После того как вирус обнаруживается, я проявляю подход, что целая установка является теперь подозреваемым и не должна доверяться. Я не думаю, что существует что-либо, чтобы быть полученным путем попытки "разгрести бардак". Сократите свои потери и переустановите.
Когда вирус повреждает Вашу систему, существует только один способ, которым можно быть уверены, что Вы удалили все трассировки вируса, и это должно сделать полную переустановку, включая переформатирование Вашего диска (дисков). Хотелось бы надеяться, Ваш друг выполнял регулярные резервные копии их системы. Теперь слишком поздно, чтобы сделать резервное копирование, как другие предположили. Если Вы выполняете резервное копирование теперь, Вы потенциально создаете вирус зараженное резервное копирование, потому что Вы не можете быть уверены, какие файлы были затронуты вирусом. Если бы необходимо было восстановить данные из вируса зараженное резервное копирование, то Вы могли бы закончить назад в той же ситуации, в которой находится Ваш друг теперь.:-(
Я предложил бы немного отличающийся подход:
Можно проверить IIS на порты SSL, потому что можно настроить и изменить порты SSL на менеджере по IIS, Вы видите ssl порты, которые настроены по-другому.