Veja na lista de processos qual é a linha de comando do processo 4280 (vista na extremidade direita da saída do netstat). Isso deve fornecer a localização e o nome do executável.
Se você não instalou ou executou nenhum software usando a porta IRC, é provável que seja uma conexão com um servidor mestre de botnets. Esses são freqüentemente usados para enviar comandos de controle para servidores de botnet. Pare o programa, remova-o (ou mova-o para um local de salvamento para análise forense) e verifique como o invasor entrou (provavelmente sabe problemas em aplicativos da Web, senhas SSH fracas etc.) e se houver outro software ou reconfiguração lugar pelo atacante.
No futuro, você pode pensar em um firewall mais restritivo para conexões de saída, se possível.