[Dzirt2005]

Цитата Charg:

1. Как, гипотетически, этот вирус вообще мог там оказаться? Для его инициализации, грубо говоря, кто-то же должен запустить вредоносный ехе-шник именно на самом сервере, разве нет? »

То, что вирус работал на компьютере пользователя, а на сервер просто складывал готовые exe-шники вы даже гипотетически не допускаете?

Цитата Charg:

2. Что сделать чтобы в будущем такого не случалось? »

Не подключать компьютер-сервер к сети.

Цитата Charg:

только проблема в том что журнал безопасности забивается за пару часов (135000 событий за 25 минут »

А зачем вы собственно включили аудит вообще всего? Вам нужны только "Создание файлов/дозапись данных" все остальное вам вообще не нужно

PS: Да, для того чтобы аудит создания файлов работал нужно в локальной групповой политике включить "Аудит доступа к объектам", а потом просто просматривать журнал по коду события 4663 например. Можно прямо задачу в планировщике привязать к этому событию