追踪病毒时出现问题 - services.exe 端口 443 和 svchost.exe 端口 25 + 80

嘿，我正在运行 XP SP3 系统，并安装了所有最新更新。看来我中了病毒，而且很难追踪到它。

我有一些出站连接；services.exe 连接到某些地址的端口 443 并保持连接，而一些 svchost.exe 实例会产生到某些地址的端口 25 和 80 的瞬时连接。

我试图分析流量；端口 80 连接似乎不是 HTTP，端口 25 连接从未成功，我猜测 443 是加密的。

我以前有过一个恶意的 svchost.exe 正在运行的情况（Process Explorer 将其标记为白色，我追踪了 .sys 文件并将其删除），但现在我的所有服务似乎都是合法的。services.exe 正在运行事件日志和即插即用但我无法弄清楚 svchost.exe 的哪个实例正在建立连接。

假设我的系统可执行文件没有被篡改，那么应该没有那么多服务可以被诱导去执行病毒的任务，不是吗？那么我应该怀疑什么？有什么明显的地方可以检查吗？有什么流行的病毒会建立这种联系吗？

我没有运行任何 AV 软件，也不太喜欢专门的 rootkit 检测软件；它们都运行在黑名单和启发式算法上。我这里看到的是一个明确的症状，我准备去寻找原因。任何帮助都将不胜感激。

编辑：我刚想起 TCPView 显示了 PID，并追踪了 svchost.exe 实例 - 两个我没注意到的恶意程序，它们没有运行任何系统服务。我遇到了和以前一样的问题，它使用一个随机的 8 个字母名称注册了一个服务，而该服务的注册表项无法使用常规注册表编辑工具查看或更改。我可以再次修复这个问题，但如果有人能告诉我为什么它一直出现，或者与 services.exe 有关，我将不胜感激。

另一项编辑：现在 services.exe 已经疯了；它到处打开 TCP 端口 80 连接，实际上占用了我相当多的带宽。什么可能导致这种行为？

我发现了另一个使用 NTFS 数据流的恶意服务，名为 svchost.exe:ext.exe（顺便说一下，其名称是“FCI”）并将其删除，但 services.exe 仍然没有找到。

最终编辑：我按照我在回答中描述的方式解决了我的问题，并借助了 @Moab 建议的工具。我仍然对这个东西最初是如何感染我的感兴趣。我把这个问题留到几天后再回答，以防有人除了 GMER、Process Explorer、TCPView 等之外还向我推荐一些取证工具，或者识别出这个 rootkit。