Самопроизвольный запуск dial-up соединения (dialup connection launches automatically)
 

Помогите разобраться. Я вроде не новичок в компьютерных делах (и с софтом и с хардом дружу и даже немного кода могу написать), но вот тут такая непонятность возникла. Чуствую что не должно быть что то суперсложное, а вот что это и как с этим бороться понять не могу.

В общем описание проблемы.

Исходные условия :
имеем два дома компа :
один десктоп Compaq P4 1.8GHz (далее ПК1)
второй лэптоп Dell P4 Inspiron 6000 1.6GHz (далее ПК2)
На оба поставлена Windows XP Service Pack 2 (ставил с нуля с одного того же диска).
Компьютеры соеденины в локальную сеть кроссконнек кабелем. Диски расшарены.
Соединение к интернету через дайлап. в ПК1 создано дайлап соединение к местному провайдерй Интернет услуг. Соединение рабочее - проверено - всё через него работает и качается. ПК2 должен использовать это соединение для подключения к Интернету (то есть всё соответственно сконфигурированно на ПК2, а на ПК1 это Инетрнет соединение расшарено).
Проблема :
- включаю модем подключенный естественно к ПК1.
- включаю ПК1, открываю свой эккаунт - всё нормально - никаких ненужных телодвижений не вижу.
- включаю ПК2 (подключенный к ПК1).
И тут начинается непонятность - самопроизвольно начинается дозвон к моему провайдеру через Интернет соединение на ПК1. То есть кто то в смысле что то само ломиться в Интернет.

Так как модем при этом благоразумно отключен от телефонной розетки дабы не дать стервецу установить соединение инициированное непонятно кем/чем то всё заканчивается 680 ошибкой чего и следовало ожидать.

- закрываю окно с ошибкой через Cancel. Всё тихо спокойно, потом процесс повторяется периодичность минут 20...25.

Комментарии :
1. Винда на ПК2 абсолютно чистая/голая - никакого софта (кроме мамкиных драйверов установленных с фирменного делловского диска) не установлено.

Причём винда как я уже сказал что на ПК1 (где проблемы нет) что на ПК2 абсолютно идентичная.
2. Оба компа шерстил на предмет вирусов и троянов. Всё чисто. Да икакие могут быть вирусы на голой винде при условии правильного установочного диска.
3. Я грешил на Remote Access Auto Connection Manager Service. Деактивировал (disabled) его - та же хрень.


4. Когда кроссконнект кабель откинут от ПК2 проблемы не наблюдается.

Вот у меня и вопрос кто/что это самопроизвольно пытается установить соединение и насколько это опасно.
А главное как сделать так чтобы этого больше не было.

Хочется иметь втрой комп подключенным и лазить в него в Интернет (через первый).

Скорее всего служба автоматического обновления хочет в инет.
Уберите флажок Разрешить вызов по требованию (Enable on-demand dialing).
почитать тут и тут

Foma, еще посмотрите, есть ли ошибки в журнале событий.

Petya V4sechkin, а это и в ХР работает?

Angry Demon, почему бы и нет?
Хм, если подумать, вряд ли в этих логах можно увидеть, кто инициирует соединение (я туплю).

Тогда файрвол поставить (например Comodo).
Чтобы он в "режиме обучения" показывал, кто куда ломится. Или список активных соединений смотреть.

А почему на ПК1 та же служба автоматического обновления не хочет в инет.
В чём тут собака порылась ?

То есть смириться с тем что кто то хочет в инет (и зачем то он туда хочет не ради же чистого любопытства) и просто тупо не давать ему это сделать ?

Там куча событий, хотя бы примерно чего искать ?

Посмотрел какой же это процесс ломиться в Интеренет, оказалось svchost.exe. Плачу над своей тупостью но никакой полезной для меня информации я не получил. Тем не менее кто знает что же это значит - поделитесь со всеми и со мной своими соображениями.

Пуск -> Панель управления -> Автоматическое обновление отключено?

Ошибки, по времени совпадающие с неудачными попытками соединения.

На какой адрес?

Для ПК1, пока модемное соединение не установлено, инет отсутствует, ПК2 считает себя в локальной сети (шлюз доступен), поэтому пытается через шлюз попасть в инет, а на ПК1 по запросу поднимается соединение для инет.
А есть какой то третий способ? :) У всех так, или разрешаем сервису ходить в инет (при этом можем ограничивать, напр. с помощью firewall, по каким либо свойствам соединения, приложение, ip адрес, порт) или не разрешаем.
Скорее всего на сайты для апдейтов от MS, комодо, или др. установл. программ. Можете провести опыт - отключить службы авт. обновления на обоих комп., перегрузить компьютеры и на проверить, будет ли авт. устанавливаться соединение., если нет, включите службу авт. обновления на ПК2, можете наблюдать статистику или в мониторе комодо или netstat -an или лучше утилитой tcpview от бывшей sysinternals

Прошу простить меня за долгое молчание. Скриншоты собрал ещё дней 5 назад, но тут шеф поднапряг с

работой. Чудак.

Теперь по делу.
1. Служба автоматического обновления WindowsXP - проверил отключена на обоих машинах.

2. Теперь логи (всё собрано на ПК1)

2.1. До того как ПК2 подключен к ПК1 (то есть езернетовский кабель не подключен к ПК2) (здесь и далее

до пункта 2.4 логи данные собраны с помощю tcpview).

http://keep4u.ru/imgs/b/080109/90/90...6bf1c2f6cb.jpg

2.2. Теперь начинается самое интересное - подключил кабель к ПК2. Вот скриншоты которые я собрал в

течении примерно трёх секунд. Всё происходит так как на скриншотах. Я по моему ничего не пропустил.

http://keep4u.ru/imgs/b/080109/2f/2f...be9e37f069.jpg

http://keep4u.ru/imgs/b/080109/b8/b8...867a441946.jpg

http://keep4u.ru/imgs/b/080109/13/13...ea1a2a82c3.jpg

http://keep4u.ru/imgs/b/080109/f2/f2...fae729a831.jpg

http://keep4u.ru/imgs/b/080109/67/67...5dddebda93.jpg

http://keep4u.ru/imgs/b/080109/7e/7e...fc03b12e9a.jpg

2.3. Тут ПК2 обломился с установкой соединения так как модем не подключен к телефонной розетке.

http://keep4u.ru/imgs/b/080109/8e/8e...bb8f84a9ab.jpg

http://keep4u.ru/imgs/b/080109/54/54...c17ba8bc87.jpg


2.4. Agnitum Outpost Firewall Pro ver. 2.7.491.5421 - log viewer :
allowed outgoing connections 5:47pm to 5:49pm (то есть когда были попытки пробиться в Интернет) :

http://keep4u.ru/imgs/b/080109/07/07...d8d8ad5bb0.jpg

blocked connections 5:47pm to 5:49pm :
http://keep4u.ru/imgs/b/080109/84/84...fbe6305440.jpg


2.5. Event viewer (eventvwr.msc) :
закладка application
http://keep4u.ru/imgs/b/080109/3f/3f...af790cfa5d.jpg

закладка system
http://keep4u.ru/imgs/b/080109/6a/6a...f01d0d997c.jpg

Замечание : закладка security пустая.

Единственное сообщение в eventviwer которое показалось мне интересным вот это :
event 4201 (time stamp 5:47:45pm) из закладки system.
http://keep4u.ru/imgs/b/080109/e8/e8...dda6ec5fb1.jpg

Вот собственно всё что у меня есть на данный момент. Посмотрите пожалуйста кто в этом понимает а то для меня это как то сложновато (точнее я вообще не понимаю что происходит). Если нужно ещёе какие логи собрать или там установки проверить я всегда готов - только скажите.

Да маленькое замечание по теме. Я понимаю что на крайний случай можно сделать как советовали выше :
Уберите флажок Разрешить вызов по требованию (Enable on-demand dialing).
Но хотелось бы во-первых докопатьсй до причин проблемы а не бороться с симптомами, а во-вторых если я поставлю бродбэнд то Интернет соединение будет активным практически круглые сутки и, как я себе понимаю, через него эта софтина которая сейчас ломиться в Интернет и пытается через модем установить соединение будет такой доступ иметь без каких либо проблем. Я себе это так понимаю.

Поэтому логи AVZ собирать видимо нет смысла.
Предположим, что с внутреннего компа какая либо легальная программа хочет попасть в инет (напр. антивирус, браузер и пр.), тогда комп-шлюз автоматом поднимает соединение, если надо, чтобы это соединение автоматически отключалось при неактивном инете (отсуттвии траффика), надо ставить прокси, умеющий отключать соединение, например usergate (в нём и nat можно настроить)
Чтобы узнать какая прога с внутр. компа, хочет в инет, надо см. логи на внутр. компе при вкл. инете.

Ого сколько инфы... Предлагаю Отключаем запрос на установление Интернет соединения

Насколько я понимаю там будет фигурировать svchost.exe. Но он же не сам по себе в Интернет начал долбиться, кто то же его запустил. А вот кто ? Может я конечно чего не понимаю, но меня просто бесит что нельзя посмотеть какая программа запустила svchost.exe и заставила его установить соединение. Неужели это так сложно ? В том плане неужели это так сложно реализовано в винде ?

Ладно сделаю я таким образом.
Но ведь когда у меня будет и Интернет подключен (с ПК1) и ПК2 к ПК1 через эзернетовский кабель, то каккая то софтина будет активно использовать Интернет соединение для каких то своих дел. Вот и интересно что это за гад такой ?

А для этого уже есть средства анализа трафика, например, Ethereal: A Network Protocol Analyzer

Foma, вы пробовали смотреть с помощью tcpview на внутр. компе?

На ПК2 (то есть на нотбуке) ? Нет а что надо ?

Да посмотрел я эту софтину. Она меня повергла в тихое уныние. Это же полнофункциональный анализатор проколов. В общем просто моя проблема как я понял не решается.

А что, это трудно? Можете ещё лог HijackThis выложить с ПК2