Необходимо настроить брандмауэр периметра, чтобы не позволить невнутреннему IP получать доступ контроллерам домена (откровенно, они не должны получать доступ ни к каким системам на внутреннем IP, они должны перейти к демилитаризованной зоне). Если Вы не добираетесь, IP в конечном счете регистрируется, можно хотеть получить пакеты и определить источник этих нападений.
Кажется, что у Вас мог бы быть процесс, постоянно порождающий подпроцесс, который затем перестал работать. Я рекомендовал бы использовать ProcessMonitor SysInternals (Microsoft's) ( здесь ) - это действительно - danglies собаки когда дело доходит до закрепления проблем как это.