Конференция VBStreets

[Thomas]

Привествую всех.
У меня видеокарта RADEON, соответственно драйверы от ATI.
Недавно установил Outpost Firewall. Теперь при старте системы он показывает что CLI.exe из папки C:\Program Files\ATI Technologies\ATI.ACE\ ломиться в сеть. В окне предупреждения firewall показывается целый список dll. Причем происходит это два три раза подряд.
Вопрос ЗАЧЕМ "драйверу" видеокарточки сетевое соединение?
Что бы это значило? Опасно или безопасно?

Кто сталкивался с этим поделитесь информацией.

Да еще раньше наблюдалось такое явление, во время старта системы, когда уже появился рабочий стол на экране, то происходило мгновенное затемнение экрана и сразу же все опять отрисовывалось.

Антивирус молчит, ad-aware молчит, сейчас и firewall молчит, но такое ощущение, что кто-то другой использует мою систему.

[GSerg]

Под "списком преджупреждения", видимо, понимается список компонентов... гы гы...
А вот почему бы не сказать, куда он ломится, на какой порт...

[Thomas]

Целый ряд портов в пределах 1021-1037.

А вот explorer(не IE) ломиться на удаленный адрес 239.255.255.250 UDP порт 1900.
Плюс еще какая-то "зараза"(процесс недоступен) ломиться на 224.0.0.22 IGMP порт 0

ЗЫ я в этих вопросах совершенный чайник

[GSerg]

Целый ряд портов в пределах 1021-1037.

Наверное, стоит поискать эту инфу на сайте ATI. Но я думаю, что это поиск обновлений. Отключаемый, скорее всего.

А вот explorer(не IE) ломиться на удаленный адрес 239.255.255.250 UDP порт 1900.

http://support.microsoft.com/default.as ... -us;317843

Плюс еще какая-то "зараза"(процесс недоступен) ломиться на 224.0.0.22 IGMP порт 0

Другой пример: бдительный Outpost предупредил меня о том, что компьютер пытается установить соединение по IGMP протоколу с удаленным адресом 224.0.0.22 и предлагает упорядочить подобную вакханалию (рис.9). С одной стороны, у меня нет оснований не доверять Outpost, с другой - здесь есть над чем поразмыслить. В данном случае моя операционная система посылает так называемый широковещательный пакет c целью сообщить всем компьютерам моей локальной домашней сети о включении моего компьютера, и не более того. Если же у вас нет сети, и ваше подключение к провайдеру осуществляется напрямую, то этот пакет и сообщение предназначены именно провайдеру. Другими словами, это ни что иное, как активность Windows. Если у вас постоянный IP адрес и вы не хотите чтобы в вашей сети знали, что вы вышли в свет , то данную активность лучше запретить. Что касается адреса 224.0.0.22, то это стандартный адрес, используемый Windows в данном случае: программа маршрутизации периодически посылает запросы рабочей группе для запроса принадлежности той или иной машины к данной локальной сети.

ЗЫ я в этих вопросах совершенный чайник

Я тоже понятия не имел. И однако же, поискал в гугле по IP-адресу.

[Thomas]

GSerg
снимаю шляпу. Да про простую вещь я не подумал.
Да, поиск и еще раз поиск.

Но проблема всё же существует.
Кто-то пользует удалённо мой РС.
А обнаруживается это когда "Пуск" --> "Выключение" --> "Выключение".
И ничего не происходит, рабочий стол остается активным, а диалоговое окно выключения закрывается.

И если пойти другим путём "Пуск"-->"Выход из системы"--> "Смена пользователя" То тогда можно выключить РС, но будет предупреждение что РС используется другим пользователем.

Вопрос, как его теперь обнаружить? И ликвидировать.

[GSerg]

Мой компьютер - Управление - Общие папки - Сеансы?

[Thomas]

GSerg
Там пусто, нет элементов для отображения.

[GSerg]

Наверное, потому, что тот другой пользователь - это ты?

[Thomas]

GSerg
Не, не я.
Зверя зовут "NT AUTHORITY\SYSTEM" User32. Это я в системном журнале нарыл в сообщениях об ошибках.

Когда система стартует он откуда-то вылазит, давит Ad-Watch SE Professional из комплекта Ad-Aware SE Professional, наверное что-то в регистре меняет, между делом происходит мерцание экрана, как бы моргнуло раз-другой(иногда экран на пару-тройку секунд вообще черный) и начинают антивир с оутпостом грузиться.

Если зверь активный, то систему простыми штатными действиями не выключить.

Все известные мне места в реестре и в папке виндов я посмотрел.
Погуглил. Скачал две утилитки от Симантека и Каспера, проверился ничего не нашли. Обновления для винды от мелкомягких хитрыми путями спионерил, установил. А зверь всё рыщет в глубоких тылах.

Жить конечно можно, но жутко неприятно. Ведь неизвестно чем это он в тылах занимается.

Пока в борьбе со зверем побеждает зверь.

И что делать Слов нет, одни выражения.

for (int Pivo=20; Pivo>0; Pivo--)
drinkEenPivo(true);

[keks-n]

NT AUTHORITY\SYSTEM

ЛОЛ. Это системная учётная запись. Присутствует всегда.

[Thomas]

keks-n
Да, почитай тут

[keks-n]

И что я там должен увидеть? Интерпритации того, что один из процессов, запущенных под системным аккаунтом(winlogon, smss, csrss, почти все системные службы) при сбое вызвал перезагрузку.
Выражение, про то что

Зверя зовут "NT AUTHORITY\SYSTEM"

может вызвать лишь усмешку.

LocalSystem Account

The LocalSystem account is a predefined local account used by the service control manager. This account is not recognized by the security subsystem, so you cannot specify its name in a call to the LookupAccountName function. It has extensive privileges on the local computer, and acts as the computer on the network. Its token includes the NT AUTHORITY\SYSTEM and BUILTIN\Administrators SIDs; these accounts have access to most system objects. The name of the account in all locales is .\LocalSystem. The name, LocalSystem or ComputerName\LocalSystem can also be used. This account does not have a password. If you specify the LocalSystem account in a call to the CreateService function, any password information you provide is ignored.