以下に、某IRCで報告した内容を引用します（一部伏字）。

使用機器：Windows2000Proノート、Macを使用しているWebデザイナのWEBビュー確認専用マシン
ネットワーク環境：BフレッツのNATルーティング、IN→OUTのSYNフラグ付パケットは 80/tcp 443/tcp 以外は遮断
ウィルス対策：NAV2003（自動アップデート）導入済
発生現象：システム起動完了後、www3.******.jp:21にアクセスを試みるプロセスが実行される（FWによって遮断）
調査結果:トロイ [ RemoteXS1.0.0.1 ] に感染したと思われる（NAV・AVGでは検出されない）
実行ファイル：RemFTP.exe / NETMGR.exe（存在せず）

とりあえず、FTPの接続を実行させてみることにしました。
hostsファイルに 127.0.0.1 www3.******.jp を追記し、同クライアント内に設置したFTPサーバに接続させてみました。
その結果、ユーザ名：main パスワード：*** で接続後、/public_html/control/FTPLNK.inf を取得していることがわかりました。
ちなみに、www3.******.jp/~main/ というユーザは実在しますが、今回の件との関連は不明です（踏み台にされているのかもしれません）
以上の一連のFTP接続を実行しているのは、C:\WINNT\ 内の RemFTP.exe という実行ファイルでした。
これは、フリーソフトとして公開されている BW FTP Client を改変したものでした。
あらかじめレジストリ内のrunエントリを見たときには気づかなかったのですが、
HijackThisでスキャンすると、RemFTP.exe / NETMGR.exe のエントリを発見できました。

この件について何か詳しい情報をご存知のかたがいらっしゃいましたら、
コメントで結構ですのでお知らせくださいませ。m(_ _ )m