Новому сеансу входа назначены специальные привилегии.

Субъект:
ИД безопасности: СИСТЕМА
Имя учетной записи: СИСТЕМА
Домен учетной записи: NT AUTHORITY
Код входа: 0x3E7

Привилегии: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
SeDelegateSessionUserImpersonatePrivilege