Warum nicht erstmal gucken welche Ports von welchem Prozeß geöffnet werden? Du brauchst ja die Zuordnung Prozeß <-> Port. Meines Wissens nach bietet WireShark gerade das nicht. Vielleicht habe ich aber auch die Option nur bisher übersehen, lasse mich da gern positiv überraschen

Ich würde bspw. allerlei Dinge wie geplante Aufgaben (oder bei Cygwin/SUS einen cron-Job) als erstes als Ursache ausschließen. Ansonsten suchst du dir nen Ast ohne konkreten Anhaltspunkt.

Die Frage wäre ja auch, ist der Anmeldeversuch einer der einem bekannten Protokoll folgt (bspw. SMB)? Oder ist es bspw. Klartext?

Zum mitschreiben würde ich als geplante Aufgabe tcpvcon immer den aktuellen Stand (mit Zeit/Datum) an eine Textdatei anhängen lassen.