jdk

Возможны атаки следующего вида -
1)Целенаправленная атака на конкретного пользователя.
2)Доступ к оборудованию сети и получение данных всех пользователей этой сети.
Например админ вашей организации может получать все данные что вы передаете по сети.
3)Массовые атаки на неопределенный круг лиц, путем заворачивания их трафика на свои сервера - прокси, VPN, поддельные сайты, левые ссылки в поисковиках.
Например бесплатный прокси для обхода блокировок, или клон популярного сайта, например создать клон этого ресурса по адресу tocter.ru, раскидать ссылки на него в поисковиках и собирать все пароли. Мешает этому только https.

1. Дирлист (на незаражённом в текстовик).
2. После заражённого - отключить авто-запуски с флешки.
3. И снова дирлист.
4. Сравнить.
5. Если равны - всё ОК.

трафик можно проанализировать на предмет активности вредоносов. т.е. запросы\ответы к\от командного центра ботнета, от репозиториев откуда будут вкачиваться модули и т.п. в общем искать в источниках, назначениях неожидаемые адреса и пытаться исследовать тело пакета (это в 99% случаях бесполезно, т.к. тело зашифровано).
Это сейчас про ручной метод, который очень неэффективный.
Есть всякие IDS/IPS в том числе HIDS/HIPS, которые детектят на основе сигнатур и(или) эвристики, тут эффективность больше.

А вообще, чтобы проанализировать что на комп ничего не попало, одного мониторинга сетевой активности мало, нужно ещё в сторону АВПО смотреть.