Duda con la ip de una intrusion - CPH hacking and security

Buenas amigos!!

Bueno la cosa es que a un amigo mio le ha entrado un chico al pc...
Mi amigo dice que no le han mandado ningun archivo ni nada.. por lo que podríamos descartar un troyano.. Pero la verdad, por las cosas que me ha contado es claramente un troyano.

Le dije que cuando el tio entrara en su pc , vamos que cuando le diera señales de vida, pusiera esto en el ms-dos:
netstat -na>eltioestadentr o.txt

y este es el resultado:

Proto Direcci¢n local Direcci¢n remota Estado
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3260 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3261 0.0.0.0:0 LISTENING
TCP 0.0.0.0:50300 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1025 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1025 127.0.0.1:1166 TIME_WAIT
TCP 127.0.0.1:1033 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1163 127.0.0.1:30000 ESTABLISHED
TCP 127.0.0.1:30000 127.0.0.1:1163 ESTABLISHED
TCP 192.168.1.25:139 0.0.0.0:0 LISTENING
TCP 192.168.1.25:1032 66.249.93.104:80 CLOSE_WAIT
TCP 192.168.1.25:1037 190.136.129.23 8:80 ESTABLISHED
TCP 192.168.1.25:1039 207.46.108.78:1863 ESTABLISHED
TCP 192.168.1.25:1052 207.46.26.135:1863 ESTABLISHED
TCP 192.168.1.25:1057 207.68.178.134:80 CLOSE_WAIT
TCP 192.168.1.25:1058 207.68.178.134:80 CLOSE_WAIT
TCP 192.168.1.25:1164 62.50.35.211:30000 ESTABLISHED
TCP 192.168.1.25:1167 213.4.149.65:110 TIME_WAIT
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:500 *:*
UDP 0.0.0.0:1030 *:*
UDP 0.0.0.0:1045 *:*
UDP 0.0.0.0:1050 *:*
UDP 0.0.0.0:1066 *:*
UDP 0.0.0.0:4500 *:*
UDP 127.0.0.1:123 *:*
UDP 127.0.0.1:1040 *:*
UDP 127.0.0.1:1151 *:*
UDP 127.0.0.1:1900 *:*

Bueno las partes en negrita y subrayadas me parecen las mas sospechosas.

Cual pensais que puede haber utilizado el atacanta?
Y creeis que habremos logrado la verdadera ip?

Gracias de antemano y salu2