Извините, я понятия не имею, каково это, однако, у Вас есть более важные проблемы прямо сейчас.
Сколько машин делает это? Вы разъединили их всех от сети? (и в противном случае почему нет?)
Можно ли найти доказательство каких-либо учетных записей домена поставленным под угрозу (учетные записи особенно администратора домена)
Я могу понять Вас, не желая создать Ваши рабочие столы снова, но если Вы не делаете, Вы не можете быть уверены, что уберете машины.
Первые шаги:
Затем необходимо выполнить некоторую судебную экспертизу на известных устройствах с неисправностями, чтобы попытаться проследить то, что произошло. После того как Вы знаете это, Вы получаете лучшую возможность знания, каков объем этого нападения. Используйте корневой набор revealer, возможно, даже отобразите жесткий диск перед уничтожением любого доказательства. Живые CD Linux с поддержкой NTFS могут быть очень полезными здесь, поскольку они должны позволить Вам находить то, что мог скрывать корневой набор.
Вещи рассмотреть:
Править: Попытка дать больше информации является трудной, поскольку она действительно зависит от того, что Вы находите, но находиться в аналогичной ситуации несколько лет назад, действительно необходимо не доверить всему, особенно машины и учетные записи, которые Вы знаете для взлома.