Ufff, vamos por parte.

En el caso que tengas un troyano, virus o lo que sea, cualquier comando del sistema operativo deja de ser fiable. Precisamente se trata de eso.

Cuando uno tiene el puerto 25 abierto suena a que te han colocado un servidor SMTP para usarlo desde fuera, o al menos LO HAN INTENTADO. Puede que el software esté instalado en tu ordenador pero tal vez no puedan aprovecharlo desde el exterior.

LOs troyanos pueden ser de resoulución inversa, es decir, es el troyano el que se pone en contacto con el atacante con lo cual cualquier regla de filtrado del router vale de poco al iniciarse la comunicación desde tu LAN hacia fuera. No suele ser el caso de los servidores SMTP, pero podría.

El punto 4 es perfectamente posible. Un puerto SOLO PUEDE SER USADO POR UN SERVICIO, por lo tanto, si tienes el VMWare apagado, no es de extrañar que otra máquina u otro servicio lo esté usando.

De todas formas no entiendo bien el punto 4. Tu pasas el scan sobre la 12.8 y por lo tanto la información que sacas es de esa IP, no del router.

Insisto, mira a ver que posibilidades tiene el ruoter de mostrar un log de lo que está pasando, que suelen ser muchas. Monitoriza el trafico de salida hacia el puerto 25 independientemente de donde venga. Quita firewall y todo tipo de cosas y solo asi podrás comprobar si tienes un bicho o no.

Saludos
Hooker