connessioni su porte 137,138,139

[DonQuijote]

Ciao a tutti.
Recentemente, controllando la pagina delle connessioni in e out di comodo, ho visto che c'era del traffico strano su quelle porte. In particolare il processo System le usava per connettersi con un ip della lan (tipo 192.168.1.255) che in teoria non dovrebbe esistere e con degli IP esterni (sempre gli stessi).
considerando che in passato qualcuno è entrato nel mio pc con una shell remota è possibile sia capitato di nuovo?
Dove posso trovare maggiori informaizoni sul processo system? se ho capito bene dovrebbe essere simile ad init di linux quindi mi sembra molto strano che si connetta (su quelle porte poi).
ora ho chiuso tutte etre le porte e bloccato il traffico verso quegli IP, però ogni tanto il processo System appare comunque in ascolto su due porte (alte, 2869 e 10243).
Cosa posso fare per essere sicuro?
grazie a tutti in anticipo.
PS: (eventualmente posso postare qualche screenshot del traffico strano notato in precedenza.)

[Habanero]

Su Windows le porte 137,138,139 e 445 vengono gestite dal processo System (pid=4), che non è proprio un semplice Init.
In particolare tale processo si pone in ascolto sulle porte:

su tutte le interfacce (0.0.0.0):
TCP, UDP 445

su tutte le interfacce su cui è abilitato netbios:
TCP 139
UDP 138
UDP 137


Il System Idle Process (pid=0) invece raccoglie tutte le connessioni nello stato di chiusura (TIME_WAIT)

Come è configurata la tua rete?
Hai un router o modem? Ci sono altri sistemi in rete locale?

Con cosa hai verificato le connessioni?

[DonQuijote]

Ti ringrazio
ho un modem collegato ad un router netgear. In casa ci sono solo due computer con collegamento wifi al router (ma l'altro è quasi sempre spento).
le connessioni le ho verificate con comodo firewall.
ho anche salvato i log e fatto degli screenshot.
ps: stamattina è successa una cosa bizzarra. L'ip locale è cambiato e non si connetteva più alla rete locale, nemmeno collegando il pc al router con il cavo ethernet. Non era un problema generale di connessione perchè ad esempio se mi connettevo dalla partizione con windows xp (dove ho ricontrato le stesse connessioni strane) non avevo problemi.
per connettermi ho dovuto settare manualmente l'ip, il gateway e i server dns.

[DonQuijote]

aggiornamento.
il firewall ha bloccato un tentativo di connessione udp sulla porta 137 dall'altro pc di casa sul mio(però sono sicuro al 100% della persona che lo possiede: la proprietaria di casa, che tra l'altro non è che abbia chissà che conoscenze informatiche).

[DonQuijote]

vedendo i log di comodo si può dedurre che vengono tentate le seguenti operazioni
una connessione che ha come origine il mio ip e come destinazione degli ip appartenenti ad una stessa rete (l'ip è sempre quello cambia solo l'ultimo campo) sulla porta 443 dell'ip di destinazione
e con minor frequenza sulla porta 137
una connessione che ha come origine l'altro pc di casa e destinazione il mio sulla porta 137
una connessione che ha come origine il mio ip in broadcast sulla rete locale sulla porta 138
lasciando perdere la connessione che ha come origine l'altro pc
i processi che tentato di farlo sono system e svchost
è possibile che siano processi fake o i veri processi corrotti?
svchost.exe è presente in due cartelle diverse, è possibile che sia così perchè ho windows a 64 bit e ne esistono due versioni una a 32 bit e una a 64 bit?
un'ultima domanda
svchost fondamentalmente tenta una connessione sulla porta 53 dei server DNS. è corretto se gli permetto solo quella connessione e le altre le blocco?
grazie in anticipo.

[DonQuijote]

nessuno sa dirmi niente?