Вобще все и вся начинается с анализа - журнала событий
BYR - винда какая? SP ?
- пасс админский смени
- прожги систему антивирусом

закрывай  135 и 445 потрты

Отключение общих скрытых ресурсов

Кроме антивируса советую еще пройтись чем-ть типа адаваре, не исключена возможность, что сейчас на серваке стоит какой-ть хакердефендер или че-ть подобное, и всетки заплатки на сервак стоит поставить все, а не некоторые....Пройдитесь тем же хспайдером сами, посмотрите где у вас че не так.... ХЗ, но в отключении админских шар смысла не вижу, если пароль на пользователей сервака стойкий, то особо ИМХО напрягаться не стоит....А эти шары могут пригодиться самому....этим вы добьетесь того, что файловый сервер (если он есть на серваке) будет не доступен.....Если его нет, то флаг в руки, барабан на шею

вообще не мешало бы воспользоваться  "монитором портов" да и глянуть кто откуда лезет ....далее поставить твикер для win2k3 и срубить шары на сервере. посмотреть журнал-событий,сменить пароль для админа на серваке, посмотреть нет ли иного еще пользователя кроме админа и не входит ли он в группу администратор, для начало хватит..далее что за форум ?, какой веб сервер??
мало информации предоставили.

Ну так кто победил ? =)

Из кр. описания , понятно что есть только 40 компов + сервак

не понятно: параметры сети, политика сети, службы запушеные на серваке, какие патчи установлены на серваке, как тырнет раздается, что за версии ОСей у клиентов (или их не надо защищать ?), что из патчей у них установлено, не ясно что юзается в качестве веб сервера и что за версия форума (а с подходом "Форум - это полная дырка" , лучше сразу скажите Админский пароль нарушителю и делов то)

> Он по другой лазит, я знаю точно
не понятно вы выполняете то что вам рекомендуют люди на этом форуме?

варианты решения:
длинное решение
1. Настучать нарушителю молотком по пальцам (заманчиво , но попадает под УК)
2. Проверить не проставлено ли уже на сервеке и клиентах что то руткито- трояно- подобное
3. Поднять Active Directory (позволит вам удобно управлять всем парком машин, при условии что вы за них отвечаете), поднять и настроить нужные службы , отрубить не нужные, настроить IPSEC (чтоб отсеч бааальшую долю доморощеных умельцев)
короткое решение:
1. Проверить не проставлено ли уже на сервеке и клиентах что то руткито- трояно- подобное
2. Отключичить автошары и нульсессию (это вам уже говорили выше) на серваке, если не наплевать на клиентские машины , проделать тоже самое на них, проверить пользователей, сменить пароли, использовать стойкие пароли, разрешить только аутентификацию только NTLMv2  (правда , если есть клиенты пре-Вин2000 , косяк), проставить патчи на серваке, все , а не 2-а =), закрыть фаером, интерфейс который в тырнет смотрит (че там у вас в качестве запросного канала используется)
3. выкинуть нахер форум , который слошная дыра =))

зы МАС как и ИП можно подменить .... (ну это так , к сведению)

Думаю, всё-таки стоит напрячься, потому как нарушитель спокойствия в определённой ситуации спокойно их может отснифать и использовать в своих корыстных целях. А судя по отношению к безопасности к сети - такая ситуация вполне может быть. Если требуется доступ к дискам (а не отдельным папкам) не только на чтение но и запись - лучше обратить внимания на более стойкие к перехвату решения.

Хотел сказать: руткитом? Adaware "какие-ть хакдефендеры" не ловит, на сколько я знаю.

Защита от эксплуатации дырок вроде DCOM RPC? Если TCP 135 ещё стоит прикрыть стенкой, то прикрыв TCP 445 человек останется без SMB.

Какой-нибудь программный файерволл это делает? Да и потом: как сказали, МАС можно подменить...Вот это зря.
Во-первых, правки значения рееста AutoShareWks уже вполне достаточно для отрубления автоматически создаваемых админских шаров (только не забудь перезагрузиться).
Поэтому смысла нет в:

Во-вторых, попробуйте выполнить: net share ipc$ /delete

А отключить IPC$ можно по совету ZOR

Осталось только троянов на своём же сервере позапускать и гневаться на негодников, посмевших  ими воспользоваться  

А нарушитель вычислен? Можно еще IDS каойнибудь поставить, посмотреть кто куда ломиться. А что конкретно этот человек делает? Инет ворует? Каакие признаки что это вообще человек, а не червь какой-нибудь?

Чел сам рассказал, что он сделал. Впринципе он не представляет никакой угрозы для сети, кроме того, что может лазить к каждому на комп и смотреть все. С сервером он ничего плохого не сделает, а если сделает, то мы то знаем кому идти бить в лоб и он это тоже прекрасно понимает. НО всё таки гложит меня то, что этот гомосексуалист лазит по всем компам Кстати, он говорил, что вроде бы сниффером работает ..и ещё чем то ...

Ладно сервер, а ко мне на ХР как он может ещё залезть, кроме как по $-ресурсам?

кстати можно его тупо отлючить  от сети физичеки проблем не будет