Подозрение на шифровальщик на серверах

Доброго времени суток, коллеги.
Сегодня был скомпроментированн доступ к RDP на 2х серверах. Появился новый пользователь, который был незамедлительно удалён, а также проведена проверка KVRT, на одном сервере был найден файл andaprbramha.exe, проверил на virustotal, показал [COLOR=#B40C1A][FONT=&quot]Trojan-Ransom.Win32.Cryakl.aog. Пока шифрование не началось, но есть подозрение, что это до перезагрузки.
FRST показал изменения в политиках и AlternateDataStreams
В логе AVZ подозрительного не увидел.
В данный момент делаю бэкапы файлов и баз данных.
собственно вопрос, если делать логи Autologger с зажатым shift, как я понял выполнится 2й скрипт, но будет ли перезагрузка? Или лучше сделать логи по старой схеме? Сервера 2008r2 и 2012.
Заранее спасибо.
PS Политики поправил, больше попасть с "левого" ip не получится.[/FONT][/COLOR]

Уважаемый(ая) [B]Samuray87[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Прошу закрыть тему:)