zu 1: Wenn du über eine DE den Rechner runterfährst, läuft im Hintergrund noch der Loginmanaager, der als root läuft und deswegen auch einen shutdown durchführen darf. Bei den meisten DE ist die Standardeinstellung so, dass der Loginmanager so freundlich ist, einem normalen Benutzer zu erlaufen den rechner runterzufahren.
zu 2: Das Programm dass du dass macht ist höchstwahrscheinlich der update-notifier. Hier der Befehl um zu schauen, ob du update-notifier installiert hast:
dpkg -l *update-notifier*