premesso che vado di deduzioni, supposizioni e baso tutto sulla mia esperienza..
mi hai detto che la macchina è solo un file server, non esposto su WAN (i.e. nessuna applicazione web.. ma posta? VPN?)
se fosse così, non c'è modo per SME di essere stato infettato.. l'accesso tramite samba è relegato a directories ben precise ed i permessi non permettono di toccare il filesystem, il che significa che non c'è possibilità che qualcosa, passando attraverso samba, sia veicolata dai client al server..
quindi *per me* il server è pulito
la catena è composta da 2 anelli: server e client.. se il server è pulito, restano i client..
naturalmente ignoro cosa ci sia su quel server in termini di contribs e cosa (e come) sia stato eventualmente personalizzato
come li aprite/visualizzate i pdf? perchè .jse è una estensione non necessariamente pericolosa (e magari qualche client ha una impostazione sbagliata che salva quei file con quell'estensione)
in ogni caso, se attivi l'audit ed un file viene rinominato *via samba* (i.e. da un client) saprai subito da che macchina..
infine, relativamente a SME8, essendo il sistema in EOL (o quasi, manca una settimana), la policy sarebbe di risponderti "è unsupported"..
voglio solo assicurarmi che la macchina stia bene e che tu quindi possa migrare senza problemi alla 9 (cosa che ti invito a fare prima di ieri)