一開始是用port135，這個問題解決後，現在換port445。
是被種木馬嗎? 我重灌過了，也更新了。
感謝大家幫忙....

贊助商連結

W32/Lioten Malicious Code

CERT/CC 接獲報告指出：W32/Lioten 這支會自我複製的惡性程式碼對 Windows 2000 系統造成影響。這個惡性程式碼會利用設得太簡單或是空的密碼來達成自我複製。目前的報告指出有上千個系統正以與 W32/Lioten 相同的方式進行掃瞄中。查詢 IraqiWorm 與 iraqi_oil.exe 也可以找到相關資訊。

說明

W32/Lioten 掃瞄 port 445/tcp。當它找到犧牲者，會建立一個 null session 並取得犧牲系統的使用者帳號清單，對每個帳號嘗試以下的密碼：

[NULL]
server
!@#$%^&*
!@#$%^&
!@#$%^
!@#$%
asdfgh
asdf
!@#$
654321
123456
1234
123
111
root
admin
一旦成功，它便會將自己複製到犧牲系統中(檔名為 iraqi_oil.exe)並且在短時間內用工作排程執行。在系統中發現 iraqi_oil.exe 或是系統在掃描 port 445/tcp 都是受感染的現象。

影響版本
* Microsoft Windows 2000

影響結果

受 W32/Lioten 感染的系統會掃瞄 port 445/tcp。監視這個掃瞄動作，攻擊者可以輕易找到使用簡單密碼的使用者，隨後感染這些系統以用來做下次的攻擊。

除此之外，W32/Lioten 也像其它自我複製的惡性程式碼一樣，當網路中有多個系統受感染時，可能會造成服務阻斷攻擊(Denial-of-service)。

修正方式

限制或關閉 null session

根據提供的服務不同，可以選擇限制或關閉 Windows 2000 主機的匿名 null session。 您可以在 HKLM\SYSTEM\CurrentControlSet\Control\LSA 加入以下參數的值：

Value: RestrictAnonymous
Value Type: REG_DWORD
Value Data: 0x1 or 0x2 (Hex)
根據微軟知識庫文件Q246261，這些值可為下列的值：

0x0 = 不限制
0x1 = 不允許列表 SAM 帳號
0x2 = 除非有明確的許可，不允許存取
請注意：此設定可能會對網路環境造成某些問題，我們建議您在做任何改變前，先閱讀過微軟知識庫文件Q246261。

在 Windows XP 中，RestrictAnonymousSam 的預設值是 0x1，因此，除非這個設定值被系統管理者更改， 否則 W32/Lioten 應該無法透過 null session 取得使用者帳號列表。

要求使用較複雜的密碼

W32/Lioten 利用設定得太過簡單的密碼來自我複製，因此要求使用者使用較複雜的密碼可以防止被感染。

進出資料流的過濾

阻斷 port 445/tcp 對外及對內的連線可以降低外部受感染的系統攻擊內部網路的風險，反之亦然。

原始通報

http://www.cert.org/incident_notes/IN-2002-06.html

感謝回覆.........
原來是密碼設的太簡單....