Jak odstranit virus v starých emailech?

Řeším problém s NB přehřívajícím se při připojení k docku a zdá se, že to způsobují některé soubory, které zajišťují zvukový výstup: https://pc.poradna.net/questions/3039896-dell-5290-2-in-1-se-s-dockem-dell-wd-15-dost-hreje. Něco se vyřešilo přeinstalováním ovládačů, ale Windows Audio Device Graph Isolation pořád zlobí, a jeden z navržených způsobu řešení obsahoval otestování NB Microsoft Safety Scannerem. Rychlý test nenašel nic, ale plný test vyhodil 2 položky s tím, že byly částečně vyřešeny:

Threat detected: HackTool:Win32/Keygen
containerfile://C:\Users\jege\AppData\Local\Comms\Unistore\data\7\l\2000940b000000073701.dat
SHA1: 9ba74febcb1c08fc2ef97ea1c99d3467cb503623
file://C:\Users\jege\AppData\Local\Comms\Unistore\data\7\l\2000940b000000073701.dat->Keygen.exe->(UPX)
SigSeq: 0x0000327843D4102F
SHA1: e78a338a8a59103e2cc7632adbd006864cf3adda
Threat detected: Trojan:Win32/Dynamer!rfn
containerfile://C:\Users\jege\AppData\Local\Comms\Unistore\data\7\l\2000940b000000073701.dat
SHA1: 9ba74febcb1c08fc2ef97ea1c99d3467cb503623
file://C:\Users\jege\AppData\Local\Comms\Unistore\data\7\l\2000940b000000073701.dat->Patch.exe
SigSeq: 0x00001667A9183300
SHA1: 9f3763fe8015dc02c2b2cefd4b7929f454c77924
Extended Scan Removal Results
----------------
Start 'remove' for file://\\?\C:\Users\jege\AppData\Local\Comms\Unistore\data\7\l\2000940b000000073701.dat->Patch.exe
Operation failed (code=0x8026), please use a full antivirus product ! !
Start 'remove' for file://\\?\C:\Users\jege\AppData\Local\Comms\Unistore\data\7\l\2000940b000000073701.dat->Keygen.exe->(UPX)
Operation failed (code=0x8026), please use a full antivirus product ! !
Start 'remove' for containerfile://\\?\C:\Users\jege\AppData\Local\Comms\Unistore\data\7\l\2000940b000000073701.dat
Operation failed (code=0x8026), please use a full antivirus product ! !
Start 'remove' for containerfile://\\?\C:\Users\jege\AppData\Local\Comms\Unistore\data\7\l\2000940b000000073701.dat
Operation failed (code=0x8026), please use a full antivirus product ! !
Results Summary:
----------------
Found HackTool:Win32/Keygen, partially removed.
Found Trojan:Win32/Dynamer!rfn, partially removed.

Moc chytrý z toho nejsem, jestli to teda odstranil nebo ne, a navíc mám dojem, že je to jenom nějaká příloha v starém emailu, které si Thunderbird přes IMP stáhl do NB. Měl jsem totiž kdysi známého, pro kterého nic nebyl problém a když jsem něco potřeboval vyřešit, tak mi vždy poslal nějaký cracknutý program s hláškou: "Antivir sice řvě, ale nic tam není, je to jenom crack programu!" . Samozřejmě, že jsem to v takovém případě nepoužil, ale mohlo to zůstat v emailu. Také jsem kdysi chytil ransomware, který jsem pak posílal různě na zkoumání, takže to může být také on, jako příloha emailu.

Jak najdu konkrétní soubor a odstraním jej, ať Microsoft Safety Scanner nenadává?

Předmět	Autor	Datum
Tak ty starý maily vymaž. Mimochodem, Thunderbird dělá složku Comms? Jde patrně o W7? Stáhni si něja… Kyncl 26.11.2020 12:05	Kyncl	26.11.2020 12:05
Ne, tohle je W10 Pro. Všechny emaily smazat nemohu, je to můj "cloud" od roku 2002 o velikosti 7GB,… jege 26.11.2020 12:17	jege	26.11.2020 12:17
Konkrétní mail z logu nepoznáš, ale možná bys ho mohl vyhledat podle autora. Proč neřve Defender a s… Kyncl 26.11.2020 12:21	Kyncl	26.11.2020 12:21
Tak Defender něco v rychlém testu našel a odstranil, a už neřve ani při úplném a offline testu. Proč… jege 26.11.2020 13:37	jege	26.11.2020 13:37
Ako si zistil, že sa jedná o "vítrus"? Ak je v prílohe mailov či v plaintexte skutočne vírus, potom… Nuda 26.11.2020 13:09	Nuda	26.11.2020 13:09
Na Dellu s W10 Pro mi nejde bootovat z flešky ... U HP s Vistama stačí držet Esc a vybrat zdroj boot… jege 26.11.2020 13:40	jege	26.11.2020 13:40
secure boot zrusit. mobilni brtnik 26.11.2020 13:59	mobilni brtnik	26.11.2020 13:59
Takže klasika, "nějak" jsem donutil nabootovat Dell 5290 2-in-1 z flešky, ale ani Live Salix, ani Ac… jege 26.11.2020 18:23	jege	26.11.2020 18:23
pak mi nechtěl startovat Windows z disku nevracíš to v biosu na boot z disku, ale do "windows manag… poslední brum 26.11.2020 20:46	brum	26.11.2020 20:46
No jak tak nato koukám,tak určitě bych pustil jrt.exe https://filehippo.com/download_junkware_remova… Rakip 26.11.2020 14:06	Rakip	26.11.2020 14:06
Main Gááát, JRT.exe na prílohy mailov, že si ty samozvaný expert z zive.cz, ktorý z jasného neba obj… Nuda 26.11.2020 14:24	Nuda	26.11.2020 14:24

Tak ty starý maily vymaž. Mimochodem, Thunderbird dělá složku Comms?
Jde patrně o W7?
Stáhni si nějaké antivirové ISO, nabootuj a přeskenuj s tím neběžící systém.

Ne, tohle je W10 Pro. Všechny emaily smazat nemohu, je to můj "cloud" od roku 2002 o velikosti 7GB, kde mám hromadu potřebných věcí a konkrétní jenom tak lehce nedohledám. Z logu to poznat nejde?

Konkrétní mail z logu nepoznáš, ale možná bys ho mohl vyhledat podle autora.
Proč neřve Defender a stahuješ starý MS Scaner?
Jinak ten Patch.exe a Keygen.exe Virustotal podle hashe identifikuje také, ale nakonec v mailu jsou neaktivní, tak to ničemu nevadí.

Tak Defender něco v rychlém testu našel a odstranil, a už neřve ani při úplném a offline testu. Proč ale nezařval rovnou při stažení, to nechápu.

Ako si zistil, že sa jedná o "vítrus"?

Ak je v prílohe mailov či v plaintexte skutočne vírus, potom a výhradne aplikuj rusáka ISO:

https://www.majorgeeks.com/files/details/dr_web_livecd_liveusb.html

ISO AV zn.: Dr.Web live, vyrobené na bútovacej fleške /kotúči/, ideálne cestou SW zn.: Rufus, je nutné nabútovať ním mašinu, zaklikať pod Dr.Web kontrolu pevného disku na zavádzače a hlavne na archívy s mailami .

Na samotný "čistý" OS sa vybodni, lebo sa pri pomalom HW nedočkáš kýženého výsledku než úmorne prelustruje kľúče Registrov, dekompiluje knihovne a inštalačné súbory. Kontroluj výhradne zložky s mailami.

Dr.Web sa prehrabe pri uspatom OS a dátach v archívoch, pričom ti ponúkne možnosť, tvrdý Delete alebo "líčení" nákazy v podobe Cureit, čo nepomôže.

V koreni, roote C:\, uloží Dr.Web svoje výsledky v svojej zložke.

Na Dellu s W10 Pro mi nejde bootovat z flešky ... U HP s Vistama stačí držet Esc a vybrat zdroj bootu, u Dell se mi podobnou funkci nepovedlo rozchodit a ani v Biosu nevidím výběr zdroje bootování.

secure boot zrusit.

Takže klasika, "nějak" jsem donutil nabootovat Dell 5290 2-in-1 z flešky, ale ani Live Salix, ani Acronis se nespustily. Live Salix napsal 2 řádky, pak černá obrazovka, něco běží, ale není nic vidět, u Acronisu prvotní menu OK a po odsouhlasení první položky start do černé obrazovky a ... nic. Jelikož mám dojem, že Acronis také využívá nějaké Linuxové jádro, tak problém bude asi asi stejný a tipuji, že chybí nějaký ovládač dotykové obrazovky.

Horší je, že pak mi nechtěl startovat Windows z disku a zase jsem to "nějak" udělal, ale sám nevím jak. Není někde popis BIOSu Dellů v češtině nebo v ruštině? V těch nových Biosech se nevyznám a jsou tam samé nadávky typu UEFI, Legacy, Safe Boot a pod.

pak mi nechtěl startovat Windows z disku

nevracíš to v biosu na boot z disku, ale do "windows manager" nebo jak se to jmenuje. to jsou ty pojebané uefi instalace, když si je necháš vnutit.

acronis máš snad nějaký koupený, čili relativně nové boot cd. předpokládám, že jsi použil jejich vytvořené "linux boot médium".

koukám na ten krám: dell 5290 je spíš efektní než pracovní strojek. do vlaku nebo kabiny tiráku dobré, možná i na porady kde jsou maličké stoly. si dáváš schůzky se zákazníky v cukrárnách? no nic mi do toho není.

No jak tak nato koukám,tak určitě bych pustil jrt.exe https://filehippo.com/download_junkware_removal_tool/?ex=CORE-116.1 }} a něco od Microsoftu https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/safety-scanner-download }} obojí bez instalace.To jrt.exe hotovo za 2 minuty a to druhé by asi bylo dobře udělat úplnou kontrolu.

Main Gááát, JRT.exe na prílohy mailov, že si ty samozvaný expert z zive.cz, ktorý z jasného neba objavil fórum poradna.net?

Zpět do poradny Odpovědět na původní otázku Nahoru