[kim-aa]

Такие вещи легче предотвратить чем лечить.
Правило номер один: фаервол должен разрешать лишь необходимый минимум типов трафика
Правило номер два: хосты должны иметь минимум доступа в интернет минуя прокси.
Правило номер три: хост доступный извне (даже за NAT, даже по порту, даже по Port Mapping), должен быть максимально изолирован от основной сети (вне домена, win-службы отключены, лучший вариант - отдельный сегмент сети с фильтрацией трафика )

Была такая шикарная книжка в свое время: "Создание узлов бастионного типа на основе Windows 2000"