Strasznie zwolnił mi internet. Wyłączyłam wszystkie aplikacje korzystające z netu i okazało się, że na łączu 512 ściąganie z serwera jest maximum 1/3 prędkości. Sprawdziłam Zone Alarm i wyświetla, że non stop mam połączenia z zewnątrz (kilkadziesiąt na minutę) z różnych IP (każde połączenie to inny adres). Reset - to samo. Czy mogę jakoś zablokować te połączenia? Najlepiej jakby wogóle nikt się do mnie nie łączył.

Pewnie zlapalas jakiegos trojana i jestes "szczesliwym" uzytkownikiem jakiegos botnetu ;)
1. Wklej log hijackthis.
2. Czy to ciagle te same ip? Jak tak dodaj w firewallu, zeby je blokowal (mysle, ze ma taka funkcje)* - rozwiazanie tymczasowe bo i tak nadal bedziesz miala malware na kompie.
3. Zeskanuj sie antywirusami.
4. Na jakim porcie sie laczy? - zablokuj go na firewallu.

To wtedy nie bedziesz mogla surfowac po necie, ale jak chcesz ZoneAlarm powinien miec funkcje dropowania przychodzacych pakietow.

edit
* - nie doczytalem, albo zapomnialem co czytalem :P

krok po kroku...........
konfiguracja firewalla-blokowanie wyjscia dla tej aplikacji lub procesu-liste aplikacji i procesow ktore lacza sie z netem masz w logu firewalla
-odpal kompa w trybie awaryjnym lub jak kto woli administracyjnym i czesz wira malware i adware-najlpeiej jakims skanerem online-powyrzucaj wszystko co znajdzie-oczywiscie przedtem wylacz mozliwosc przywracania systemu start-moj komputer-prawoklik i wybierz wlasciwosci-potem przywracanie systemu-odptaszkuj mozliwosc przywracania.
Po wyczyszczeniu -bedziesz miala info co to bylo wlasciwie- i na podstawie tej informacji latwo poszukasz informacji jak ponaprawiac szkody-o ile to mozliwe

Z drugiej strony sie dziwie-jak antywir wpuscil czy dopuscil do instalki tego wira? Bez twojej zgody to bylo raczej niemozliwe nvm zamknij wyczysc i ponaprawiaj jesli trzeba i masz spokoj

@bns:
Oczywiście Zone Alarm blokuje te wszystkie adresy. Tak, każdy adres jest inny.
Hijack:
Logfile of HijackThis v1.99.1
Scan saved at 21:45:03, on 2007-11-24
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\GameDeviceDriver\RFPIcon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\LifeView Studio\HDTV.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\SpyRemover\Remover.exe
C:\Documents and Settings\ja\Pulpit\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.nvidia.com/content/drivers/redi...page=sysutility
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ScanRegistry] C:\W
O4 - HKLM\..\Run: [RTBatteryMeter] C:\Program Files\GameDeviceDriver\RFPIcon.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{XXXXXXXXXXXXXXXXXXXXXXXX}: NameServer = XXXXXXXXXXXXXXXX
O18 - Protocol: ms-help - {XXXXXXXXXXXXXXXX} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O20 - AppInit_DLLs:
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Antywirus nic nie znajduje.

@rebel ok spróbuję tak jak piszesz.

dodane:
to są pakiety przychodzące,
porty:
-62614,
-80,
-25230,
-59587,
-1900

Nawet po wyłączeniu mułka przez jakiś czas będziesz odpytywany

sass.exe - sass - Process Information

Process File: sass.exe or sass
Process Name: Troj/Funsta-A

masz trojana wywal skanerem lub recznie nie zapomnij przeleciec rejestru po tym i powinno byc dobrze
w hijacku masz proces 017 prawdopodobnie wlasnie od tego trojana-ja bym usunal

This section helps you to understand how it behaves

Troj/Funsta-A is a Trojan for the Windows platform.

Troj/Funsta-A changes settings for Microsoft Internet Explorer, including the Start Page.

Troj/Funsta-A modifies the HOSTS file to redirect a large number of websites.


a tu gdzie sie gnida chowa

This section is for technical experts who want to know more.

Troj/Funsta-A is a Trojan for the Windows platform.

When first run Troj/Funsta-A copies itself to:

<Startup>\sass.exe
<System>\sass.exe

The following registry entry is created to run sass.exe on startup:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
usb
<System>\SASS.EXE

Troj/Funsta-A changes settings for Microsoft Internet Explorer, including the Start Page, by modifying values under:

HKCU\Software\Microsoft\Internet Explorer\Main\
HKCU\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\
HKCU\Software\Microsoft\Internet Explorer\Main\Start Page
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page

Troj/Funsta-A modifies the HOSTS file to redirect a large number of websites to 218.85.139.123.

powodzenia

Co ty gadasz Mozna blokowac wszystkie przychodzace polaczenia i nie wplywa to na mozliwosc surfowania po necie . A jedynie efekt jest taki jak bys mial lowid. Dropuje sie polaczenia a nie wszystkie pakiety (czyli wystarczy blokowac pakiety z SYN ).

Masz racje. Sory za wprowadzenie w blad - uczylem sie do kola i juz bylem zmeczony tym wszystkim :P

Pytanie do koleżanki: Neostrada?

Multimedia 512/128 (3 komputery, LAN)
IP mam ten sam cały czas, więc nie wiem bo się nie znam, czy to neostrada.
A połączenia zewnętrzne jak były tak są dalej (instalowałam od nowa Windows, antywir, firewall).
Mam też podejrzenie, że z sieci ktoś drze max łączem, ale niestety nie mogę tego udowodnić. User się pojawia co skutkuje spadkiem transerów, potem "rozmowa", ten znika chociaż transfery są dalej takie słabe. Nie znam się na specyfice budowy sieci więc nie wiem czy on dalej sciąga tz tym, że zmienia coś tam w parametrach i "znika".
Serwer jest u niego.

Sonia podczep sie do mnie -dam Ci 20 razy wiecej niz 512/128 .Ja jak sciagam to sprawa godzina,dwie Wiecej nic nie znajduje.Tylko kabel kup.

Ale jak to? Jeśli nie masz dzielonego łącza, to przy dużym Providerze takie praktyki raczej należą do rzadkości. Osobiście radziłbym wykonać testy po restarcie komputera w godzinach newralgicznych, użyć do tego jakichś badaczy przepustowości on-line i z problemem uderzyć do providera. Mówiłem o TPSA, bo ja akurat z nimi się męczyłem dwa miesiące, zwodzili mnie dekle, jakieś bzdurne testy kazali robić, co przecież wiem do czego służą lepiej niż te panienki na infolinii, aż w końcu złodzieje naprawili; dochodziło do tego że przy prędkości 128KB/s zasysałem z predkością 20.... W końcu sprawę wyprostowali.