Извините возможны ошибки не знаю как тут править.
Забыл написать.
Было заражено 5 машин в локальной системе. Ативирус при этом нифига не нашел и не находит.
Как понял что именно они.
В логах стали писаться огромное количество запросов (Аудит отказ) от этих машин на предмет входа через RDP, причем логин указан верный, а вот пароль поскольку при наборе в ******* тупо подбирался. Поскольку в основном у обычных пользователей пароль около 9 знаков то подборщик за пару дней ломает как минимум одного.
Были очищены данные компы, но пишут что: меня вирус пережил формат жёсткого диска, удаление разделов жёсткого диска, перепрошивку БИОСа и роутера, формат флэшки с Виндой, попытку установить Винду с другого образа - всё без толку. До сих пор, 2 недели спустя, никто не нашёл источник появления этого бэкдора на компьютере. Поэтому если у вас появился описанный в теме майнер, то более чем вероятно появился и бэкдор через который этот майнер скачивается.
Пока запросов с машин не идёт логи проверяю каждый час, но не спокойно ох не спокойно. Перебрал всю групповую политику ужесточил всё, что только можно на чистой машине 2 неделя тихо.