Bueno, si el ataque fue en su PC, lo que tiene que hacer es pasar un buen antivirus, reconfigurar el firewall para que lo proteja bien, pasar también programas fiables antispyware, etc. Si no funciona nada, format C: suele ayudar ;)

Tampoco estaría de más que echase un vistazo al archivo de hosts (ruta: C:\WINDOWS\system32\drivers\etc\hosts) para ver si hay alguna entrada que le cambie la IP del dominio.

Sobre lo de buscar el ataque, lo que deberías hacer, es recuperar los logs del servidor, todos los que puedas (kernel, sistema, apache, etc) y empezar a contrastar información de quien y cuando entró, que páginas consultó (si el ataque fue mediante web), etc. Te aviso que es un trabajo de chinos pero si lo haces bien, podrás saber que hizo y deshacerlo (hablando, claro, si el ataque fue realizado en el servidor).

Si quieres más información, consulta sobre informática forense y programas como Autopsy.

P.D.: Estoy dando por supuesto que tu amigo usa un ordenador con Windows. Si no es así, dímelo. De todos modos, yo os recomendaría a ambos que usaseis un software serio como GNU/Linux.

Un saludo