防火牆的設定是很重要的!!
可以試試使用Splunk系統監控軟體監控!!!
以下是Splunk的解決方案~~
駭客入侵 Windows 系統，會習慣性的清除所有的 Windows Event Log，往往沒有工具的支援，資安事件後管理人員只能花更大的功夫去找尋可能的原因。雖然我們可能無法第一時間知道駭客的入侵與行為，但最少我們可以當駭客習慣性清除 Event Log 時，經由 Splunk 通知瞭解，並儘速進行處理。

Windows 日誌清除資訊，Splunk Search 時間單位請調整至 Last 7 days
Windows 2000, XP and 2003 適用
Search 日誌清除關鍵字: "eventcode=517" AND security AND Success Audit
Windows Vista and 2008 適用
Search 日誌清除關鍵字: "eventcode=1102" AND security AND Success Audit

Windows 全系統版本適用
Search 日誌清除關鍵字: ("eventcode=1102" OR "eventcode=517") AND security AND Success Audit

結果說明：顯示最近 7 天內，搜尋目標的日誌清除狀態、頻率
延伸說明：基本為極大的風險問題，一般系統管理員不會主動清除 Event Log。如：駭客入侵、預期作業等。
處理動作：進行 Saved Search 並設定 Alert ，建議時間為 每小時（各位可以依照主機的敏感度與重要性進行時間的調整），使用RSS、Email 或 Shell script（建議警報聲或與 SMS Gateway 結合發送簡訊）方式通知管理人員。

延伸搜尋：如果要檢視所有目標主機的日誌清除狀態，並依照主機發生頻率，請使用以下搜尋關鍵字
Windows 2000, XP and 2003 適用
Search 日誌清除關鍵字: "eventcode=517" security Success Audit | timechart count(_raw) by host
Windows Vista and 2008 適用
Search 日誌清除關鍵字: "eventcode=1102" security Success Audit | timechart count(_raw) by host

Windows 全系統版本適用
Search 日誌清除關鍵字: ("eventcode=1102" OR "eventcode=517") security Success Audit | timechart count(_raw) by host

*請注意產出報表時的時間區間，如進行時間調整，請更新 [F5] 或 Splunk Web UI -> Refresh

管理分類：Security-資安事件管理
Dashboard 分類：Security
適用系統：Windows All OS

無法顯示原因：

1. 請確認 Windows Event Log 有導入 Splunk
2. 請確認有開啟稽核存取原則 開始->設定->控制台->系統管理工具->本機安全性原則->本機原則->稽核原則 內的設定

Saved Search 後，既可進入每日檢查點
---------------------------------------原始日誌---------------------------------------------

06/06/09 11:50:00 AM
LogName=Security
EventCode=593
EventType=8
Type=Success Audit
SourceName=Security
RecordNumber=517
Category=5
CategoryString=詳細追蹤

相關資訊可以參考Splunk討論區~~http://www.splunklab.net/index.php?board=7.0

如果網路的環境沒有做好規劃,再買新電腦還是會被駭.

例如許多小公司不買 IP 分享器,就將電腦串在 ATUR 小烏龜上,然後再每台電腦撥接...
不要小看 IP 分享器,雖然不是防火牆,對小公司沒有 IT 人員來說,夠了.

就是因為沒有 IT 人員,所以員工的電腦沒有密碼,什麼奇怪的軟體都有裝, MSN/Yahoo 不稀奇, 視窗搜尋工具列好幾個,再裝 PPS 看電視,奇怪的防毒防駭防木馬軟體可以裝好幾個.
搭 4GB 的記憶體的機器被用戶弄成烏龜機.

如果有以上的情況發生,花再多錢換高階電腦都沒有用. 因為不是電腦的問題,是"人"的問題.

換新電腦無法解決你的問題。
我認為需要

1. OS Patch 即時更新
2. 防毒軟體使用更新
3. 每一個人都需要設定密碼複雜性
4. 限制非法軟體及不適用之軟體更新
5. 簡單的防火牆
6. 自我管理

請先確認好到底來者是何人
能夠直接遙控並且刪除某些資料 想必是已經對貴公司了解透徹了
中駭客跟中毒一樣 "人"的因素最大
先有基本的防護 最後還是得看操作者的習慣

架個硬體防火牆看看唄

沒有網管人員得從源頭下手，中華電信好像有協助小型企業的資安鑑隊，應該是有SOC或UTM代管服務。

如果你的電腦被入侵過，那麼駭客一般會留下後門，所以先把後門封上，
在開始-搜尋，輸入cmd，在彈出的窗口中輸入net user，如果沒有陌生的用戶，
後門一定在guest裏，輸入net user guest /active:no，最後改一下administrator的口令，這樣至少駭客半天內進不來。
後面，的關鍵環節：去掉共用和禁用telnet

必殺絕招
把對外網路停掉...嘿嘿==+

開玩笑的
1.安裝正版的OS,並更新所有Patch,切記不要安裝破解版的
2.安裝最新版正版防毒軟體並更新最新病毒碼(不想花錢就用微軟的或是免費防毒),切記不要安裝破解版的
3.安裝正版Office軟體(不想用微軟的,還有OpenOffice...等等),切記不要安裝破解版的
4.與工作有關的軟體,一定要是正版,一定跟原廠或從原廠網站取得,切記不要安裝破解版的
5.其他與工作無關的軟體禁止安裝,一發現就記大過,滿三大過送家裡蹲.
6.禁止使用任何USB裝置(鍵盤滑鼠印表機除外).
P.S.切記不要安裝破解版的軟體,因為它會免費附贈後門及無限量木馬與病毒,而且會貼心的讓你零時差的與世界最新病毒與木馬同步

不清楚你的說3台PC的使用情況,初步分析

1.被強制重開機有一種可能性：Windows update OR 中毒
2.之後有時候鍵盤滑鼠都不能使用，但是游標會自己滑動：usb鍵盤滑鼠品質不良
3.某些軟體不能運行，系統也常常無法正常啟動，常常出現錯誤訊息：中毒了吧
4.硬碟上的數據遭惡意破壞跟刪除：電腦老舊磁區毀損
3&4有關係,若硬碟有問題,可能影響到程式無法正常讀取

另外應該是使用者操作問題,就算換了新的PC,使用者操作不當,就算有防火牆還是防不了,駭客是不會有興趣對個人或小公司去入侵的,不要以為電腦怪就怪自己被駭客,很多使用者會有這種迷失是錯誤的觀念.

買1台PC的錢一定夠請個IT來看一下評估改善的方法,沒有絕對的軟體可以解決問題;別把公司PC當家裡PC一樣,什麼都裝一定可以改善50%以上的問題

不知道是不是中木馬了，如果是木馬的話~買新電腦當然是有幫助拉~除非木馬又跑到新的電腦裡，這樣那位老闆又要買新電腦囉!!哈哈

基本上從簡便的部份開始做，
網路上常有的工具先利用，
個人習慣在GOOGLE先搜索免費掃毒，
用各種不同免費線上掃毒交叉掃過並把大部分的病毒排除。

線路硬體部分在來源端(ADSL)或是CABLE的地方加插一個IP分享器，
用硬體的NAT把網段分開，
不夠接的部份再用switch拉開就可以了。

電腦方面最好當然是每一機都要有基本的防毒軟體，
使用者多使用Windows系列軟體，
安裝後一定都要把update升級到最新版，
如果能加裝防火牆就是最好的的了，
無論是加裝硬體防火牆在來源端(網路對外 - 防火牆 - 使用者內部)，
或是各個使用者本身都有軟體防火牆。

使用者習慣上不要看到有連結就點，
莫名來源的文件檔案也不要開，
能掃過的都先處理較好。

如此一來錢有花在刀口上，
而且效果也好多了。

和使用者的習慣有關；和電腦新舊關係不大（唯一有關的是 OS 的版本不能舊到連資安更新都沒有）。

更換電腦 無法解決問題
建議 先確認本身電腦系統是否中毒或木馬
如確定被駭 建議加裝Gateway端設備

還記得剛到公司時也聽過公司之前曾有被攻擊的經驗，也損失了相當多的資金，當初敝人提出的規劃是先從網路環境設備加強，首先找家系統整合商討論規劃一下公司的網段和防火牆等設備，也要請廠商對內部人員做個簡單的教育訓練，有廠商來建制、規劃、維護會比自己亂搞來得有效率，將來設備要維護也找得到人。

user端的電腦不外乎就是重新安裝系統和訂定資訊安全規劃，這方面公司也要有位對電腦比較了解的人來執行，之後要管理防火牆和查看系統Log也方便。