Рекомендую на файрволе, антивирусе закрыть доступ к ресурсам:
update.7h4uk.com
185.234.217.139
Отключить доступ к PowerShell хотя бы на время.
Проверить на уязвимости и Malwarebytes все компьютеры в сети.
На сервере установить аудит реестра, чтобы понять, хотя бы под какими учётками прописывают задания, WMI скрипты и IPSec политику.
