Помогите разобраться. Я вроде не новичок в компьютерных делах (и с софтом и с хардом дружу и даже немного кода могу написать), но вот тут такая непонятность возникла. Чуствую что не должно быть что то суперсложное, а вот что это и как с этим бороться понять не могу.

В общем описание проблемы.

Исходные условия :
имеем два дома компа :
один десктоп Compaq P4 1.8GHz (далее ПК1)
второй лэптоп Dell P4 Inspiron 6000 1.6GHz (далее ПК2)
На оба поставлена Windows XP Service Pack 2 (ставил с нуля с одного того же диска).
Компьютеры соеденины в локальную сеть кроссконнек кабелем. Диски расшарены.
Соединение к интернету через дайлап. в ПК1 создано дайлап соединение к местному провайдерй Интернет услуг. Соединение рабочее - проверено - всё через него работает и качается. ПК2 должен использовать это соединение для подключения к Интернету (то есть всё соответственно сконфигурированно на ПК2, а на ПК1 это Инетрнет соединение расшарено).
Проблема :
- включаю модем подключенный естественно к ПК1.
- включаю ПК1, открываю свой эккаунт - всё нормально - никаких ненужных телодвижений не вижу.
- включаю ПК2 (подключенный к ПК1).
И тут начинается непонятность - самопроизвольно начинается дозвон к моему провайдеру через Интернет соединение на ПК1. То есть кто то в смысле что то само ломиться в Интернет.
http://keep4u.ru/imgs/b/071231/63/631aaf9f135629c9a3.jpg
Так как модем при этом благоразумно отключен от телефонной розетки дабы не дать стервецу установить соединение инициированное непонятно кем/чем то всё заканчивается 680 ошибкой чего и следовало ожидать.
http://keep4u.ru/imgs/b/071231/51/51033fcd7fc6d06783.jpg
- закрываю окно с ошибкой через Cancel. Всё тихо спокойно, потом процесс повторяется периодичность минут 20...25.

Комментарии :
1. Винда на ПК2 абсолютно чистая/голая - никакого софта (кроме мамкиных драйверов установленных с фирменного делловского диска) не установлено.
http://keep4u.ru/imgs/s/071231/8b/8b75014a884a062dc9.jpg (http://keep4u.ru/full/071231/8b75014a884a062dc9/jpg)
Причём винда как я уже сказал что на ПК1 (где проблемы нет) что на ПК2 абсолютно идентичная.
2. Оба компа шерстил на предмет вирусов и троянов. Всё чисто. Да икакие могут быть вирусы на голой винде при условии правильного установочного диска.
3. Я грешил на Remote Access Auto Connection Manager Service. Деактивировал (disabled) его - та же хрень.
http://keep4u.ru/imgs/s/071231/81/81ff5866158afde8fc.jpg (http://keep4u.ru/full/071231/81ff5866158afde8fc/jpg)

4. Когда кроссконнект кабель откинут от ПК2 проблемы не наблюдается.

Вот у меня и вопрос кто/что это самопроизвольно пытается установить соединение и насколько это опасно.
А главное как сделать так чтобы этого больше не было.

Хочется иметь втрой комп подключенным и лазить в него в Интернет (через первый).

Скорее всего служба автоматического обновления хочет в инет.
Уберите флажок Разрешить вызов по требованию (Enable on-demand dialing).
почитать тут (http://oszone.ru/808/) и тут (http://faqs.org.ru/os/win2000/win20007.htm)

Foma, еще посмотрите, есть ли ошибки в журнале событий (http://forum.oszone.net/showpost.php?p=580138#post580138).

Можно выяснить, включив запись логов
Petya V4sechkin, а это и в ХР работает?

Angry Demon, почему бы и нет?
Хм, если подумать, вряд ли в этих логах можно увидеть, кто инициирует соединение (я туплю).

Тогда файрвол поставить (например Comodo (http://soft.oszone.net/program/1985/Comodo_Firewall_Pro/)).
Чтобы он в "режиме обучения" показывал, кто куда ломится. Или список активных соединений смотреть.

Скорее всего служба автоматического обновления хочет в инет.
»
А почему на ПК1 та же служба автоматического обновления не хочет в инет.
В чём тут собака порылась ?


Уберите флажок Разрешить вызов по требованию (Enable on-demand dialing). »
То есть смириться с тем что кто то хочет в инет (и зачем то он туда хочет не ради же чистого любопытства) и просто тупо не давать ему это сделать ?

еще посмотрите, есть ли ошибки в журнале событий. »
Там куча событий, хотя бы примерно чего искать ?

вряд ли в этих логах можно увидеть, кто инициирует соединение. »
Тогда файрвол поставить (например Comodo).
Чтобы он в "режиме обучения" показывал, кто куда ломится. Или список активных соединений смотреть. »
Посмотрел какой же это процесс ломиться в Интеренет, оказалось svchost.exe. Плачу над своей тупостью но никакой полезной для меня информации я не получил. Тем не менее кто знает что же это значит - поделитесь со всеми и со мной своими соображениями.

А почему на ПК1 та же служба автоматического обновления не хочет в инет.
Пуск -> Панель управления -> Автоматическое обновление отключено?

Там куча событий, хотя бы примерно чего искать ?
Ошибки, по времени совпадающие с неудачными попытками соединения.

Посмотрел какой же это процесс ломиться в Интеренет, оказалось svchost.exe.
На какой адрес?

А почему на ПК1 та же служба автоматического обновления не хочет в инет.
В чём тут собака порылась ? »
Для ПК1, пока модемное соединение не установлено, инет отсутствует, ПК2 считает себя в локальной сети (шлюз доступен), поэтому пытается через шлюз попасть в инет, а на ПК1 по запросу поднимается соединение для инет.
То есть смириться с тем что кто то хочет в инет (и зачем то он туда хочет не ради же чистого любопытства) и просто тупо не давать ему это сделать ? »
А есть какой то третий способ? :) У всех так, или разрешаем сервису ходить в инет (при этом можем ограничивать, напр. с помощью firewall, по каким либо свойствам соединения, приложение, ip адрес, порт) или не разрешаем.
Посмотрел какой же это процесс ломиться в Интеренет, оказалось svchost.exe »
Скорее всего на сайты для апдейтов от MS, комодо, или др. установл. программ. Можете провести опыт - отключить службы авт. обновления на обоих комп., перегрузить компьютеры и на проверить, будет ли авт. устанавливаться соединение., если нет, включите службу авт. обновления на ПК2, можете наблюдать статистику или в мониторе комодо или netstat -an или лучше утилитой tcpview от бывшей sysinternals

Прошу простить меня за долгое молчание. Скриншоты собрал ещё дней 5 назад, но тут шеф поднапряг с

работой. Чудак.

Теперь по делу.
1. Служба автоматического обновления WindowsXP - проверил отключена на обоих машинах.

2. Теперь логи (всё собрано на ПК1)

2.1. До того как ПК2 подключен к ПК1 (то есть езернетовский кабель не подключен к ПК2) (здесь и далее

до пункта 2.4 логи данные собраны с помощю tcpview).

http://keep4u.ru/imgs/b/080109/90/9048472d6bf1c2f6cb.jpg

2.2. Теперь начинается самое интересное - подключил кабель к ПК2. Вот скриншоты которые я собрал в

течении примерно трёх секунд. Всё происходит так как на скриншотах. Я по моему ничего не пропустил.

http://keep4u.ru/imgs/b/080109/2f/2f6d056ebe9e37f069.jpg

http://keep4u.ru/imgs/b/080109/b8/b8362dfc867a441946.jpg

http://keep4u.ru/imgs/b/080109/13/13fbd2e2ea1a2a82c3.jpg

http://keep4u.ru/imgs/b/080109/f2/f2de1961fae729a831.jpg

http://keep4u.ru/imgs/b/080109/67/674d3cf35dddebda93.jpg

http://keep4u.ru/imgs/b/080109/7e/7ea028b7fc03b12e9a.jpg

2.3. Тут ПК2 обломился с установкой соединения так как модем не подключен к телефонной розетке.

http://keep4u.ru/imgs/b/080109/8e/8ed88219bb8f84a9ab.jpg

http://keep4u.ru/imgs/b/080109/54/54051412c17ba8bc87.jpg


2.4. Agnitum Outpost Firewall Pro ver. 2.7.491.5421 - log viewer :
allowed outgoing connections 5:47pm to 5:49pm (то есть когда были попытки пробиться в Интернет) :

http://keep4u.ru/imgs/b/080109/07/0780d043d8d8ad5bb0.jpg

blocked connections 5:47pm to 5:49pm :
http://keep4u.ru/imgs/b/080109/84/843596d7fbe6305440.jpg


2.5. Event viewer (eventvwr.msc) :
закладка application
http://keep4u.ru/imgs/b/080109/3f/3f6e986eaf790cfa5d.jpg

закладка system
http://keep4u.ru/imgs/b/080109/6a/6a7423cbf01d0d997c.jpg

Замечание : закладка security пустая.

Единственное сообщение в eventviwer которое показалось мне интересным вот это :
event 4201 (time stamp 5:47:45pm) из закладки system.
http://keep4u.ru/imgs/b/080109/e8/e844754bdda6ec5fb1.jpg

Вот собственно всё что у меня есть на данный момент. Посмотрите пожалуйста кто в этом понимает а то для меня это как то сложновато (точнее я вообще не понимаю что происходит). Если нужно ещёе какие логи собрать или там установки проверить я всегда готов - только скажите.

Да маленькое замечание по теме. Я понимаю что на крайний случай можно сделать как советовали выше :
Уберите флажок Разрешить вызов по требованию (Enable on-demand dialing).
Но хотелось бы во-первых докопатьсй до причин проблемы а не бороться с симптомами, а во-вторых если я поставлю бродбэнд то Интернет соединение будет активным практически круглые сутки и, как я себе понимаю, через него эта софтина которая сейчас ломиться в Интернет и пытается через модем установить соединение будет такой доступ иметь без каких либо проблем. Я себе это так понимаю.

2. Оба компа шерстил на предмет вирусов и троянов. Всё чисто. Да икакие могут быть вирусы на голой винде при условии правильного установочного диска. »
Поэтому логи AVZ собирать видимо нет смысла.
Но хотелось бы во-первых докопатьсй до причин проблемы а не бороться с симптомами, а во-вторых если я поставлю бродбэнд то Интернет соединение будет активным практически круглые сутки и, как я себе понимаю, через него эта софтина которая сейчас ломиться в Интернет и пытается через модем установить соединение будет такой доступ иметь без каких либо проблем. »
Предположим, что с внутреннего компа какая либо легальная программа хочет попасть в инет (напр. антивирус, браузер и пр.), тогда комп-шлюз автоматом поднимает соединение, если надо, чтобы это соединение автоматически отключалось при неактивном инете (отсуттвии траффика), надо ставить прокси, умеющий отключать соединение, например usergate (в нём и nat можно настроить)
2. Теперь логи (всё собрано на ПК1) »
Чтобы узнать какая прога с внутр. компа, хочет в инет, надо см. логи на внутр. компе при вкл. инете.

Ого сколько инфы... Предлагаю Отключаем запрос на установление Интернет соединения (http://www.oszone.net/2510/)

Чтобы узнать какая прога с внутр. компа, хочет в инет, надо см. логи на внутр. компе при вкл. инете. »
Насколько я понимаю там будет фигурировать svchost.exe. Но он же не сам по себе в Интернет начал долбиться, кто то же его запустил. А вот кто ? Может я конечно чего не понимаю, но меня просто бесит что нельзя посмотеть какая программа запустила svchost.exe и заставила его установить соединение. Неужели это так сложно ? В том плане неужели это так сложно реализовано в винде ?

Ого сколько инфы... Предлагаю Отключаем запрос на установление Интернет соединения »
Ладно сделаю я таким образом.
Но ведь когда у меня будет и Интернет подключен (с ПК1) и ПК2 к ПК1 через эзернетовский кабель, то каккая то софтина будет активно использовать Интернет соединение для каких то своих дел. Вот и интересно что это за гад такой ?

каккая то софтина будет активно использовать Интернет соединение для каких то своих дел. Вот и интересно что это за гад такой ? »
А для этого уже есть средства анализа трафика, например, Ethereal: A Network Protocol Analyzer (http://www.ethereal.com/)

Foma, вы пробовали смотреть с помощью tcpview на внутр. компе?

Foma, вы пробовали смотреть с помощью tcpview на внутр. компе? »
На ПК2 (то есть на нотбуке) ? Нет а что надо ?

А для этого уже есть средства анализа трафика, например, Ethereal: A Network Protocol Analyzer »
Да посмотрел я эту софтину. Она меня повергла в тихое уныние. Это же полнофункциональный анализатор проколов. В общем просто моя проблема как я понял не решается.

Foma, вы пробовали смотреть с помощью tcpview на внутр. компе? »
На ПК2 (то есть на нотбуке) ? Нет а что надо ? »
А что, это трудно? Можете ещё лог HijackThis (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip) выложить с ПК2