Eu recomendaria três ferramentas para determinar se o seu sistema faz parte de uma botnet. O conjunto de ferramentas sysinternals é indispensável para este processo. As três ferramentas listadas abaixo são as que você usará para este processo.
Process Explorer, TCPView Filemon
O primeiro passo é executar o TCPView para ver se você está falando com algum endereço estranho na web. Você deve ser capaz de reconhecer todos os sites com os quais está falando. Se você encontrar um site que está acessando e que não reconhece, então é hora de olhar mais de perto o que está acontecendo.
Em geral, quando você tem uma botnet em sua máquina, ela acessa a Internet em algum momento e quando não se esqueça de notar.
Depois de identificar o tráfego não autorizado, normalmente você pode ver qual programa está tentando fazer a conexão. É aqui que você vai ao proces explorer e aqui você tentará coletar o máximo de informações úteis sobre o processo. Também não se esqueça de tomar nota quando você encerrar o processo suspeito. Se você obtiver o processo certo, a comunicação não autorizada no fio deve parar.
Em seguida, você acessa o filemon para garantir que o malware não tenha aberto outro arquivo para mantê-lo ativo.
Este é um processo cíclico, mas à medida que você elimina os programas, um de cada vez, você encontrará seu problema, se houver um.