В журнале безопасности ежеминутно выдаёт ошибку типа

Тип события: Аудит отказов
Источник события: Security
Категория события: Вход учетной записи
Код события: 680
Дата: 30.03.2009
Время: 8:49:54
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: SPK
Описание:
Попытка входа выполнена: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа: Koe
Исходная рабочая станция: SPKGATE
Код ошибки: 0xC000006A

при чём переодически пользователи меняются, я так понимаю это вирус. Вопрос - с какого компьютера идёт атака? Если с spkgate то очень странно, т.к. все апдейты и антивирус установлены.

Самый простой и надежный способ проверки - отключить на 10 минут хотя бы ваш spkgate. Если записи прекратились - ответ найден. Если нет, будем думать и смотреть дальше.

Увы, отключить его только в выходные возможно, он реально gate с кучей навешаных служб попутно, а в выходные зато все пользовательские компьютеры тоже выключены, так что не вариант :(

а в выходные зато все пользовательские компьютеры тоже выключены, так что не вариант »
Как раз вариант. Если он один будет включен, и будут сыпаться логи - то тоже показатель, что данный сервер - источник проблемы :) И если его отключить, => будет тишина в логах.

А если это одна из клиентских машин, и она будет выключена, то таким образом сервер исключается из подозреваемых :)