Die Ports wären schonmal eine gute Idee. Du kannst diese auch direkt filtern bei Wireshark. Anderes wird dann garnicht erst gelogged. Oder Du schließt wirklich alle Programme, die eine Verbindung herstellen könnte: Firefox, Internet Explorer, Opera, Thunderbird, ICQ, MSN etc. und führst dann die Datei aus, die Du sniffen möchtest. Und dann schaust Du nach Verbindungen, die Dir komisch vorkommen. Ungewöhnliche Portnummern etc.