Uma das estações de trabalho que tivemos é o log de segurança cheio. A razão para isso foi constantemente aparecendo o evento 861, ou seja, os processos de bloqueio do Widows Firewall svchost.exe e lsass.exe de ouvir o não-sistema sobre o UDP. Por portas que não são do sistema, quero dizer portas de alto número, como 1500, 3000, 6000 (não se limitando a elas).
Por que o processo do Host de Serviços estaria escutando as portas normalmente usadas pelos programas em UDP?
Fiz a varredura de infecções usando três ferramentas diferentes de malware e não encontrei nada. Isso parece uma infecção, mas nenhuma infecção é encontrada. Estou investigando quais processos realmente são executados nos IDs do processo que escutam. Vou postar os serviços um pouco mais tarde.
Você já tentou executar CurrPorts para ver se svchost e lsass estão telefonando de volta para qualquer IP externo? Você pode até usá-lo com as tabelas de pesquisa de IP para País para identificar o país / site remoto. Se de fato houver tal tráfego, isso apoiaria suas suspeitas de uma infecção.
Eu também executaria o Process Explorer para ver mais detalhes sobre os tópicos criados e ver se isso ajuda.