То, что был отключен UAC - серьёзная уязвимость.
Соберите новые логи, можно FRST.
Если предполагаете, что заражение происходит через один из подключаемых к серверу компьютеров, думаю, нужно отключить всех и изменить пароли на подключение.
Затем по очереди каждый пролечить, например,
через KVRT. После чего по одному подключать.
