Se o processo malicioso tiver sido ligado à porta, você poderá identificar o referido processo com netstat -ltnp | grep 445 . A partir daí, você pode usar ps ax | grep YOUR_PID para mapear o ID do processo retornado pelo netstat para o código atual em execução.
Se isso não funcionar para você, então você pode instalar o Fail2Ban (não é uma má idéia, mesmo se você não estava tendo os problemas que você está tendo) e deixe-o descobrir o que continua digitalizando essa porta. FYI, a porta 445 é usada pelo Samba, então concentre-se em coisas relacionadas ao compartilhamento de arquivos para refinar seu problema rapidamente.