Вирус на Windows Server 2012. Как вылечить?

Question

[serega_ba]

На сервере стоит ESET File Security. Ловит сетевую активность - т.е. сервак спамит какие-то айпи.
Как вылечиться от заразы?
KVRT также засекает exe левые, удаляет, но они появляются вновь.

Логи такие:
16.04.2020 9:36:32;Фильтр HTTP;файл;178.20.208.37/server.exe;Win32/Farfli.CEN троянская программа;соединение прервано;NT SERVICE\MSSQLSERVER;Событие произошло при попытке доступа к Интернету следующим приложением: C:\Windows\System32\cscript.exe (4147B73B1224BF0D778D57B0D1391C6EE043FCFE).;72912F8B315C033A643DEAEEA62A519F3D2D328C;07.04.2020 9:23:33
16.04.2020 9:36:32;Фильтр HTTP;файл;178.20.208.37/server.exe;Win32/Farfli.CEN троянская программа;соединение прервано;NT SERVICE\MSSQLSERVER;Событие произошло при попытке доступа к Интернету следующим приложением: C:\Windows\System32\cscript.exe (4147B73B1224BF0D778D57B0D1391C6EE043FCFE).;72912F8B315C033A643DEAEEA62A519F3D2D328C;07.04.2020 9:23:33
17.04.2020 4:43:54;Фильтр HTTP;файл;178.20.208.37/server.exe;Win32/Farfli.CEN троянская программа;соединение прервано;NT SERVICE\MSSQLSERVER;Событие произошло при попытке доступа к Интернету следующим приложением: C:\Windows\System32\cscript.exe (4147B73B1224BF0D778D57B0D1391C6EE043FCFE).;72912F8B315C033A643DEAEEA62A519F3D2D328C;07.04.2020 9:23:33
17.04.2020 4:43:54;Фильтр HTTP;файл;178.20.208.37/server.exe;Win32/Farfli.CEN троянская программа;соединение прервано;NT SERVICE\MSSQLSERVER;Событие произошло при попытке доступа к Интернету следующим приложением: C:\Windows\System32\cscript.exe (4147B73B1224BF0D778D57B0D1391C6EE043FCFE).;72912F8B315C033A643DEAEEA62A519F3D2D328C;07.04.2020 9:23:33
17.04.2020 18:45:31;Фильтр HTTP;файл;178.20.208.37/server.exe;Win32/Farfli.CEN троянская программа;соединение прервано;NT SERVICE\MSSQLSERVER;Событие произошло при попытке доступа к Интернету следующим приложением: C:\Windows\System32\cscript.exe (4147B73B1224BF0D778D57B0D1391C6EE043FCFE).;72912F8B315C033A643DEAEEA62A519F3D2D328C;07.04.2020 9:23:33
17.04.2020 18:45:31;Фильтр HTTP;файл;178.20.208.37/server.exe;Win32/Farfli.CEN троянская программа;соединение прервано;NT SERVICE\MSSQLSERVER;Событие произошло при попытке доступа к Интернету следующим приложением: C:\Windows\System32\cscript.exe (4147B73B1224BF0D778D57B0D1391C6EE043FCFE).;72912F8B315C033A643DEAEEA62A519F3D2D328C;07.04.2020 9:23:33
20.04.2020 21:28:04;Фильтр HTTP;файл;178.20.208.37/server.exe;Win32/Farfli.CEN троянская программа;соединение прервано;NT SERVICE\MSSQLSERVER;Событие произошло при попытке доступа к Интернету следующим приложением: C:\Windows\System32\cscript.exe (4147B73B1224BF0D778D57B0D1391C6EE043FCFE).;72912F8B315C033A643DEAEEA62A519F3D2D328C;07.04.2020 9:23:33
20.04.2020 21:28:04;Фильтр HTTP;файл;178.20.208.37/server.exe;Win32/Farfli.CEN троянская программа;соединение прервано;NT SERVICE\MSSQLSERVER;Событие произошло при попытке доступа к Интернету следующим приложением: C:\Windows\System32\cscript.exe (4147B73B1224BF0D778D57B0D1391C6EE043FCFE).;72912F8B315C033A643DEAEEA62A519F3D2D328C;07.04.2020 9:23:33

Comments

[Ярослав Иванов]

Вы сервером пользуетесь как обычным компом что ли ? файлы скачиваете не пойми откуда и сразу устанавливаете ?

[klepiku]

SFC /scannow

попробуйте

и в автозагрузке приберитесь

[#]

так как и рабочую станцию лечить

Answer 1

[xmoonlight]

Подмените cscript.exe на свою простую прогу, выдающую инфу в текстовик о стартовавшем её процессе, с какими аргументами он это сделал, под каким юзером.
И дальше - по логу находите.

Answer 2

[klepiku]

SFC /scannow

попробуйте

и в автозагрузке приберитесь

Answer 3

[Drno]

Автозагрузка проверить
Drweb cureit прогнать, посмотреть что нашел, вручную удали эти файлы вирусни
Вычестить папку appdata (далее скорее всего temp) от вирусни