В WinXP Home постоянно активен индикатор локальной сети
 

Здравствуйте. На пяти машинах в локальной сети (10 ПК) заметил постоянно активный индикатор локальной сети.
Все компы входят в одну рабочую группу. Локальная сеть используется в основном для печати на расшаренных принтерах.
Имеется: все компы офисные P4 и Celeron с памятью 256 МБ и более.
1 ПК: расшаренный принтер+интернет через прокси SP
2 ПК: интернет через прокси SP
3 ПК: расшаренный принтер
4 ПК и 5 ПК: особенностей нет
2, 4 и 5 используют принтер на 3 машине
На этих компах есть расшаренные ресурсы как для чтения так и для записи.
Интернетом прользуются очень редко и в основном для серфинга.
В этой же локальной сети есть машины с таким же интернетом, использующие эти же принтеры, но с индикатором сетевой активности все в порядке. Кстати на прокси-сервере индикатор интернета в норме - изредка помаргивает.
Раньше такого не было, когда появилось - точно сказать не могу, т. к. не обнаружено до сих пор каких-либо багов. На всех машинах давно стоит NOD32 2.7, базы постоянно обновляются - он ничего не нашел и не находил. Проверял утилитой CureIt - тоже ничего. В диспетчере задач исследовал запущенные процессы - вроде все в норме.

Подскажите, пожалуйста, как это вылечить, не хочется, чтобы это оказался троян, ворующий инфу.
Может что сообщил не полностью, скажите, где копать и куда посмотреть.

Может быть проблема именно в индикации, а не в реальном использовании сетевого интрфейса? Обмен данными в момент отображения активности присутствует, и насколько интенсивный если да?

Можете попробовать рецепты из этой статьи: Устранение неполадок, связанных с пропаданием значков сетевых подключений - хуже не будет.

Сетевой интерфейс используется задачами пользователя очень редко.
Отображение постоянной сетевой активности есть во всё время работы компьютера, независимо от обмена данными. Никогда не бывает интенсивного обмена данными. Локалка используется для использования общего принтера и иногда для переброски документов (несколько Мб) для отправки по почте. Интернет ограничен 50 Кбайт/с и трафик фильтруется по маске адреса на прокси-сервере.
Со статьей Устранение неполадок, связанных с пропаданием значков сетевых подключений ознакомился. У меня все отображается и все работает как ни в чем не бывало. Только возле часов в трее постоянно активно сетевое подключение.

За это время обнаружил, что трафик 1-1,5 кбайт/с в обе стороны (не синхронно). Не могу найти виновника - ни один процесс странно себя не ведет. И еще, если включен всего один компьютер с таким безобразием, то индикатор сети не активен. Даже когда включены два и один из них выключить, то на другом гаснет сразу.

Может кто-нибудь сталкивался с этим?
Может программу какую-нибудь посоветуете?

То что антивирусы не находят это не значит что не заражен - попробуй AnVir глянуть что качает или поставь фаер чтобы посмотреть что ломится. Подозреваю это спам - бот: обычно антивирусы не видят это SpyWare.

С помощью программы Net Limiter 2 Monitor выявил машину, которая всем остальным (с указанной выше сетевой активностью) шлет пакеты на порт 139. На ней интернет через прокси. Еще она использует несколько расшаренных принтеров в сети.
В общем какой-то процесс System создает несколько соединений и использует порт 139.
Из того, что я прочитал в Инете на эту тему, понял, что порт 139 нужен для нормальной работы в локальной сети. Я не знаю только как прекратить эту постоянную рассылку пакетов на порт 139 некоторых машин.
AnVir указывает на процесс System
Попробую с файерволом.

цитата с какого то сайта: "Порт 139 используется сеансовой службой NetBIOS, которая активизирует браузер поиска других компьютеров, службы совместного использования файлов, Net Logon и службу сервера" - походу эти два компа являются Браузерами для других - один мастер, другой резервный. browstat.exe в интернете поищи утилиту. Она скажет точно.

Нарыл наконец-то утилиту browstat.exe. Ни один из компов с аномальным сетевым индикатором не является мастер браузером или резервным браузером.
С фаерволом похуже - пробовал Comodo, но положительный результат не получил.

Подскажите, пожалуйста, каким фаерволом лучше воспользоваться, чтобы посмотреть, что ломится в(из) машины и какие настройки произвести (хотя бы в общих чертах).

Можно еще посмотреть обычными виндовыми методами - в консоли команда netstat - выдаст тебе какая программа, по какому порту к какому компьютеру и какому порту подключена

Попробовал netstat. Ничего нового не увидел, т.к. запускал ранее AnVir и TcpView.
192.168.0.108 - интернет-шлюз через порт 8080, в данный момент нет открытых интернет-подключений.
На 192.168.0.2, 192.168.0.41, 192.168.0.52, 192.168.0.63 установлены расшаренные принтеры, но на каждой кокретной машине установлены только нужные.
Может быть, кто-то увидит на скриншоте что-нибудь интересное, напишите.

Может быть это какая-нибудь прога перенастроила систему, чтобы та сама долбилась в сеть?
Хотелось бы узнать, какие процессы происходят в локальной сети с расшаренными ресурсами.

Очень похоже на спам из вне...Если перестать инет раздавать-оставить только локалку-индикация пропадёт(так,нет?).. мониторить нужно ..судя по всему-к вам кто-то очень активно ломится... я бы попробовал KerioWinRouteFirewall.. но тогда придётся поднимать проксю на керио заново и все настраивать... это кстати было бы гораздо надежнее....

Отключение/включение интернет соединения не влияет на индикацию. Тем более что к инету не все подключены. На одном компе из этого списка (без подключения интернета) был заменен хард с переустановкой оперционки: индикация пропала на нем (переустановили win xp home sp2).
Проблему хочется решить не переустанавливая виндовс на остальных машинах.

из всего прочитаного приходит только одна мысль сервис \свойства папки\вид\автоматический поиск сетевых папок и принтеров

.Земляк. - вот это как раз у всех отрублено, иначе все принтеры автоматом лезут на все машины устанавливаться, а это не требуется.

Небольшое прояснение ситуации: Когда включаю фаервол Win XP (причем ставлю галку "Не разрешать исключения"), то индикация пропадает (ну тут как бы и так понятно). Далее, скан портов выявил следующее: открыты порты TCP: 80, 110, 135, 445, 1026, 3128, 8080 и UDP: 123, 137, 138, 445, 500, 1900, 4500. Интересно бы получить ссылочку, где есть справочник использования "стандартных" портов различными программами или службами Win. Тогда наверно разберусь, кто куда лезет. :clever-ma