É assim que eu faria:
- Primeiro, eu consideraria o sistema comprometido. Isso significa que eu não confiaria nos dados, nas configurações, etc., a menos que seja cuidadosamente verificado.
- Eu prepararia um CD ao vivo e um disco rígido vazio (pode ser um armazenamento de rede não comprometido)
- Eu reinicializaria o sistema (não reinicializaria o sistema, mas reinicializaria o botão) e faria uma imagem do disco. Essa imagem deve ser feita somente para leitura ou você deve criar um backup dela. A imagem pode ser usada tanto para análise forense quanto para recuperação de dados.
- Eu usaria uma VM confiável limpa na qual montaria as partições e examinaria com antivírus todos os volumes usados para compartilhamento de arquivos.
- Mesmo se você tiver backups, não confie nos dados.
- Instale os serviços em novos servidores limpos e mova os dados enquanto os analisa