Несанкционированный вариант
Ни для кого не секрет, что в 2000(sp0-sp4) до ХР sp1 есть разработанные критические уязвимости, в таком случае пароль мог поменять как "хакер", так и "вирус"(какой нибудь скрипт использующий уязвимость).
Санкционированный
Кто-то подсмотрел пользователя и пароль и сменил локально либо удаленно через telnet server или Terminal Server (RDP).
На мой взгляд все очень просто и предсказуемо.

это так сказать на вскидку, а там неизвестно что и как