ну можно включить комп, ничего не запускать на нём и послушать трафик wireshark например... посмотреть куда он стучится, может выяснишь чего... А откуда инфа, что комп участвовал в чём-то ? ты мент чтоль ?

) ну я думаю хрен так с ходу что-то обнаружить можно, если его хорошо шифранули. Смотри процессы, какой от чего запущен, смотри какой трафик куда идёт. Потому что если комп часть ботнета, клинтская часть с нагрузкой должна всегда висеть в процессах, иначе как он будет получать команду от сервера.

Я + за вариант с ваершарком.
Программой autoruns можно посмотреть что стартует при запуске компьютера,какие программы в реестре,планировщик заданий и т.д.
Вот не плохой обзор программы autoruns

Да, это даст полную инфу