さすがに高性能なフォレンジックソフトを使えば簡単に見つけられるようです。

focus-s
株式会社フォーカスシステムズが公開した
年金機構への標的型攻撃に利用された「Emdivi」のResponder Proによる検知と解析


ただ、一般の方にしてみればちょっとオーバースペックかもしれませんので、もっと簡単に確認する方法を紹介します。

タスクマネージャーを開き、対象プロセスを右クリック、「ダンプファイルの作成」を選択します。
taskmanager_emdivi

あとは、作成されたダンプファイルからC2サーバのドメインを検索するだけです。
上記のサイトによると東京都港区にある海運企業のドメインは「p」で終わるようですので、「p.co.jp」で検索します。
cmd_emdivi

海運企業っぽい名前が出てきたら感染しています。

実際には海運企業以外もC2サーバとして使われていますので、もうちょっと汎用的なキーワードのほうがいいかもしれません。
cmd_emdivi2