Вы должны выполнить восстановление из заведомо исправной резервной копии. По крайней мере, просканируйте сервер в автономном режиме с помощью какого-либо аварийного компакт-диска. Разобравшись с этим ...
Используйте Process Explorer , чтобы глубже изучить процессы и действия с файлами. Вы также можете использовать политику безопасности для аудита доступа к файловой системе . Однако, поскольку сервер скомпрометирован, я бы не стал доверять тому, что он мне сообщает.
Для одноразового ответа Microsoft Sysinternals Process Monitor будет отслеживать любые действия с файлами, которые вы пожелаете, и многое другое.