непонятные ip соединения

да, кстати, моя система через netbios-ns и netbios-dgm броадкастом посылает что то в сеть

Торренты не запущены случаем?

не-а не запущены...

Это действительно похоже на следы от недавно работавшего торрента. Но в логе нужны дампы пакетоы, входящие/исходящие ip+порты, тип протокола, чтобы однозначно сказать. Используйте более подробный сетевой анализатор, типа Wireshark.
В идеале лучше запустить его на другой машине и подключить к каналу через зеркалирующий свитч (или старый хаб), но на крайний случай можно запустить и на исследуемой машине.

как снифер называется ?

Пользую CommView Packet Analyzer 6.5 Сборка 736 Оценочная версия)

Используйте более подробный сетевой анализатор, типа Wireshark.

– точно, спасибо за подсказку, попробую

Итаак, теперь по-порядку... вопросов у меня больше чем ответов)

В идеале лучше запустить его на другой машине и подключить к каналу через зеркалирующий свитч (или старый хаб)

– не имею ни технической возможности ни необходимых знаний...
Запустил на исследуемой машине, да всё подробно и много всего там) поди разбери где-что) проскальзывают иногда маленькие непонятные пакетики кроме впновских – если просто локальную сеть мониторить. пакеты либо по tcp или udp, порты всё время разные, хосты тоже, пишет на многих tcp retransmission, искал, но что это за зверь так и не понял нормально
А ежели монитрить впн, то там всё видно куда я хожу... вот у меня и возникает вопрос, это только мне видно, или со стороны тоже? по идее не должно то, а вот когда тор подключаю – тогда уже не разобрать что по нему идёт(мне по-крайней мере)
И почему триджика трафика не видно, пока впн не подключу, только в loopback зоне трафик виден
Господа, не серчайте, я просто не могу сейчас сразу всего вместить, вот и спрашиваю, прошу прощения за ламерские вопросы, просто суть понять хочу... посоветуйте почитать что-нить, пожалуйста, что б разобраться что к чему

Когда firewall снифает виртуальный сетевой интерфейс, он видит весь VPN-трафик нешифрованным, это нормально. Надо смотреть, на каких интерфейсах что видно. На реальном интерфейсе (в терминологии винды — "сетевом адапторе") не должно быть ничего видно помимо соединения между вами и VPN-сервером.


Старый дедовский способ работы с чёрным ящиком, который вы не понимаете:

1. Всё отключить. Посмотреть, что при этом шлётся в сеть. Попытаться отключить всё так, чтобы не слалось вообще ничего.
2. Запускать разные независимые программы и при этом блокировать в настройках файерволла те соединения, которые вам кажутся подозрительными. Смотреть, что после этого перестанет работать, а что продолжить. Выяснить экспериментально, что кому (каким программам) нужно.

В винде вы замучаетесь всё её говно в трафике разгребать, слишком уж она болтливая. Проще сначала поставить ОС, которой люди доверяют (тот же Linux) и разбираться с ней, начав с минимума и подключая нужные программы/сервисы по мере роста надобности и понимания.


Так и должно быть. Снифер не видит "нижний уровень" Tor'а (в отличие от VPN).

P.S. Винда — это не то, обсуждение чего хотелось бы видеть на этом форуме.