Мониторинг подключений к компу (не фаервол)

Приветствую!
Ситуация:
На сервере стоит Win2003. На нем отшарено много папок на полный доступ(по другому не работает) доменным пользователям. Не давно в сети завелся вирь Sector5 (dr.Web), Sality.z(AVP) распространяется по exe`шникам(лечится легко) и в основном по шарам. Отловили основной рассадник, поправили безопасность. Но где то еще остался. Периодически на серваке он появляется и сразу лечится антивирем. Хочу источник найти.
Логи винды смотреть тяжко и не пишет с какого компа.
народу ломится на сервак всегда дофига, как отследить с кого не знаю.
Хотел попробовать проги которые мониторят подключение к компу и в лог пишут. Нашел пару:
1. SessionsMonitor 2.1
Все понравилось, но полную версию так получить и не удалось. (в демо не пишет логи)
2. NCS Z-tools.he WhoIsConnected
Бесплатная, но почему то логи не пишет, хотя возможность есть.

В силу ряда причин, фаервол ставить нельзя.
Выход вижу ток в определении когда вирус появляется и кто в этот момент был подключен.