Fai la scientifica.
Cattura il traffico della tua rete locale.
Analizza il traffico, sito qualsiasi connessione anomala, c'è qualche macchina che comunica con domini o IP dannosi?
Da quel punto di vista, puoi localizzare il / i computer / i compromesso.
Isolare quelle macchine, acquisire immagini. (Data / Ora, Unità, Cache, Memoria ecc.)
Cattura i log di sistema, vedi chi è stato prima compromesso, quindi puoi localizzare chi è la fonte del focolaio.
Sradicare le macchine infette o dovremmo dire, pulirle, ri-immaginarle.
Lezioni apprese:
Implementare firewall / IDS / IPS / Software anti-malware
Esegui un approccio difensivo.