Подозрительное устройство besota

@AmbA · Регистрация: 09.06.2017

Студворк — интернет-сервис помощи студентам

Обнаружил у себя на ноуте подозрительное устройство. Отключается и удаляется без видимых последствий, но после перезагрузки появляется снова. Название и свойства заставляют предположить, что это творение какого-то мамкиного кулхацкера, Вставшего На Путь Служения тьме - чтоб ему вживую с ней столкнуться, для вразумления. Как окончательно удалить? Совет удалять что-то наугад не подходит, т.к. в установку и настройку софта вложено много времени.

gecata · 23.07.2023, 12:03

AmbA, А если раскрыть выпадающий список (там, где на скрине Путь к экземпляру устройства) - там строка GUID класса устройств есть? Значение показывает?

@AmbA · 23.07.2023, 16:23 **[ТС]**

Сообщение от gecata

А если раскрыть выпадающий список

ИД оборудования
BTHENUM\{66666666-6666-6666-6666-666666666666}_LOCALMFG&0002

GUID службы Bluetooth
{66666666-6666-6666-6666-666666666666}

Класс устройства Bluetooth
00240404

В точности "GUID класса устройств" нет.

gecata · 24.07.2023, 11:19

Сообщение от AmbA

GUID службы Bluetooth
{66666666-6666-6666-6666-666666666666}

А теперь поищите, нету ли в реестре ветки HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl Set\Control\Class\{66666666-6666-6666-6666-666666666666} и, если есть, выложите скриншот, что там в правой стороне окна редактора реестра

Добавлено через 1 минуту
А если нет, то поищите такую же ветку блютуза

@AmbA · 24.07.2023, 12:15 **[ТС]**

Вот

gecata · 24.07.2023, 13:26

AmbA, Дык, а дальше? там, среди многацифр в фигурных скобках (GUID устройства) нет такого, где одни шестёрки?? Вот его бы выделить и заскринить правую часть редактора

Добавлено через 23 минуты
Было же написано: ветка
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl Set\Control\Class\{66666666-6666-6666-6666-666666666666}

@AmbA · 24.07.2023, 15:18 **[ТС]**

А, сорян. Есть ветки (скрин и .txt-файл):

Кроме того, в описании устройства есть пути:
{3464f7a4-2444-40b1-980a-e0903cb6d912}[10]
{3464f7a4-2444-40b1-980a-e0903cb6d912}[14]
{80497100-8c73-48b9-aad9-ce387e19c56e}[6]
{a8b865dd-2e3d-4094-ad97-e593a70c75d6}[26]

gecata · 24.07.2023, 16:23

Чегой-то совсем это мне не нравится. Не хотите в раздел лечения?
А прямо такой ветки нету в реестре?

@AmbA · 24.07.2023, 17:20 **[ТС]**

Нет, прямо такой нету.

Думаю, нелишне. Создать заново, или эту перенесём?

gecata · 24.07.2023, 18:14

Я перенесу. Если что - пусть они там сами закроют.

@Sandor · 25.07.2023, 08:27

AmbA, здравствуйте!

Прочтите и выполните:
Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

@AmbA · 25.07.2023, 12:22 **[ТС]**

Здравствуйте!
Архив:

@Sandor · 25.07.2023, 12:29

DAEMON Tools Ultra - пользуетесь? Для каких целей?
Если только для монтирования образов ISO, в десятке эта функция уже встроена.

Внимание! Рекомендации написаны специально для пользователя AmbA. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Пофиксите в HijackThis только следующие строчки:

Code
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O7 - Policy: HKLM\Software\Policies\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O26 - Debugger: HKLM\..\EOSnotify.exe: [Debugger] = / (file missing)
O26 - Debugger: HKLM\..\InstallAgent.exe: [Debugger] = / (file missing)
O26 - Debugger: HKLM\..\MoNotificationUx.exe: [Debugger] = / (file missing)
O26 - Debugger: HKLM\..\MusNotification.exe: [Debugger] = / (file missing)
O26 - Debugger: HKLM\..\MusNotificationUx.exe: [Debugger] = / (file missing)
O26 - Debugger: HKLM\..\remsh.exe: [Debugger] = / (file missing)
O26 - Debugger: HKLM\..\SihClient.exe: [Debugger] = / (file missing)
O26 - Debugger: HKLM\..\UpdateAssistant.exe: [Debugger] = / (file missing)
O26 - Debugger: HKLM\..\UsoClient.exe: [Debugger] = / (file missing)
O26 - Debugger: HKLM\..\WaaSMedic.exe: [Debugger] = / (file missing)
O26 - Debugger: HKLM\..\WaasMedicAgent.exe: [Debugger] = / (file missing)
O26 - Debugger: HKLM\..\Windows10Upgrade.exe: [Debugger] = / (file missing)
O26 - Debugger: HKLM\..\Windows10UpgraderApp.exe: [Debugger] = / (file missing)

Перезагрузите компьютер.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте в архив).
Подробнее читайте в этом руководстве.

@AmbA · 25.07.2023, 13:14 **[ТС]**

Вы хотите включить Защитник и обновление винды?

DAEMON Tools - кажется, надо было создать образ, не помню уже.

@Sandor · 25.07.2023, 13:20

Про обновление в "фиксе" нет ни слова. Если не хотите включать Защитник, пропустите две первые строки.

Сообщение от AmbA

не помню уже

Тогда деинсталлируйте его до сбора логов FRST.

@AmbA · 25.07.2023, 13:44 **[ТС]**

Сообщение от Sandor

Тогда деинсталлируйте его до сбора логов FRST.

Сделал.

@Sandor · 25.07.2023, 14:00

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение - Edge <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1346380785-4090568627-3408332261-1000\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
S3 dtultrascsibus; C:\Windows\System32\drivers\dtultrascsibus.sys [42256 2023-07-06] (AVB Disc Soft, SIA -> Disc Soft Ltd)
S3 dtultrausbbus; C:\Windows\System32\drivers\dtultrausbbus.sys [59344 2023-07-06] (AVB Disc Soft, SIA -> Disc Soft Ltd)
HKU\S-1-5-21-1346380785-4090568627-3408332261-1000\...\StartupApproved\Run: => "DAEMON Tools Ultra Agent"
HKU\S-1-5-21-1346380785-4090568627-3408332261-1000\...\StartupApproved\Run: => "DAEMON Tools Ultra Automount"
FirewallRules: [{31DAE234-F554-4A93-AF08-193CD23A6D7C}] => (Allow) LPort=8000
FirewallRules: [{44AAEB37-F9B2-4E9B-8245-FF305E2F0919}] => (Allow) LPort=31104
FirewallRules: [{22E71F0E-B206-4F43-A424-6568265BA1FE}] => (Allow) LPort=31100
FirewallRules: [{2ADC9739-0D9F-42DE-85C5-1851BE6ABD02}] => (Allow) LPort=50052
FirewallRules: [{6D296C2A-D348-4893-AA91-49B59FD8BC15}] => (Allow) LPort=31105
FirewallRules: [{2C1AB3FF-05CB-4C4A-A125-C123F18EA43A}] => (Allow) LPort=31106
FirewallRules: [{A99D934F-5DC5-456F-88F6-68A7B750E863}] => (Allow) LPort=31107
FirewallRules: [{498D6399-18FB-44D6-97E9-D2A4996C79C4}] => (Allow) LPort=31108
FirewallRules: [{473D112F-0D2C-4B92-890A-977ECD78E617}] => (Allow) LPort=31109
FirewallRules: [{20F5CF67-5438-4441-85EC-9DE8C8042D73}] => (Allow) LPort=31110
FirewallRules: [{A1DCF5B1-EE0F-4CE2-B72A-84B325D24591}] => (Allow) LPort=31111
FirewallRules: [{5E14C77A-44DA-48CB-8844-27F09CB53752}] => (Allow) LPort=31112
FirewallRules: [{9266649B-AF74-4939-8D5B-ACB4AADBA1B2}] => (Allow) LPort=31113
FirewallRules: [{7DE470B9-885E-4E07-932F-ADB9BB137C3D}] => (Allow) LPort=31114
FirewallRules: [{9520E0F8-A4DC-4B26-92EE-395A020A2C49}] => (Allow) LPort=31115
FirewallRules: [{E0F3C661-0B95-44B5-838D-5F0D259770D9}] => (Allow) LPort=31116
FirewallRules: [{C76283C7-1CC9-4C59-A52A-0E29D34E29D7}] => (Allow) LPort=31117
FirewallRules: [{ADD50101-619E-44EF-9F42-B4B862F1E94C}] => (Allow) LPort=31118
FirewallRules: [{D65C4275-983D-4003-82C4-281773B9FFF5}] => (Allow) LPort=31119
FirewallRules: [{71C047A3-45E4-4D1E-8E4B-F61EE6D97091}] => (Allow) LPort=31120
FirewallRules: [{73D5EAAD-A8B0-458D-A1A3-647D568D08CB}] => (Allow) LPort=31121
FirewallRules: [{E3FCDA3A-2415-4D86-862C-E59D937C288B}] => (Allow) LPort=12292
FirewallRules: [{AE711CB7-1915-4FB0-8230-532C324C9676}] => (Allow) LPort=32683
FirewallRules: [{B7D859A5-2ABC-45B9-B9AA-BB44B86496B0}] => (Allow) LPort=26822
cmd: DISM.exe /Online /Cleanup-image /Restorehealth
cmd: sfc /scannow
cmd: winmgmt /salvagerepository
cmd: winmgmt /verifyrepository
cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@AmbA · 25.07.2023, 14:29 **[ТС]**

...

@Sandor · 25.07.2023, 14:34

Подозрительное устройство всё ещё на месте?

@AmbA · 25.07.2023, 14:37 **[ТС]**

Да.

Новые блоги и статьи Все статьи Все блоги /
Модель заражения группы наркоманов alhaos 17.04.2026 Условия задачи сформулированы тут Суть: - Группа наркоманов из 10 человек. - Только один инфицирован ВИЧ. - Колются одной иглой. - Колются раз в день. - Колются последовательно через. . .	Мысли в слух. Про "навсегда". kumehtar 16.04.2026 Подумалось тут, что наверное очень глупо использовать во всяких своих установках понятие "навсегда". Это очень сильное понятие, и я только начинаю понимать край его смысла, не смотря на то что давно. . .	My Business CRM MaGz GoLd 16.04.2026 Всем привет, недавно возникла потребность создать CRM, для личных нужд. Собственно программа предоставляет из себя базу данных клиентов, в которой можно фиксировать звонки, стадии сделки, а также. . .	Знаешь почему 90% людей редко бывают счастливыми? kumehtar 14.04.2026 Потому что они ждут. Ждут выходных, ждут отпуска, ждут удачного момента. . . а удачный момент так и не приходит.
Фиксация колонок в отчете СКД Maks 14.04.2026 Фиксация колонок в СКД отчета типа Таблица. Задача: зафиксировать три левых колонки в отчете. Процедура ПриКомпоновкеРезультата(ДокументРезультат, ДанныеРасшифровки, СтандартнаяОбработка) / / . . .	Настройки VS Code Loafer 13.04.2026 { "cmake. configureOnOpen": false, "diffEditor. ignoreTrimWhitespace": true, "editor. guides. bracketPairs": "active", "extensions. ignoreRecommendations": true, . . .	Оптимизация кода на разграничение прав доступа к элементам формы Maks 13.04.2026 Алгоритм из решения ниже реализован на нетиповом документе, разработанного в конфигурации КА2. Задачи, как таковой, поставлено не было, проделанное ниже исключительно моя инициатива. Было так:. . .	Контроль заполнения и очистка дат в зависимости от значения перечислений Maks 12.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеПерсонала", разработанного в конфигурации КА2. Задача: реализовать контроль корректности заполнения дат назначения. . .

@AmbA 495 / 24 / 6 Регистрация: 09.06.2017 Сообщений: 322 Записей в блоге: 20

	Подозрительное устройство besota 23.07.2023, 11:48. Показов 31438. Ответов 25 Метки нет (Все метки) Обнаружил у себя на ноуте подозрительное устройство. Отключается и удаляется без видимых последствий, но после перезагрузки появляется снова. Название и свойства заставляют предположить, что это творение какого-то мамкиного кулхацкера, Вставшего На Путь Служения тьме - чтоб ему вживую с ней столкнуться, для вразумления. Как окончательно удалить? Совет удалять что-то наугад не подходит, т.к. в установку и настройку софта вложено много времени. Миниатюры 0

gecata 15907 / 7930 / 755 Регистрация: 03.01.2012 Сообщений: 32,863
	23.07.2023, 12:03
	AmbA, А если раскрыть выпадающий список (там, где на скрине Путь к экземпляру устройства) - там строка GUID класса устройств есть? Значение показывает? 0

@AmbA 495 / 24 / 6 Регистрация: 09.06.2017 Сообщений: 322 Записей в блоге: 20
	24.07.2023, 12:15 [ТС]
	Вот Миниатюры 0

gecata 15907 / 7930 / 755 Регистрация: 03.01.2012 Сообщений: 32,863
	24.07.2023, 13:26
	AmbA, Дык, а дальше? там, среди многацифр в фигурных скобках (GUID устройства) нет такого, где одни шестёрки?? Вот его бы выделить и заскринить правую часть редактора Добавлено через 23 минуты Было же написано: ветка HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl Set\Control\Class\{66666666-6666-6666-6666-666666666666} 0

gecata 15907 / 7930 / 755 Регистрация: 03.01.2012 Сообщений: 32,863
	24.07.2023, 16:23
	Чегой-то совсем это мне не нравится. Не хотите в раздел лечения? А прямо такой ветки нету в реестре? 0

@AmbA 495 / 24 / 6 Регистрация: 09.06.2017 Сообщений: 322 Записей в блоге: 20
	24.07.2023, 17:20 [ТС]
	Нет, прямо такой нету. Думаю, нелишне. Создать заново, или эту перенесём? 0

gecata 15907 / 7930 / 755 Регистрация: 03.01.2012 Сообщений: 32,863
	24.07.2023, 18:14
	Я перенесу. Если что - пусть они там сами закроют. 1

@Sandor 22505 / 15947 / 3092 Регистрация: 08.10.2012 Сообщений: 64,977
	25.07.2023, 08:27
	AmbA, здравствуйте! Прочтите и выполните: Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему 0

@Sandor 22505 / 15947 / 3092 Регистрация: 08.10.2012 Сообщений: 64,977
	25.07.2023, 12:29
	DAEMON Tools Ultra - пользуетесь? Для каких целей? Если только для монтирования образов ISO, в десятке эта функция уже встроена. Внимание! Рекомендации написаны специально для пользователя AmbA. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ________________________________________ ______________ Пофиксите в HijackThis только следующие строчки: Code O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1 O7 - Policy: HKLM\Software\Policies\Microsoft\Windows Defender: [DisableAntiSpyware] = 1 O26 - Debugger: HKLM\..\EOSnotify.exe: [Debugger] = / (file missing) O26 - Debugger: HKLM\..\InstallAgent.exe: [Debugger] = / (file missing) O26 - Debugger: HKLM\..\MoNotificationUx.exe: [Debugger] = / (file missing) O26 - Debugger: HKLM\..\MusNotification.exe: [Debugger] = / (file missing) O26 - Debugger: HKLM\..\MusNotificationUx.exe: [Debugger] = / (file missing) O26 - Debugger: HKLM\..\remsh.exe: [Debugger] = / (file missing) O26 - Debugger: HKLM\..\SihClient.exe: [Debugger] = / (file missing) O26 - Debugger: HKLM\..\UpdateAssistant.exe: [Debugger] = / (file missing) O26 - Debugger: HKLM\..\UsoClient.exe: [Debugger] = / (file missing) O26 - Debugger: HKLM\..\WaaSMedic.exe: [Debugger] = / (file missing) O26 - Debugger: HKLM\..\WaasMedicAgent.exe: [Debugger] = / (file missing) O26 - Debugger: HKLM\..\Windows10Upgrade.exe: [Debugger] = / (file missing) O26 - Debugger: HKLM\..\Windows10UpgraderApp.exe: [Debugger] = / (file missing) Перезагрузите компьютер. Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте в архив). Подробнее читайте в этом руководстве. 0

@AmbA 495 / 24 / 6 Регистрация: 09.06.2017 Сообщений: 322 Записей в блоге: 20
	25.07.2023, 13:14 [ТС]
	Вы хотите включить Защитник и обновление винды? DAEMON Tools - кажется, надо было создать образ, не помню уже. 0

@Sandor 22505 / 15947 / 3092 Регистрация: 08.10.2012 Сообщений: 64,977
	25.07.2023, 14:34
	Подозрительное устройство всё ещё на месте? 0

@AmbA 495 / 24 / 6 Регистрация: 09.06.2017 Сообщений: 322 Записей в блоге: 20
	25.07.2023, 14:37 [ТС]
	Да. 0