匪夷所思！易乐游管理端自动添加开机批处理？

问题现象：管理端自动添加开机批处理

问题截图：

排查方法：

1、 与网吧老板确认没有人操作服务器，并且发现自动添加过程中没有远程操作痕迹

2、 确认删除开机启动项和开机启动文件，十五分钟左右自动再次添加

3、 查看创建时间发现文件被优先创建，然后修改BootStartBat.ini配置文件达到添加开机启动项的目的

4、 添加的批处理为乱码，破解后发现多数为系统优化类操作和一些不明操作

5、 再次删除开机批处理和文件，使用processmonitor工具监视系统文件活动，

6、 Msiexeo.exe创建开机启动项system文件夹，并且创建开机批处理并写入文件后关闭批处理，同时关闭自身进程，

7、 Winint.exe创建Msiexeo.exe

8、 检查确认该文件并非系统文件，系统的文件实际为wininit.exe，少了一个字母，在不熟悉的情况下很容易搞错，而这个winint.exe进程是由桌面进程创建，无法继续查看该进程是哪个程序创建。

9、在检查的时候发现Msiexeo.exe文件一直在扫描注册表、文件夹信息，在扫描完之后进行修改、创建和写入

PS：在处理的过程中老板说起，好几家网吧从X网换成易乐游之后都有这问题，仍然使用X网的网吧却是正常的，检查了另外有这个问题的网吧发现都是同样的问题、同样的系统、同样的文件，问起服务器系统来源告知是X网的2008 R2死性不改包，在同样存在该进程的X网环境下是正常的，ennm这就有点耐人寻味了，由于不确定该文件是系统自带还是后期植入，只好提供了易乐游的NZ2008 R2系统，搞了一家网吧服务器重做之后正常了！常了！了！唉，撒尿去了。

PS2：附送易乐游服务器系统

NewZ_企业版2008R2

http://www.583go.com/resource-view-235.html

2012R2标准版_N1
http://www.583go.com/resource-view-250.html

这肯定是被人入侵了，看下远程的日志信息，明显要杀下毒和改密码等