Сразу прошу меня извинить, если я не вижу чего-то очевидного и туплю.

В локальной сети есть компьютер под управлением ОС Windows XP pro, компьютер имеет ip-адрес N и выходит в интернет через шлюз.

В один день на шлюзе становится заметна паразитная сетевая активность с ip N на 25 порт во внешний мир (разумеется, зарезаемая). Делается вывод, что на машине действует спам-бот. Ну, как говорится, действует и действует, но неприятно, что установленный на машине (как и на других windows-машинах сети) антивирус eset nod32 2.7 с актуальными базами сигнатур такового не обнаружил.
Это не так интересно, интересно следующее.

Запущенный на машине wireshark (бывш. ethereal) никаких пакетов, уходящих на 25 порт через единственный интерфейс (с ip N) не фиксирует. Одновременно с этим на шлюзе они видны.

Выключаю машину (при этом поток соединений на 25 порт прекращается) и пытаюсь найти еще кого-нибудь в сети с тем же ip. Не нахожу. Включаю машину - поток на шлюзе снова фиксируется, а на машине - нет.

Предположения два:

1. Маленькие зеленые человечки с программатором прошили бота в сетевуху.
2. Winpcap, который используется программой wireshark, как-то можно обойти