До меня докатилась информация, что через оставленный со времени моей работы в Сервис Плюсе логин зашли на машину и пытались что-то сделать с сервером домена.
Рекомендую проверить учетки, оставленные для удаленной работы и заблокировать их, либо сменить пароль (проверить его сложность). Как-то не уделяли внимание тому, что пароли были как правило одинаковые и простые... Кто-то добрался...