100分征求高手看2003系统安全日志，两天内的。不知道安全有关问题出在哪儿了！多谢(2)

 登录帐户: IUSR_SERVER
 源工作站: SERVER
 错误代码: 0x0
"
2010-1-19 5:00:46 Security 审核成功 详细追踪 600 NT AUTHORITY\SYSTEM SERVER "分派给进程一个主令牌。
 分配进程信息:
  进程 ID: 1604
  图像文件名: C:\WINDOWS\system32\svchost.exe
  主用户名: SERVER$
  主域: WORKGROUP
  主登录 ID: (0x0,0x3E7)
 新进程信息:
  进程 ID: 412
  图像文件名: C:\WINDOWS\system32\inetsrv\w3wp.exe
  目标用户名: NETWORK SERVICE
  目标域: NT AUTHORITY
  目标登录 ID: (0x0,0x3E4)
"
2010-1-19 5:00:46 Security 审核成功 详细追踪 592 NT AUTHORITY\SYSTEM SERVER "已经创建新的过程:
  新的进程 ID: 412
  映像文件名: C:\WINDOWS\system32\inetsrv\w3wp.exe
  创建者进程 ID: 1604
  用户名: SERVER$
  域: WORKGROUP
  登录 ID: (0x0,0x3E7)
"
2010-1-19 5:00:42 Security 审核成功 详细追踪 600 NT AUTHORITY\SYSTEM SERVER "分派给进程一个主令牌。
 分配进程信息:
  进程 ID: 1604
  图像文件名: C:\WINDOWS\system32\svchost.exe
  主用户名: SERVER$
  主域: WORKGROUP
  主登录 ID: (0x0,0x3E7)
 新进程信息:
  进程 ID: 3936
  图像文件名: C:\WINDOWS\system32\inetsrv\w3wp.exe
  目标用户名: NETWORK SERVICE
  目标域: NT AUTHORITY
  目标登录 ID: (0x0,0x3E4)
"
2010-1-19 5:00:42 Security 审核成功 详细追踪 592 NT AUTHORITY\SYSTEM SERVER "已经创建新的过程:
  新的进程 ID: 3936
  映像文件名: C:\WINDOWS\system32\inetsrv\w3wp.exe
  创建者进程 ID: 1604
  用户名: SERVER$
  域: WORKGROUP
  登录 ID: (0x0,0x3E7)
"
2010-1-19 5:00:11 Security 审核成功 登录/注销 538 SERVER\IUSR_SERVER SERVER "用户注销:
  用户名: IUSR_SERVER
  域: SERVER
  登录 ID: (0x0,0x97D646E0)
  登录类型: 8
"
2010-1-19 5:00:11 Security 审核成功 详细追踪 593 NT AUTHORITY\NETWORK SERVICE SERVER "已经退出某过程:
  进程 ID: 5660
  图像文件名: C:\WINDOWS\system32\inetsrv\w3wp.exe
  用户名: NETWORK SERVICE
  域: NT AUTHORITY
  登录 ID: (0x0,0x3E4)
"
2010-1-19 5:00:09 Security 审核成功 登录/注销 540 SERVER\IUSR_SERVER SERVER "成功的网络登录:
  用户名: IUSR_SERVER
  域: SERVER
  登录 ID: (0x0,0xBBAA441A)
  登录类型: 8
  登录过程: Advapi  
  身份验证数据包: Negotiate
  工作站名: SERVER
  登录 GUID: -
  调用方用户名: NETWORK SERVICE
  调用方域: NT AUTHORITY
  调用方登录 ID: (0x0,0x3E4)
  调用方进程 ID: 3800
  传递服务: -
  源网络地址: -
  源端口: -
"

------解决方案--------------------
帮顶了
------解决方案--------------------
应该是被黑了，楼主看看这个贴子，类似的情况。http://www.qqgb.com/NetWorkSecurity/WebsiteSafe/NetWorkSecurity_242766.html
------解决方案--------------------
1.楼主不应查看安全日志，应以系统和应用程序中的错误或警告日志为主，安全日志要征对怀疑的记录而言

2.楼主贴出了一大堆无用日志，最好先整理一下
几个账户的注销、登录、创建、销毁进程：NETWORK SERVICE SERVER、IUSR_SERVER、SYSTEM SERVER、winun_pengyun_user
几个服务和进程：IPSEC、w3wp.exe、svchost.exe、java.exe、liveupdate360.exe、wmiprvse.exe、HelpSvc.exe、davcdata.exe

3.看不出有什么攻击意图，如有远程连接嫌疑，账户、进程、端口仅上面几个正常的账户、进程和服务是看不出来的

4.如楼主还是怀疑，可关闭相应的服务和进程，清空日志后重启系统再查看

BatchFile code

@echo off
echo 关闭360自动升级
taskkill /im liveupdate360.exe /f
ren "D:\Program Files\360\360Safe\liveupdate360.exe" liveupdate360.exe.bak
echo 关闭java和360自启动托盘项
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /f
echo 关闭IIS服务
sc config w3svc start= disabled
sc config iisadmin start= disabled
net stop w3svc /y
net stop iisadmin /y
echo 关闭Helpsvc服务
sc config helpsvc start= disabled
net stop helpsvc /y
echo 关闭IPSec服务
sc config policyagent start= disabled
net stop policyagent /y
echo 关闭winmgmt服务
sc config winmgmt start= disabled
net stop winmgmt /y
echo OK
pause>nul