Bueno, vamos a ver algunas cosas.
Muy mal configurado tienes que tener tu W2K para que te hayan hecho eso. Es que estás como Administrador siempre ?... Como sabes que lo usan como FTP. Que carpetas son ?. tienes registrada la IP en tus logs, algunas cadenas extrañas, etc, cadenas que tienen un tal cmd.exe, ?. Como configuraste IIS ?. Tienes un Servidor W2K Avanced Server dando servicio a clientes y usas Zone Alarm ???.

Que le pasa a tu servidor ?

Una de las cosas más importantes para administrar un sistema es conocerlo. conocerlo a la perpección. Sólo así verás si hay procesos extraños o compotamientos fuera de lo nornal.

Entonces te digo: no ves algo extraño en el comoportamiento de tu servidor ???.

Mira haz una cosa, haz un escanero de puertos en tu servidor y verás como hay un puerto alto sobre 5800 ofreciendo un servicio que seguramente tú no ofreces... o sí. Esa es la razón de tu "servidor FTP" controlado por extraños.

A veces ocurre que nos ataques no siempre vienen de a fuera. alguien puede abrir un servicio físicamente en el servidor. También su puede abrir remotamente mediante un troyano u otros tucos.

Más pistas ?.

Un saludo,