服务器被侵，求救！！！！！！

日志有些信息,如下:
事件类型: 审核成功
事件来源: Security
事件种类: 登录/注销
事件 ID: 540
日期: 2009-3-9
事件: 16:11:00
用户: NT AUTHORITY\ANONYMOUS LOGON
计算机: QSDCA-PC
描述:
成功的网络登录:
用户名:
域:
登录 ID: (0x0,0x180E57)
登录类型: 3
登录过程: NtLmSsp
身份验证数据包: NTLM
工作站名: NAMCO-226D6C9DF
登录 GUID: -
调用方用户名: -
调用方域: -
调用方登录 ID: -
调用方进程 ID: -
传递服务: -
源网络地址: 92.81.208.229
源端口: 0


有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
--------------------------------------------------------------------------------------
事件类型: 审核成功
事件来源: Security
事件种类: 登录/注销
事件 ID: 540
日期: 2009-3-9
事件: 16:25:27
用户: NT AUTHORITY\ANONYMOUS LOGON
计算机: QSDCA-PC
描述:
成功的网络登录:
用户名:
域:
登录 ID: (0x0,0x1DCF73)
登录类型: 3
登录过程: NtLmSsp
身份验证数据包: NTLM
工作站名: FM-1FB54B1BF922
登录 GUID: -
调用方用户名: -
调用方域: -
调用方登录 ID: -
调用方进程 ID: -
传递服务: -
源网络地址: 125.102.244.76
源端口: 0


有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
--------------------------------------------------------------------------------------
以上信息是复制别人的，我的与这个类似，并且他在我的服务器上建立了一个用户，拷一些文件夹在我的电脑上，破坏我的oracle程序，导致本单位无法正常工作，重复的骚扰我，就是说今天我把这个用户删了，明天又建立了一个不同的WINDOWS用户，不知是木马还是别人实时侵入，我的服务器是windows2003SERVER,已打补丁，安装了防火墙，上有网站、oracle数据库，，我如何知道对方是通过哪种方式登录服务器的呢？怎么才能解决此问题。
非常非常想希望各位的帮忙！

期待各位的帮助