Com o Virtualbox (ou VMware, deve ser semelhante), você deve ser capaz de usar "Instantâneos" para reverter para um estado anterior.
A VM precisa ser desligada para poder "Capturar instantaneamente" o estado da VM. Você pode ter vários instantâneos.
Eu recomendei desativar a placa de rede no Vbox / VMware antes de mexer no malware.
Quanto ao "como" localizar as alterações feitas pelos malwares, eu não sei essa parte.