[SkyF]

Dexil
для начала - сделать немедленно резервную копию вашего сервера - в этом случае можно будет потом достать журналы из нее и посмотреть.

Почему сразу не достать и не посмотреть? потому что сейчас никто не скажет ( я не смогу) какие из системных журналов могут понадобятся для анализа. и к тому же они имеют тенденцию перезаписывать старую информацию по кругу.

Хотя, это может и не помочь - хорошим тоном считается после взлома - удалять иформацию о предпринятых действиях атакующим (чистка жураналов).

ЗЫ посмотрите журнал безопасности системы - хотя с настройками аудита у Windows 2003 лучше чем с никаким ина 2000м, но что-то всеже может дать (если не очистили его - о чем он тоже будет иметь информацию).