Puede ser porque en general los AV tienen dos modos de detección: Runtime y Scantime.
Si le envías a alguien un server y no lo detecta, es posible que sea indetectable por Runtime. En cambio, algunos AV crean un log del sistema y, al iniciar, crean otro y lo comparan. Si algo ha cambiado, inician un escaneo. Entonces, si tu server es detectable por Scantime, lo encuentra y lo borra.

Saludos!

PD: Algunos crypters dejan el server indetectable en Runtime y Scantime, pero cuidado de que no te jodan el server.

No es por eso. (De todas formas puedes comprobar en el log si sale algo o no sale nada.)

Posibilidad 1: Al server no le has añadido/Configurado las opciones para mantenerse después de cada reinicio.

Posibilidad 2: Tiene UAC activado. (Con uac activado ya puedes ejecutar los troyanos que quieras, que si indicas que se instalen en "System32" o carpetas protegidas de windows... al reiniciar se eliminan todos los archivos y es como si no hubiera existido nunca, y obviamente, como si nunca se hubiera infectado).


Solución a la posibilidad 1: Es obvia.  

Solución a la posibilidad 2: Intenta usar otra ruta por defecto, por ejemplo "Program files", o intenta usar Vista UAC Maker.



Leete la descripción del cripter o Preguntale al autor.


saludosss

Pues si el AV dice que lo detecta, Pues va a ser que si que lo detecta...

No pierdas el tiempo, acabas antes buscando otro crypter o dejando el stub que usas FUD, sacale firmas o con el ollydbg.