Когда перезагружается компьютер в LAN, провоцируется перезагрузка и моей машины. В политике Группе Users, к которой принадлежит инициатор, право на удаленную перезаргузку не дано. Нужно это дело прекратить!
Так стало происходить после того, как пытался организовать доступ к Shared конкретным пользователям, об этом подробнее здесь.
скоро весь OsZone будет знать конфигурацию моей сети наизусть. Надеюсь до firewall не дойдет :) *

Это конечно, смешно звучит, но с вирусами у вас все в порядке?

Я хотел сказать, представляете какой цирк был если бы перезагружался сервер обслуживающий 100-200 машин? ;)

[s]Исправлено: DAnG, 8:27 2-02-2004[/s]

Сначала я тоже так думал, нашел даже ветку о том, что Lovesan может прописываться как resetservice и имеет свойство перезагружать машину, но resetservice я проверял - чисто, убирал - проблема остается.  Так что с вирусами все в порядке. Я уверен, что проблема возникла после выполнения действий, описанных в приведенной ссылке.

Когда перезагружается компьютер в LAN, то это означет только одно , что видимо вы много платите своему провайдеру , так как я знаком с этой проблемой не по наслышке так как сам какоето время сидел на таком финансово и технически не выгодном провайдере , смысл в том что он рассылал по IP вирус потребляющий трафик в давольно нормальных количествах , но это не вся проблема , основное в том что этот вирус имеет способность часто перезагружать PC

Антивирус молчит - нету ничего, это раз.
Меня не ребутит когда попало, но строго при перезагрузке другой машины в LAN - это два. *Так происходило после переустановки - * сети в другой LAN. Это три.
Отсюда эрго - копать нужно в сторону настроек.

[s]Исправлено: DeepProg, 21:12 4-02-2004[/s]

Дополнительные сведения:
Перезагружает только меня, и только, когда пользователь на машине в LAN выполняет процедуру Logon'a.
Я таким образом пользователя LAN не перезагружаю.
У пользователя политики стандартные, у меня: пробовал убирать всех "кому можно" в local logon..., Force system Shutdown... и другие, связанные с ShutDown(т.е. это слово присутствует в названии настройки) в Local Security Policy.
Пользователь LAN перезагружает меня из под любой системы(установленной у него), будь то XP или ME

Нужна помощь бывалого админа. И еще раз говорю - это не вирус.
Для более полного понимания проблемы настоятельно рекомендую зайти сюда

Ищите закладку (троян).

Hint, не уповайте на антивирусник, думайте.

What did you mean?
Пишите его сами :biggrin:. Только вот антивирусник - не один, и все молчат, кстати, других зверей находят, когда поцепляю.

Я уже говорил, что это происходило в двух LAN, причем XP ставилась с одного и того же CD.

Ну и если это все-таки вирь, то у кого он - у инициатора или у меня?

[s]Исправлено: DeepProg, 4:11 11-02-2004[/s]

firewall поставь - заблокируй все входящие - и посмотри что стучится тебе при перезагрузке машины их LAN

Обижаешь - уж 64h лет как стоит. И глушил я bootpc порты - ОСи на это плевать, так что будет сделать довольно проблематично - все происходит мгновенно. Но я попробую подловить момент.
Вот вопрос: вся Security Policy XP =0, что ли?
Пробовал устанавливать shutdown reason:[list][*]когда сам ребуиться пытался - спрашивает зачем;[*]когда из-за инициатора - нет, т.е прото перезагружается, как если бы я нажал Ctrl+Alt+Reset :).

хых. а лог сам фаер вести не может чтоль?
не понял вопроса...

Как смогу протестить - погляжу, что там в нем лежит. Ждите обновлений.

удаленный shutdown использует RPC. если попробовать его вырубить - посмотри что получится..

RPC совсем не отключишь :(.
Если его снести из системы вообще, это отразится на других службах. В т.ч. и на защите.
У RPC на вкладке Recovery при каждом failure было установлено Restart Copmuter. Я ставил везде Take no Action - не помогло.
К тому же эти манипуляции привели к тому, что после инициированной презагрузки logon screen зависает, и приходится перезагружаться еще пару раз руками - тогда можно нормально войти в систему.
Просмотр log'ов firewall'a тоже ничего криминального не выявил.
Disable account инициатора - не помогло.
И вот еще, что:
System Restore мне немного мешала при диагностике, что могло сказаться на досточверности публикуемых здесь сведений: после этих перезагрузок - все Expert настройки по блокировке портов у Firewall - отшибло. Да и файлы удаленные снова присутствуют.
Тем не менее, настройки отшибает только после перезагрузки, значит - после их содздания они работали и предотвратить саму перезагрузку не смогли.
Предлагате и здесь все devices снести и заново поставить?
Ну никогда причину не выясним! Хотя Win, что мутирующий вирус: распростаняется и все новые выверты творит.


[s]Исправлено: DeepProg, 14:28 22-02-2004[/s]

Ну снес. Дело было так:
На жертве уже установил(пока только адаптер), а на инициаторе еще только снес.
У инициатора говорим OK на предложение перезагрузить комп, чтобы изменения вступили в силу - жертву тут же reoot'нуло.
Сетевые адаптеры в CMOSE как-то регулируются?
Забудьте все, что я говорил про logon - фигня-с  - удаленный ребут происходит джаже когда по LAN разговаривать еще не могут!

в bios'е есть опция wake-on-lan. работает наоборот. разбудить комп по сети. при условии накинутого на мать проводка от сетевой.
кстати, что за адаперы?

У обоих RealTek RTL8139 Family PCI Fast Ethernet NIC.

Кажется, ребутит меня какой-то софт(сервис).
Я старался внимательнее проследить за моментами инициации. Похоже. что так(действия производимые у инициатора? напомню, что это WinME):

• при logon:
• просто ребут
• чаще всего поcле logon'a, при заргузке всяких там autorun'овых aplications'ов

Уродских процессов в мозгах инициатора я не обнаружил. Использовал ProcessManager((c) *Sysinternals).
Позднее проверю наличие виря у инициатора, хотя как он туда мог попасть, а на моей машине не отразиться(в смысле физического присутствия - траффик через меня)?..


[s]Исправлено: DeepProg, 0:34 23-02-2004[/s]

лучше сразу проверь. то что трафик идет через твою машину это ничего не значит. для "инициатора" ты являешь просто роутером.
внимательней проанализий (убери лишнее) из автозагрузки и ключей Run (в разных ветках) реестра

Вышеуказанные опреации выполнил.
Наличие вируса - результат отрицательный.
Лишнее - отсутствует.
Есть ли вероятность вины кабеля или есть 99% увереннности, что здесь замешан RPC?

какого кабеля?
да, именно так, больше некому

сетевого - что-то типа Short Circuit


Кстати, какие настройки реестра могут спровоцировать возникновение данной проблемы.
I beg your pardon, :shuffle: если забыл с самого начала предупредить, что прямо на свежую систему применил x-setup, естественно с высокомерным игнором Wizard'a
только не убивайте меня, если я действительно никогда не предуреждал о своем вмешательстве в сокровенные недра Win registry
Мне написать куда я лазил или сразу ясно, где причина сих несчастий?

телепатов тут нет, поэтому напиши
если сомневаешься в кабеле - проверь его в другом месте гденть

Прежде всего, приношу свои извинения тем, кто активно интересуется данной темой и уже вторую неделю ждет обещанного мной лога.
Vich, ты вообще-то с x-setup знаком? Тогда было бы проще ориентироваться. Насчет телепатии не знаю, но аналитика здесь бы могла пригодится.
Да загляните еще и в темку про баги с доступом к web после реконнектов, для него я тоже сетевые разделы выложил.
На первый раз вывожу ключи классифицируемые в Network(старался только для LAN), Startup/Shutdown и System (здесь не перечисляю те, что относятся к скриптам, файлам, сообщениям об шибках и т.п. ).
Красным - то, что на мой взгляд очень похоже на причину проблемы.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\ *- ведение логов применения групповых политики принудительное применение политик
HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\RestrictGuestAccess
HKLM\SYSTEM\CurrentControlSet\Services\EventLog\System\RestrictGuestAccess
HKLM\System\CurrentControlSet\Control\LSA\RestrictAnonymous
- выше, на мой взгляд, комменты не требовались - простой improvement of defence
HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\ *- запретил автошары
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SSDPSRV\Start
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\upnphost\Start *- оба сервиса *отменены
HKLM\SYSTEM\CurrentControlSet\Services\MrxSmb\Parameters\RefuseReset *- запертил Reset Request, то есть установил его на IGNORE(REG_DWORD=1)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AllowMultipleTSSessions *- запрещено (уже не мной, правда, а Logon screen'ом )
HKCU\Control Panel\Desktop\ - параметр AutoEnd Tasks установлен в true
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LogonType - классика
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\forceguest - отключил Simple Share
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\AutoRestartShell - включен
HKLM\System\CurrentControlSet\Control\Session Manager\Memory Management\1 *- отображать устройство или файл, вызвавший stop error
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters\EnablePrefetcher - Enabled
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Memory Management\IoPageLockLimit =16384
HKLM\System\CurrentControlSet\Control\Session Manager\Memory Management\ *- большой кэш и 16-bit separately
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\ - Lock enabled
HKLM\System\CurrentControlSet\Control\Session Manager\KnownDLLs *- кэширование - disabled
HKLM\Software\Policies\Microsoft\Windows\Installer\ - CD/DVD, then LAN, then URL
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Reliability\ShutdownReasonUI *- активирована, но поймать хоть какое-то сообщение после облома не удалось.


[s]Исправлено: DeepProg, 1:44 25-03-2004[/s]