Isso tende a parecer que você foi comprometido ("pwn3d"). Essa é uma atividade bastante suspeita. Eu retiraria essa caixa da rede o mais rápido possível, começaria a investigar como a violação poderia ter ocorrido e estaria pronto para restaurar a máquina a partir do backup se algo persistente fosse instalado na caixa.
Pode não haver nada persistente instalado em sua máquina (ainda). Eu costumo pensar que não há.
É provável que você tenha xp_cmdshell ativado em sua instância do SQL Server e um atacante remoto está usando essa funcionalidade em uma tentativa de derrubar o código e executá-lo em sua caixa. Com base no fato de que cmd.exe está sendo gerado a partir de sqlservr.exe , isso parece provável.
Se você sabe que não precisa da funcionalidade xp_cmdshell ativada para qualquer aplicativo que hospeda, eu prefiro
Parece que você está bloqueando o FTP de saída do servidor (bravo!) e isso provavelmente está impedindo o invasor de exibir seu código e executá-lo.
O SQL Profiler pode mostrar as consultas que o invasor está executando para causar a execução do xp_cmdshell . Presumivelmente eles estão injetando SQL em um aplicativo que está usando o SQL Server.