Я просто узнал при помощи TCPView, что один из моего svchost.exe имел http соединение в "CLOSE_WAIT" к странному IP-адресу, хотя никакая другая видимая программа не работала.
С помощью Проводника Процесса я обнаружил, что этот svchost использовал службу Windows WebClient.
Я задаюсь вопросом, как я могу выяснить то, что программа использовала WebClient для соединения с этим IP, чтобы определить, является ли это вредоносное программное обеспечение.
Webclient является услугами Microsoft, которые позволяют Windows получать доступ к веб-файлам с помощью подобного Проводнику интерфейса. Это не требуется, если Вам не нужен подобный WebDAV доступ к удаленным веб-сайтам. Нет действительно никакой причины подозревать, что это - вредоносное программное обеспечение. Вы рассмотрели просто отключение сервиса? Вот некоторые полезные детали.