Son değiştirilme tarihlerine bak dosyaların ordan yola çıkarak virüslü dosyayı ve kodları bulabilirsin genelde base64 ile decode ediyorlar