A "solução" acabou contratando uma empresa para entrar e limpar toda a rede. Eles entraram, desligaram todas as máquinas da rede (e os roteadores e o firewall também), verificaram todos eles com 10 scanners de vírus / spyware diferentes, desfragmentaram cada HD (por medida), atualizaram todos os PCs para os service packs mais recentes, fez o mesmo para os servidores, alterou todas as senhas do sistema, redefiniu e reconfigurou os roteadores e firewalls para fechar todas as portas, exceto as necessárias, configurar políticas de grupo, tornar os usuários não administradores de suas máquinas, etc.
Isso levou cerca de 18 horas @ $ 65 por hora, mas agora a rede e todas as máquinas estão gritando rápido e nenhuma intrusão foi detectada.
É drástica, mas a rede precisava urgentemente de uma revisão geral, e a empresa de segurança nos deu uma lista de tudo que encontraram - 290 trojans em 10 máquinas, uma variedade de spyware, o firewall tinha regras para abrir portos, mas alguém tinha adicionado uma regra no ano passado que abriu todas as portas, então eles consertaram isso também.
Eu sei que a segurança é um processo contínuo, mas os resultados até agora são realmente palpáveis em quanto as coisas estão funcionando melhor.