Контроллер домена подбирает пароли

Добрый день. Контроллер на 2003 Server лицензия. Недавно появились в журнале сообщения (много) неудачных попыток входа. Источник указан как ОН ЖЕ. Периодически блокируются (согласно политике) доменные учётки. Подбираются похоже по словарю - т.к. много попыток от юзеров с несуществующими у нас именами. Пока держимся. Заставил всех сменить пароли на длинные и сложные. Включил аудит на рабочих станциях. В них (особенно у кого XP) "Брандмауэр Windows обнаружил приложение прослушивающее входящий трафик". И после включения аудита такие юзеры не могут начать работу, т.к. из-за переполнения журнала безопасности их не пускает в систему.
Помогите пожалуйста вычислить зловреда. Антивирус на серваке NOD и на ПК юзеров тоже.

Уважаемый(ая) [B]Config13[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Прошу прощения пока без логов - жду разрешения от руководства на перезагрузку, т.к. он контроллер домена и SQL server
пример сообющения :
Сбой входа в систему:
Причина: неизвестное имя пользователя или неверный пароль
Пользователь: e1
Домен: GURT
Тип входа: 10
Процесс входа: User32
Пакет проверки: Negotiate
Рабочая станция: MEGASERVER
Имя вызывающего пользователя: MEGASERVER$
Домен вызывающего: GURT
Код входа вызывающего: (0x0,0x3E7)
Код процесса вызывающего: 2948
Промежуточные службы: -
Адрес сети источника: 181.214.87.5
Порт источника: 50287

Прикрепил лог Autologgera

Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите[/url] (в [B]Windows Vista/7/8/10[/B] необходимо запускать через правую кнопку мыши [B]Запуск от имени администратора)[/B]):[code]R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net[/code]
Java 8 обязательно обновите до [URL="http://www.java.com/ru/download/"]актуальной[/URL], у Вас устаревшая версия со множеством критических уязвимостей.

Установите обновление: [url]http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598[/url]

Меры против взлома надо принять как организационные, так и технические.

1. Сменить пароли на учётки с администраторскими правами, у кого они были не по делу - отобрать права администратора.

2. На средства удалённого доступа к серверу, если таковые установлены (Radmin и т. п.), также менять пароли, обновлять до последних версий эти программы.

3. MS SQL сервер - также менять пароли, проверять, последний ли сервис-пак установлен. Взлом через дыры SQL-сервера - классика жанра.

4. Проверить разрешающие правила системного бранмауэра или другого файрвола (если установлен), доступ извне ограничить только теми ip-адресами, или хотя бы подсетями, и теми портами, для которых это необходимо удалённым клиентам и для удалённого управления. Аналогичные действия - если доступ контролируется аппаратным роутером/файрволом.

5. Установить все обновления безопасности на систему. Самый минимум - то что найдёт такой скрипт.

Скопируйте всё содержимое страницы [url]http://dataforce.ru/~kad/ScanVuln.txt[/url] в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Спасибо Вам огромное за участие. Всё вышеперечисленное выполнил. Но я так понимаю это относиться больше к профилактике. А каким способом можно именно вычислить эту заразу??? Определить откуда она прилезла и прибить. В нашей организации бюджета IT просто нет и я уже стёр язык объясняя что на старье работать не есть гуд.

[QUOTE]Адрес сети источника: 181.214.87.5[/QUOTE]
Вас сканируют и брутфорсят удалённо, сервер чист. П. 4. предыдущего сообщения внимательнее читайте.