Подскажите программу для мониторинга за системой. Необходимо проследить за всеми действиями что происходят на сервере и от чьего имени, для отлова хакера(вирус).
Проблема заключается в том что постоянно удаляются исполняемые файлы, журналы безопасности и базы данных(причем только на сервере), а те что заняты принимают значение скрытые. Антивирусы и АВЗ нечего опасного не находят. Уже ставил в фаерволе(стандартный) доступ к серверу только с 5ти компьютеров, но это не помогло(.

Ищи не вирус, а зловреда(человека) с правами админа. Вывод сделал по написанному.

Да это понятно. Просто к компам имеют доступ множество пользователей и мне надо определить хотябы время когда это происходит.

Да это я тоже понял. Вот и начни с административного пути. Ограничь физический/удаленный доступ. На файлы аудит(не забудь в GP включить аудит объектов). По другому никак. И ПО здесь не поможет.

Просто к компам имеют доступ множество пользователей и мне надо определить хотябы время когда это происходит. »
И все работают с админскими правами?
1. Поменять пароли профилей администраторов (доменного и локальных)

1. включите аудит событий
2. ограничьте права до минимально необходимых
3. настройте систему методом отключения всего лишнего.
4. проведите оффлайновую проверку на наличие зловредов (онлайновой можно не верить)
5. поставьте последние обновления.

Аудит событий включен.
как писал доступ есть только с 5 компов.
Dr.web c CD нечего не выявляет.
обновления от 02,16

dr web не показатель.
возьмите хотя бы 2-3 антивируса.

и произведите оффлайновую проверку