Verifique cuidadosamente, se quiser, mas os atacantes espertos podem deixar sinais fáceis de detectar, mas escondem outros backdoors escondidos de maneira inteligente ... Pode ser impossível ter certeza ...
O problema é que, uma vez comprometida, a máquina (e outras máquinas às quais ela pode acessar) torna-se pouco confiável (já que é impossível saber se elas mudaram alguma coisa. Então você tem que assumir que elas o fizeram. poderia alterar o sistema operacional / kernel, os comandos, o sistema de arquivos, os setores de inicialização, qualquer coisa.Pode simplesmente agir "normal" e ocultar arquivos específicos ou pastas ou pacotes de rede.Você não pode confiar em nenhum comando em uma máquina que foi acessada por hackers.)
Normalmente, a melhor tática (e a mais rápida!) é a abordagem "nuke orbit": desconecte a máquina de todas as redes (lan, etc), faça backup de documentos e reinstale a máquina inteira usando um CD. e não temperado com fonte). E, em seguida, restaurar apenas os documentos sobre ele (no exe, sem dll, sem binários, sem scripts (ou verificá-los thourougly), etc). E consertar o que permitiu a violação em primeiro lugar antes de conectá-lo à rede novamente.
O problema é que, além dessa máquina, uma vez tendo acesso à lan, eles poderiam ter usado ferramentas para obter acesso a qualquer uma das outras máquinas (incluindo o roteador).
A mesma tática aplica-se também ...
Deixe a parte "investigação" para outras pessoas e outras vezes (mantenha o disco por perto quando tiver tempo).
Para um procedimento de modo detalhado, link , por RobM , é uma boa leitura, com passos seguros e importantes.