[Sandor]

То, что был отключен UAC - серьёзная уязвимость.
Соберите новые логи, можно FRST.

Если предполагаете, что заражение происходит через один из подключаемых к серверу компьютеров, думаю, нужно отключить всех и изменить пароли на подключение.
Затем по очереди каждый пролечить, например, через KVRT. После чего по одному подключать.

[Leaves]

Цитата Sandor:

Соберите новые логи, можно FRST. »

Приврепил

Цитата Sandor:

Если предполагаете, что заражение происходит через один из подключаемых к серверу компьютеров »

Думаю вряд-ли. Они подключаются через RemoteApp, на сервере ничего не делают кроме 1С. и прав админских ни у кого нет

[Sandor]

Известны ли вам эти файлы?

Цитата:

C:\Windows\Tasks\Wrap.exe C:\Windows\Tasks\MSTask.exe C:\ProgramData\migrate.exe C:\ProgramData\st.bat C:\ProgramData\ru.bat

Файл

Цитата:

C:\Windows\Tasks\svchosl.exe

проверьте на www.virustotal.com и дайте ссылку на результат.
Скорее всего вредонос и можно удалить.

[Leaves]

Цитата Sandor:

Известны ли вам эти файлы? »

Неизвестны

Цитата Sandor:

проверьте на www.virustotal.com и дайте ссылку на результат. »

https://www.virustotal.com/gui/file/...4f191b9dab1837

[Sandor]

Все перечисленные файлы удалите.

Просканируйте систему с помощью KVRT.
Будет создана папка C:\KVRT2020_Data\Reports
Упакуйте её в архив и прикрепите к следующему сообщению.

[Leaves]

Цитата Sandor:

Все перечисленные файлы удалите. »

После этого перезагрузка нужна будет?

Цитата Sandor:

Просканируйте систему с помощью KVRT. »

Из терминального сеанса врядли это удасться сделать. буду планировать под выходные чтобы кто-нибудь дал мне доступ через TeamViewer

[Sandor]

Цитата Leaves:

После этого перезагрузка нужна будет? »

Нет.

Цитата Leaves:

буду планировать под выходные »

Хорошо.

[Leaves]

Цитата Sandor:

C:\ProgramData\migrate.exe C:\ProgramData\st.bat C:\ProgramData\ru.bat »

Вот это удалилось.

Цитата Sandor:

C:\Windows\Tasks\MSTask.exe C:\Windows\Tasks\svchosl.exe C:\Windows\Temp\~Mp2BD.tmp »

это не удаляется, занято таким-то процессом, через диспетчер задач завершаешь процесс, закрывается диспетчер задач и процесс запускается заново. Как еще можно удалить?

[Sandor]

Как видите, такой способ лечения, которым мы с вами пробуем лечить - не эффективен.

Других способов лечения я пока не вижу:

Цитата Sandor:

Просканируйте систему с помощью KVRT. Будет создана папка C:\KVRT2020_Data\Reports »

с последующей перезагрузкой.
После перезагрузки и без подключения к сети стОит ещё раз проверить.

[Leaves]

Цитата Sandor:

Просканируйте систему с помощью KVRT. »

Системный раздел тоже проверить?