Dlaczego Defender blokuje Thunderbirda po usunięciu trojana.

MM2X napisał:

@ElektrodaBot
Laptop Acer Aspire, po usunięciu infekcji trojana Thunderbird (dalej TB) włącza się ale tylko wtedy jak zostanie wyłączony Defender, próbowałem w temacie jn.
https://www.elektroda.pl/r...

Bezpośrednia odpowiedź na pytanie

Najbardziej prawdopodobne jest, że Defender nie blokuje „czystego” Thunderbirda jako programu, tylko wykrywa coś w danych profilu Thunderbirda: lokalnym magazynie poczty, pliku

Inbox

,

Sent

,

Trash

,

Junk

,

ImapMail

, załączniku, pliku tymczasowym albo ponownie pobieranej wiadomości z serwera.

Sama reinstalacja Thunderbirda zwykle nie rozwiązuje tego typu problemu, bo Thunderbird trzyma pocztę i konfigurację w profilu użytkownika, m.in. w:



Mozilla potwierdza, że dane użytkownika i wiadomości są przechowywane w profilu, a typowa ścieżka profilu w Windows znajduje się pod

%APPDATA%\Thunderbird\Profiles\...

. (support.mozilla.org)

Kluczowe jest teraz jedno: trzeba sprawdzić w Historii ochrony Defendera dokładną nazwę zagrożenia i dokładną ścieżkę pliku. Bez tego można tylko zgadywać.

---

Co sprawdzić najpierw

Wejdź w:



Otwórz najnowszy wpis z chwili uruchamiania Thunderbirda i spisz:

1. Nazwa zagrożenia, np.:

2. Narażone elementy / ścieżka pliku, np.:

albo:

albo:


To rozstrzyga dalsze postępowanie.

---

Szczegółowa analiza problemu

1. Dlaczego usunięcie

Inbox

mogło nie wystarczyć

Thunderbird domyślnie używa formatu mbox, gdzie wiele wiadomości z jednego folderu pocztowego jest przechowywanych w jednym dużym pliku, np.

Inbox

,

Sent

,

Trash

. Mozilla opisuje, że w formacie mbox cały folder pocztowy jest jednym plikiem na dysku, a skasowana wiadomość nie znika fizycznie od razu — jest oznaczana jako usunięta, a rzeczywiste oczyszczenie następuje dopiero po kompaktowaniu folderu. (support.mozilla.org)

W praktyce oznacza to:

- usunąłeś wiadomość w Thunderbirdzie,
- w interfejsie jej nie widać,
- ale jej treść albo załącznik mogły nadal leżeć w pliku

Inbox

,
- Defender nadal widzi sygnaturę trojana w tym pliku,
- Thunderbird próbuje otworzyć profil,
- Defender blokuje dostęp,
- Thunderbird nie startuje albo zawiesza się.

Dlatego usunięcie samego katalogu

Inbox

mogło pomóc tylko częściowo, szczególnie jeśli zainfekowana wiadomość była w innym folderze:

Kosz

,

Spam

,

Wysłane

,

Archiwum

,

Local Folders

,

ImapMail

,

pop...

, itp.

---

2. Skan poczty u hostingu nie daje pełnej pewności

Informacja od hostingu, że „na serwerze nie ma wirusa”, nie zamyka tematu. Defender może wykrywać:

- załącznik, którego skaner hostingu nie rozpoznaje,
- wiadomość w archiwum ZIP/RAR,
- fragment skryptu HTML/JS w treści wiadomości,
- wiadomość w folderze IMAP, którego hosting nie sprawdził dokładnie,
- lokalną kopię starej wiadomości, której już nie ma na serwerze.

Microsoft dokumentuje, że Defender potrafi skanować pliki poczty oraz osadzone obiekty, w tym załączniki, i przy wykryciu zagrożenia w wiadomości może wskazać m.in. temat wiadomości oraz nazwę załącznika. (learn.microsoft.com)

Dlatego w Historii ochrony trzeba szukać nie tylko nazwy trojana, ale też informacji typu:



Jeśli Defender pokaże np.:



to problem nie leży w

thunderbird.exe

, tylko w wiadomości zapisanej w lokalnym magazynie poczty.

---

Zalecana procedura naprawcza

Krok 1 — nie wyłączaj Defendera na stałe

Wyłączenie Defendera tylko maskuje problem. Jeżeli w profilu nadal jest zainfekowany załącznik, to po dodaniu wyjątku można sobie przywrócić działanie Thunderbirda, ale jednocześnie pozostawić aktywne zagrożenie w danych użytkownika.

Na tym etapie nie dodawałbym jeszcze całego profilu Thunderbirda do wyjątków, dopóki nie wiadomo, co dokładnie Defender blokuje.

---

Krok 2 — zrób kopię profilu przed kasowaniem

Zamknij Thunderbirda i skopiuj na zewnętrzny dysk lub do osobnego katalogu:



Uwaga: jeżeli konto było skonfigurowane jako POP3, to część poczty może istnieć tylko lokalnie. Bez kopii można ją bezpowrotnie stracić. Przy IMAP zwykle poczta jest na serwerze, ale lokalne archiwa i „Foldery lokalne” nadal mogą być tylko na komputerze.

---

Krok 3 — sprawdź skrzynkę przez webmail

Zaloguj się do poczty przez przeglądarkę, nie przez Thunderbirda.

Sprawdź i wyczyść:



Usuń podejrzane wiadomości, szczególnie z załącznikami:



Po usunięciu wiadomości opróżnij również kosz na serwerze.

---

Krok 4 — wykonaj naprawdę czysty start Thunderbirda

Nie tylko reinstalacja programu, ale nowy profil.

1. Odinstaluj Thunderbirda.
2. Zmień nazwy folderów:



na np.:



oraz:



na np.:



3. Usuń pozostałości programu, jeśli zostały:



4. Zainstaluj najnowszego Thunderbirda tylko z oficjalnego źródła.
5. Uruchom Thunderbirda przy włączonym Defenderze, ale jeszcze bez importu starego profilu.

Jeżeli czysty Thunderbird uruchamia się poprawnie, to problem prawie na pewno był w starym profilu lub w poczcie.

---

Krok 5 — dodaj konto ostrożnie

Jeśli używasz IMAP, po dodaniu konta warto tymczasowo wyłączyć pełną synchronizację lokalną:



Dzięki temu Thunderbird nie pobierze od razu całej starej skrzynki do lokalnych plików mbox. To pozwala sprawdzić, czy Defender reaguje dopiero przy pobieraniu konkretnej wiadomości.

Jeżeli po dodaniu konta Defender znowu blokuje TB, oznacza to zwykle, że problematyczna wiadomość nadal znajduje się na serwerze albo w folderze synchronizowanym z serwera.

---

Krok 6 — jeśli Defender wskazuje konkretny plik

Inbox

,

Sent

,

Trash

Jeżeli ścieżka z Defendera wygląda np. tak:



to przy koncie IMAP można, po zamknięciu Thunderbirda, usunąć lokalne kopie danego folderu, np.:



z odpowiedniego katalogu:



Po ponownym uruchomieniu Thunderbird odbuduje indeksy i pobierze dane z serwera.

Uwaga: przy POP3 tego nie rób bez kopii, bo plik

Inbox

może być jedyną kopią wiadomości.

---

Krok 7 — kompaktowanie folderów

Jeżeli uda się uruchomić TB i usunąć podejrzane wiadomości, wykonaj:



albo dla konkretnego folderu:



To ważne, bo w mbox usunięte wiadomości mogą nadal fizycznie pozostawać w pliku, dopóki folder nie zostanie skompaktowany. Kompaktowanie nie jest kompresją ZIP — jest operacją oczyszczenia magazynu poczty z elementów oznaczonych jako usunięte. (support.mozilla.org)

---

Sprawdzenie Defendera i systemu

1. Aktualizacja sygnatur Defendera

Uruchom PowerShell jako administrator:



Następnie wykonaj pełny skan:



Możesz też uruchomić skan offline:



Microsoft opisuje, że skan Microsoft Defender Offline uruchamia się poza normalnym środowiskiem Windows i restartuje komputer; jest to właściwe narzędzie, gdy podejrzewa się trudniejsze do usunięcia malware. (learn.microsoft.com)

---

2. Dodatkowy skaner na żądanie

Dla pewności można wykonać skan jednym dodatkowym narzędziem typu on-demand, np.:

- Malwarebytes,
- AdwCleaner,
- ESET Online Scanner,
- RogueKiller.

Nie instalowałbym jednak drugiego antywirusa z ochroną rezydentną na stałe, bo może to powodować konflikty z Defenderem.

---

3. FRST — jeśli problem wraca

Jeżeli po czystym profilu i skanie offline problem nadal występuje, warto przygotować logi:



z Farbar Recovery Scan Tool i wrzucić je w załączniku w temacie. To pozwoli sprawdzić autostart, usługi, zaplanowane zadania, polityki Defendera, podejrzane wpisy w rejestrze i pozostałości infekcji.

---

Kiedy można dodać wyjątek w Defenderze

Wyjątek można rozważyć dopiero wtedy, gdy:

1. Thunderbird jest pobrany z oficjalnego źródła,
2.

thunderbird.exe

ma poprawny podpis Mozilla Corporation,
3. Defender Offline nic nie wykrywa poza plikiem poczty,
4. podejrzane wiadomości zostały usunięte,
5. foldery zostały skompaktowane,
6. mamy pewność, że to problem z blokowaniem dużych plików mbox, a nie aktywna infekcja.

W Defenderze wyjątki dodaje się w:



Microsoft jasno opisuje, że wykluczenie folderu powoduje pomijanie wszystkich elementów w tym folderze przez Defendera, a wykluczenie procesu powoduje pomijanie plików otwieranych przez ten proces. To jest skuteczne, ale obniża poziom ochrony. (learn.microsoft.com)

Jeżeli już dodawać wyjątek, to raczej tymczasowo i diagnostycznie, np.:



Nie polecam bezrefleksyjnie wykluczać całego:



ani całego dysku.

---

Jeśli Defender wskazuje

thunderbird.exe

Jeżeli Historia ochrony pokazuje bezpośrednio:



wtedy są trzy możliwości:

1. instalator lub plik EXE nie pochodził z oficjalnego źródła,
2. plik został zmodyfikowany przez malware,
3. Defender ma fałszywe wykrycie.

W takim przypadku:

1. Odinstaluj TB.
2. Usuń katalog programu.
3. Pobierz instalator ponownie z oficjalnej strony.
4. Sprawdź podpis cyfrowy pliku

thunderbird.exe

.
5. Zaktualizuj Defendera.
6. Jeśli nadal jest wykrycie, zgłoś plik do Microsoft jako możliwy false positive. Microsoft udostępnia oficjalny mechanizm przesyłania plików błędnie wykrywanych jako malware. (microsoft.com)

---

Jeżeli problem dotyczy startu całego laptopa, nie tylko Thunderbirda

Jeśli chodzi dosłownie o to, że Windows uruchamia się tylko przy wyłączonym Defenderze, a nie tylko Thunderbird, to problem jest poważniejszy. Wtedy trzeba sprawdzić:

1. czy nie ma drugiego antywirusa, np. McAfee/Norton/Avast trial od producenta laptopa,
2. czy infekcja nie uszkodziła komponentów Defendera,
3. czy nie ma polityk blokujących Defendera,
4. czy system nie ma uszkodzonych plików.

Wtedy uruchom jako administrator:



oraz wykonaj Defender Offline Scan.

---

Co bym zrobił w Twoim przypadku

Najrozsądniejsza kolejność:

1. Spisać z Historii ochrony Defendera:
- nazwę zagrożenia,
- pełną ścieżkę pliku.
2. Przez webmail usunąć podejrzane wiadomości ze wszystkich folderów i opróżnić kosz.
3. Zmienić nazwy obu folderów:

4. Zainstalować świeżego TB.
5. Uruchomić TB z włączonym Defenderem bez starego profilu.
6. Dodać konto IMAP bez pełnej synchronizacji lokalnej.
7. Jeżeli zadziała — nie przywracać starego profilu hurtowo.
8. Jeżeli nie zadziała — podać tutaj dokładny komunikat Defendera i załączyć logi FRST.

Na teraz najważniejsze pytanie diagnostyczne: co dokładnie pokazuje Defender w „Narażonych elementach” —

thunderbird.exe

, plik

Inbox/Sent/Trash

, czy jakiś plik w

Temp

? Bez tej ścieżki nie da się jednoznacznie wskazać miejsca blokady.

MM2X napisał:

@ElektrodaBot właśnie tutaj (historia ochrony) nie ma żadnych wpisów dot. blokowanych plików.

Posty użytkowników poprzedzające pytanie:
```
Data: 13/06/2026
Treść: @ElektrodaBot Laptop...

Bezpośrednia odpowiedź na pytanie

Skoro w Historii ochrony Defendera nie ma żadnego wpisu dotyczącego Thunderbirda, to najprawdopodobniej nie jest to klasyczne wykrycie trojana przez Defendera. Gdy Defender wykrywa malware, powinien normalnie wygenerować zdarzenie wykrycia, m.in. z nazwą zagrożenia i ścieżką pliku. Microsoft opisuje takie zdarzenia jako np. Event ID 1116 — wykrycie złośliwego lub potencjalnie niechcianego oprogramowania. (learn.microsoft.com)

W tej sytuacji trzeba rozróżnić trzy możliwości:

1. Defender nie blokuje TB jako wirusa, tylko któryś z jego modułów ogranicza działanie programu: ASR, Controlled Folder Access, Exploit Protection, SmartScreen, zapora.
2. Thunderbird nie jest blokowany, tylko się zawiesza lub wyłącza, a wyłączenie Defendera zmienia czas dostępu do plików profilu/poczty.
3. System/Defender jest uszkodzony po infekcji albo działa konflikt ze starym antywirusem lub pozostałościami po nim.

Najważniejsze teraz: nie szukać już tylko w „Historii ochrony”, ale w Podglądzie zdarzeń Windows.

---

Szczegółowa analiza problemu

1. Najpierw ustal, który element Defendera wyłączasz

Napisz dokładnie, co wyłączasz, bo „Defender” to nie jeden przełącznik.

Sprawdź po kolei:



oraz:



oraz:



Interesuje nas konkretnie:

- czy Thunderbird rusza po wyłączeniu ochrony w czasie rzeczywistym,
- czy po wyłączeniu kontrolowanego dostępu do folderów,
- czy po wyłączeniu zapory,
- czy dopiero po całkowitym wyłączeniu kilku modułów naraz.

To jest kluczowe, bo każdy przypadek oznacza inną przyczynę.

---

2. Sprawdź log Defendera w Podglądzie zdarzeń

GUI „Historia ochrony” nie pokazuje wszystkiego. Część blokad i zdarzeń diagnostycznych trzeba sprawdzać w dziennikach systemowych.

Uruchom:



Następnie przejdź do:



Uruchom Thunderbirda przy włączonym Defenderze, poczekaj aż wystąpi problem, potem odśwież log i sprawdź zdarzenia z tej samej minuty.

Szukaj szczególnie ID:

ID zdarzenia	Znaczenie
---:	---
1116	Defender wykrył malware/PUA
1117	Defender wykonał akcję wobec zagrożenia
1121	reguła ASR zadziałała w trybie blokowania
1122	reguła ASR zadziałała w trybie audytu
1123	Controlled Folder Access zablokował dostęp
1124	Controlled Folder Access — audyt
1127	Controlled Folder Access — blokada zapisu sektorowego
5007	zmieniono ustawienia Defendera

Microsoft dokumentuje, że zdarzenia ASR i Controlled Folder Access są rejestrowane właśnie w logu Microsoft/Windows/Windows Defender/Operational, a niekoniecznie jako zwykły wpis „wykryto wirusa” w Historii ochrony. (learn.microsoft.com)

---

3. Szybkie polecenie PowerShell do wyciągnięcia logów

Możesz użyć PowerShell jako administrator i wkleić wynik na forum:



Jeżeli chcesz zawęzić do ostatnich 2 godzin:



To da znacznie więcej niż sama „Historia ochrony”.

---

4. Sprawdź, czy Thunderbird nie robi zwykłego crasha

Jeżeli w logu Defendera nic nie będzie, to możliwe, że Thunderbird po prostu się wyłącza/zawiesza, a Defender nie jest bezpośrednim winowajcą.

W Podglądzie zdarzeń sprawdź:



Szukaj błędów z czasu uruchamiania TB:



Możesz też użyć PowerShell:



Jeżeli pojawi się

Application Error

dla

thunderbird.exe

, to wtedy problemem może być profil, dodatek, biblioteka, stary moduł antywirusa, uszkodzony plik programu albo konflikt z ochroną pamięci.

---

5. Wykonaj test absolutnie czystego profilu Thunderbirda

To jest bardzo ważne. Reinstalacja programu nie usuwa danych profilu, bo Thunderbird trzyma pocztę i ustawienia oddzielnie od katalogu programu, standardowo m.in. w:



Mozilla opisuje, że profil zawiera wiadomości, hasła, ustawienia i dane użytkownika, a odinstalowanie i ponowna instalacja programu nie kasuje automatycznie tych danych. (support.mozilla.org)

Zrób taki test:

1. Zamknij Thunderbirda.
2. Uruchom Menedżer zadań i upewnij się, że nie ma procesu:



3. Zmień nazwy katalogów:



na:



oraz:



na:



4. Zainstaluj świeżego Thunderbirda.
5. Uruchom go przy włączonym Defenderze, ale nie konfiguruj jeszcze żadnego konta pocztowego.

Interpretacja:

- jeśli czysty Thunderbird bez konta działa — problem nadal jest w starym profilu, lokalnej poczcie albo przy synchronizacji konta;
- jeśli czysty Thunderbird bez konta nie działa — problem jest systemowy: Defender, SmartScreen, Exploit Protection, uszkodzony Windows, konflikt z innym AV albo błędny plik wykonywalny.

---

6. Sprawdź Controlled Folder Access

Wejdź w:



Jeżeli funkcja jest włączona, wyłącz ją tylko testowo i sprawdź TB.

Jeżeli Thunderbird ruszy, nie zostawiaj ochrony wyłączonej, tylko dodaj aplikację jako dozwoloną:



Controlled Folder Access służy do ochrony ważnych folderów przed zmianami wykonywanymi przez niezaufane aplikacje, szczególnie w scenariuszach ransomware. Microsoft wskazuje, że jego zdarzenia można przeglądać w Event Viewerze, m.in. jako blokady dostępu do folderów. (learn.microsoft.com)

---

7. Sprawdź ASR, czyli Attack Surface Reduction

W PowerShell jako administrator:



Wartości akcji ASR należy interpretować następująco:



Jeżeli są aktywne reguły z akcją

1

, sprawdzamy w logu Defendera, czy przy starcie Thunderbirda pojawia się zdarzenie 1121. Zdarzenia ASR w trybie blokowania Microsoft opisuje jako Event ID 1121, a w trybie audytu jako 1122. (learn.microsoft.com)

Na razie nie wyłączaj reguł hurtowo. Najpierw trzeba ustalić, czy którakolwiek faktycznie reaguje na

thunderbird.exe

.

---

8. Sprawdź podpis cyfrowy Thunderbirda i skrót

W PowerShell jako administrator:



Status powinien być:



a wystawca powinien wskazywać Mozillę/MZLA.

Sprawdź też, czy skrót na pulpicie faktycznie wskazuje na:



a nie na jakąś kopię w:



Dodatkowo:



Jeżeli

where

pokaże kilka lokalizacji, trzeba sprawdzić, którą uruchamia skrót.

---

9. Sprawdź, czy nie został inny antywirus

Na laptopach Acer często fabrycznie bywały pakiety typu Norton, McAfee itp. Jeżeli był kiedyś inny antywirus, samo „odinstaluj” czasami zostawia sterowniki filtrujące pliki/sieć.

Sprawdź w:



oraz:



Jeżeli był McAfee/Norton/Avast/AVG/Kaspersky/ESET itd., najlepiej użyć oficjalnego narzędzia czyszczącego producenta. Pozostałości po takich pakietach potrafią powodować objawy typu: Defender włączony — aplikacja się nie uruchamia; Defender wyłączony — aplikacja rusza.

---

10. Napraw integralność systemu

Po infekcji warto zrobić naprawę komponentów Windows.

Uruchom Wiersz polecenia jako administrator:



Po zakończeniu:



Potem restart komputera i ponowny test Thunderbirda.

---

Co konkretnie zrób teraz

Proponuję taką kolejność:

1. Uruchom TB przy włączonym Defenderze i sprawdź, czy proces pojawia się w Menedżerze zadań:

Czy znika od razu, czy zostaje w tle?

2. Sprawdź log:


3. Sprawdź log:


4. Zrób test czystego profilu:


5. Sprawdź Controlled Folder Access.

6. Uruchom:


---

Co wklej w następnym poście

Żeby nie zgadywać dalej, podaj:

1. Czy wyłączasz:
- ochronę w czasie rzeczywistym,
- zaporę,
- Controlled Folder Access,
- czy cały moduł zabezpieczeń?

2. Czy na czystym profilu bez skonfigurowanego konta Thunderbird uruchamia się przy włączonym Defenderze?

3. Wynik:



4. Ostatnie zdarzenia z:



5. Błędy z:



z momentu uruchomienia Thunderbirda.

Jeżeli tam nadal będzie pusto, a czysty profil nie pomoże, następny krok to już logi FRST:

FRST.txt

i

Addition.txt

jako załączniki, bo wtedy trzeba szukać pozostałości po infekcji, starych sterowników antywirusowych albo polityk zmieniających pracę Defendera.

MM2X napisał:

@ElektrodaBot Tak.

Jeszcze jedno, jeżeli do wykluczeń wcześniej dodałem ...\Program Files\Thunderbird to Defender dalej blokował (biały ekran) ale jak dodałem "Thunderbird.exe" to otwierał się norm...

Bezpośrednia odpowiedź

To, co teraz opisałeś, nie wygląda już na aktywne blokowanie trojana przez Defendera, tylko na bardzo długie skanowanie plików otwieranych przez Thunderbirda.

Najważniejsze wnioski:

1. Zdarzenie 1116 z 27.05 to ślad starego wykrycia malware. Skoro nie pojawiają się nowe 1116/1117, Defender obecnie najprawdopodobniej niczego nowego nie wykrywa. Microsoft opisuje 1116 jako wykrycie malware/PUA, a 1117 jako wykonaną akcję wobec zagrożenia. (learn.microsoft.com)

2. Zdarzenie 5007 zwykle oznacza zmianę konfiguracji Defendera, np. dodanie/zmianę wykluczenia, zmianę ustawień ochrony itp. Samo 5007 nie jest dowodem infekcji. (learn.microsoft.com)

3. Jeżeli TB po około 8 minutach jednak startuje, to nie jest trwała blokada. To wygląda na sytuację: Thunderbird próbuje otworzyć duże pliki profilu/poczty, Defender je skanuje w czasie rzeczywistym, TB czeka, GUI robi się „mleczne”, a po zakończeniu skanowania program rusza.

4. To, że wykluczenie katalogu

Program Files\Thunderbird

nie pomagało, a wykluczenie

Thunderbird.exe

pomagało, jest bardzo istotne. Jeżeli dodałeś

Thunderbird.exe

jako wykluczenie procesu, to Defender przestaje skanować pliki otwierane przez ten proces — również te w profilu

AppData

, a nie tylko pliki programu. Microsoft rozróżnia wykluczenie pliku/folderu od wykluczenia procesu; procesowe wykluczenie obejmuje pliki otwierane przez dany proces, niezależnie od ich lokalizacji. (learn.microsoft.com)

---

Dlaczego folder programu nie pomógł, a

Thunderbird.exe

pomógł

Thunderbird jako program jest w:



albo podobnie.

Ale poczta, indeksy, baza wyszukiwania, cache, konfiguracja kont i lokalne kopie wiadomości są w profilu, zwykle tutaj:



Mozilla potwierdza, że profil Thunderbirda w Windows standardowo znajduje się pod

%APPDATA%\Thunderbird\Profiles\

i zawiera dane użytkownika, w tym wiadomości i ustawienia. (support.mozilla.org)

Czyli:



pomija głównie pliki programu, np.:



Natomiast nie pomija:



A to właśnie te pliki Thunderbird intensywnie otwiera przy starcie.

Jeżeli natomiast dodałeś:



jako wykluczenie procesu, Defender przestał skanować pliki otwierane przez Thunderbirda. Dlatego program ruszył normalnie. Microsoft dodatkowo ostrzega, że wykluczenie po samej nazwie procesu, np.

Thunderbird.exe

, jest szersze niż wykluczenie pełnej ścieżki, bo obejmuje każdy proces o takiej nazwie niezależnie od lokalizacji; zalecane jest używanie pełnej ścieżki, jeśli już robi się takie wykluczenie. (learn.microsoft.com)

---

Co bym teraz sprawdził jako pierwsze

1. Ustal, jakie wykluczenie faktycznie dodałeś

Uruchom PowerShell jako administrator i wpisz:



Interesuje nas, czy

Thunderbird.exe

siedzi w:



czy w:



Interpretacja:

Wynik	Znaczenie
ExclusionPath zawiera folder programu	Defender nie skanuje plików w tym folderze
ExclusionPath zawiera konkretny thunderbird.exe	Defender nie skanuje samego pliku EXE
ExclusionProcess zawiera Thunderbird.exe	Defender pomija pliki otwierane przez proces Thunderbirda

Jeżeli w

ExclusionProcess

masz samo:



to na czas testów może zostać, ale docelowo lepiej nie zostawiać tak szerokiego wyjątku. Bezpieczniej, jeśli już tymczasowo używać, wpisać pełną ścieżkę, np.:



---

2. Sprawdź, czy uruchamiasz właściwy plik

Po uruchomieniu TB, kiedy już wystartuje, wykonaj:



Powinno pokazać coś w rodzaju:



Jeżeli pokaże lokalizację typu:



to trzeba to wyjaśnić, bo wtedy skrót może uruchamiać nie tę kopię programu, którą wykluczałeś.

---

Najbardziej prawdopodobna przyczyna: profil/poczta/indeksy

Thunderbird domyślnie przechowuje foldery pocztowe w formacie mbox, gdzie cały folder, np.

Inbox

, może być jednym dużym plikiem. Mozilla opisuje, że w mbox usuwanie wiadomości nie zmniejsza od razu fizycznego rozmiaru pliku; wiadomość jest oznaczana jako usunięta, a miejsce odzyskuje dopiero operacja kompaktowania. (support.mozilla.org)

Dlatego po usunięciu wiadomości z trojanem mogło zostać:

- dużo „martwych” danych w pliku mbox,
- stary indeks

.msf

,
- wpisy w globalnym indeksie wyszukiwania,
- cache,
- lokalna kopia wiadomości z IMAP,
- kopia w

Trash

,

Junk

,

Archives

,

Sent

albo

Local Folders

.

To tłumaczy 8-minutowy start: Defender nie znajduje już aktywnego zagrożenia, ale bardzo długo analizuje duże lub „podejrzanie wyglądające” pliki pocztowe.

---

Co zrobić dalej — proponowana kolejność

Krok 1 — nie zostawiaj na razie procesu

Thunderbird.exe

jako stałego wyjątku

Wyjątek procesu działa, ale jest szeroki. Microsoft wskazuje, że przy wykluczeniu procesu Defender nie skanuje plików otwieranych przez ten proces. (learn.microsoft.com)

To oznacza, że jeśli w przyszłości przyjdzie podejrzany załącznik i Thunderbird będzie go zapisywał/otwierał, ochrona może być słabsza. Do diagnostyki — tak. Jako rozwiązanie docelowe — tylko jeśli po czyszczeniu profilu nie będzie innego wyjścia.

---

Krok 2 — zrób kopię profilu

Przed kasowaniem indeksów i kompaktowaniem zrób kopię:



oraz opcjonalnie:



Szczególnie ważne, jeśli używasz POP3 albo masz „Foldery lokalne”.

---

Krok 3 — znajdź największe pliki w profilu

PowerShell:



Szukaj szczególnie plików:



Jeżeli któryś ma setki MB albo kilka GB, to jest główny podejrzany.

---

Krok 4 — wykonaj kompaktowanie folderów

W Thunderbirdzie:



oraz dla największych folderów:



To nie jest kompresja ZIP. To fizyczne oczyszczenie plików mbox z wiadomości oznaczonych jako usunięte. Mozilla wprost podaje, że kompaktowanie usuwa „luki” po skasowanych wiadomościach i może mieć duże znaczenie przy folderach mbox. (support.mozilla.org)

---

Krok 5 — odbuduj indeksy folderów

W Thunderbirdzie dla głównych folderów:



Zrób to dla:



Alternatywnie, przy zamkniętym Thunderbirdzie można usunąć pliki:



z profilu. To są indeksy folderów, nie właściwa poczta. Thunderbird odbuduje je po starcie.

Nie usuwaj natomiast plików bez rozszerzenia typu:



jeżeli nie masz pewności, że to tylko kopia IMAP. Przy POP3 mogą zawierać jedyną lokalną kopię poczty.

---

Krok 6 — usuń globalny indeks wyszukiwania

Przy zamkniętym Thunderbirdzie usuń z profilu:



Thunderbird odbuduje ten indeks. Jeżeli stary indeks zawierał fragmenty wiadomości z usuniętym trojanem, Defender mógł tracić czas właśnie na jego analizę.

---

Krok 7 — wyczyść cache lokalny

Przy zamkniętym Thunderbirdzie usuń zawartość:



Nie kasuj całego profilu, tylko cache.

---

Krok 8 — jeżeli konto jest IMAP, ogranicz synchronizację lokalną

W Thunderbirdzie:



albo w ustawieniach zaawansowanych wyłącz synchronizację dla dużych folderów typu:



Przy IMAP można zwykle odbudować lokalną kopię z serwera. Przy POP3 trzeba być ostrożnym.

---

Jak potwierdzić, że to Defender skanuje pliki poczty

W czasie tych 8 minut otwórz:



albo:



Szukaj procesu:



Jeżeli w czasie „mlecznego ekranu”

MsMpEng.exe

mocno używa dysku/CPU, diagnoza jest praktycznie potwierdzona.

Bardziej precyzyjnie można użyć Process Monitor z Sysinternals. To narzędzie Microsoftu do monitorowania aktywności systemu plików, rejestru i procesów w czasie rzeczywistym. (learn.microsoft.com)

Filtry w Process Monitor:



Potem uruchomić TB, poczekać aż ruszy, zatrzymać logowanie i posortować po czasie trwania operacji. Pliki z największymi opóźnieniami wskażą, co Defender mieli najdłużej.

---

Test dodatkowy: tryb rozwiązywania problemów Thunderbirda

Uruchom TB z przytrzymanym klawiszem:



i wybierz:



Tryb rozwiązywania problemów uruchamia Thunderbirda z częścią dodatków i modyfikacji tymczasowo wyłączonych, żeby ustalić, czy problem powoduje dodatek, motyw albo ustawienie programu. (support.mozilla.org)

Interpretacja:

Wynik	Wniosek
W trybie rozwiązywania problemów dalej 8 minut	raczej Defender/profil/pliki poczty
W trybie rozwiązywania problemów startuje szybko	winny może być dodatek, kalendarz, rozszerzenie, akceleracja sprzętowa albo element UI

---

Jakie wykluczenie zostawić docelowo

Najlepiej: żadnego, jeżeli po kompaktowaniu, odbudowie indeksów i wyczyszczeniu cache problem ustąpi.

Jeżeli problem zostanie, ale system jest czysty, rozważyłbym kolejno:

Wariant 1 — lepszy niż procesowe wykluczenie

Wykluczyć tylko profil Thunderbirda:



To nadal jest kompromis bezpieczeństwa, ale zakres jest węższy niż wykluczanie całego procesu

Thunderbird.exe

.

Wariant 2 — tymczasowo, diagnostycznie

Proces:



Nie samo:



bo wykluczenie po samej nazwie obejmie każdy proces o tej nazwie niezależnie od miejsca uruchomienia. Microsoft zaleca używanie pełnej ścieżki, gdy to możliwe. (learn.microsoft.com)

---

Podsumowanie praktyczne

Na tym etapie nie traktowałbym tego jako „Defender nadal widzi trojana w Thunderbirdzie”. Raczej:



Zrób teraz w tej kolejności:

1. Sprawdź

ExclusionPath

i

ExclusionProcess

.
2. Sprawdź rzeczywistą ścieżkę uruchamianego

thunderbird.exe

.
3. Zrób kopię profilu.
4. W TB wykonaj

Plik → Kompaktuj foldery

.
5. Napraw główne foldery przez

Właściwości → Napraw folder

.
6. Przy zamkniętym TB usuń:

7. Usuń procesowe wykluczenie i sprawdź start z włączonym Defenderem.
8. Jeśli nadal będzie 8 minut oczekiwania, użyj Process Monitor i pokaż, na których plikach są największe opóźnienia.

Warto też wkleić wynik:



oraz listę największych plików z profilu. Wtedy będzie można wskazać konkretnie, czy problem robi

global-messages-db.sqlite

, któryś mbox typu

Inbox/Sent/Archives

, czy cache.

MM2X napisał:

@ElektrodaBot Są powtarzane kilka razy błędy 1002 Aplication Hang oraz 63 ostrzeżenia WMI ale sprzed kilku godzin.

Posty użytkowników poprzedzające pytanie:
```
Data: 13/06/2026
Treść:...

Bezpośrednia odpowiedź

Błąd 1002 Application Hang pasuje do obserwowanego objawu: Thunderbird podczas startu nie odpowiada przez kilka minut, Windows oznacza okno jako „mleczne” i zapisuje zdarzenie zawieszenia aplikacji.

Natomiast ostrzeżenia WMI 63, szczególnie jeśli są sprzed kilku godzin, na tym etapie traktowałbym jako szum systemowy, a nie przyczynę problemu z Thunderbirdem. Takie wpisy często pochodzą od sterowników, usług producenta laptopa, programów diagnostycznych, aktualizacji lub komponentów zabezpieczeń i same w sobie nie wskazują na trojana w TB.

Najważniejszy wniosek: nadal wygląda to bardziej na długie oczekiwanie Thunderbirda na dostęp do plików profilu/poczty skanowanych przez Defendera, a nie na nowe wykrycie infekcji.

---

Co oznacza 1002 Application Hang w Twoim przypadku

Typowy przebieg wygląda tak:

1. Uruchamiasz Thunderbirda.
2. Thunderbird otwiera pliki profilu:

3. Defender skanuje te pliki w czasie rzeczywistym.
4. Thunderbird czeka na zakończenie operacji wejścia/wyjścia.
5. Windows widzi, że aplikacja nie odpowiada i zapisuje:

6. Po kilku minutach Defender kończy skanowanie, TB dostaje dostęp do plików i rusza dalej.

To bardzo dobrze tłumaczy Twoje wcześniejsze obserwacje:

- wykluczenie folderu programu nie pomagało,
- wykluczenie

Thunderbird.exe

pomagało,
- brak nowych wpisów 1116/1117,
- TB po około 8 minutach jednak startuje.

Czyli nie mamy klasycznej blokady typu „Defender wykrył trojana i zablokował plik”, tylko raczej zawieszenie na operacjach dyskowych/profilu.

---

WMI 63 — na razie nie traktować jako główny trop

Ostrzeżenie WMI 63 zwykle dotyczy providerów WMI rejestrowanych przez różne programy lub sterowniki. Może pochodzić np. od:

- oprogramowania producenta laptopa,
- sterownika grafiki,
- pakietu zabezpieczeń,
- narzędzi diagnostycznych,
- pozostałości po odinstalowanym programie.

Jeżeli te wpisy:

- są sprzed kilku godzin,
- nie pojawiają się dokładnie w chwili uruchamiania TB,
- nie mają w treści

thunderbird.exe

,
- nie generują serii błędów przy każdym starcie programu,

to na razie bym ich nie ruszał. Naprawę WMI zostawiłbym na później, bo można sobie niepotrzebnie dodać kolejny problem diagnostyczny.

---

Co teraz sprawdzić w zdarzeniu 1002

Otwórz jeden z błędów 1002 Application Hang i sprawdź, czy w treści jest:



albo podobny zapis.

Interesujące pola:



Jeżeli tam jest

thunderbird.exe

, to 1002 jest tylko potwierdzeniem, że TB wisiał podczas startu.

Jeżeli natomiast 1002 dotyczy czegoś innego, np.:



to trzeba będzie rozważyć szerszy problem z systemem.

---

Najważniejsze działania naprawcze

1. Zrób kopię profilu

Zanim usuniesz indeksy, skompaktujesz foldery lub będziesz czyścił cache, zrób kopię:



oraz ewentualnie:



To ważne szczególnie przy kontach POP3 i folderach lokalnych.

---

2. Sprawdź największe pliki w profilu

Uruchom PowerShell:



Szukamy plików typu:



Jeżeli któryś ma setki MB albo kilka GB, to najpewniej właśnie on powoduje kilkuminutowe skanowanie.

---

3. Usuń globalny indeks wyszukiwania

Przy zamkniętym Thunderbirdzie usuń:



Można PowerShellem:



To nie usuwa poczty. Thunderbird odbuduje indeks wyszukiwania. Pierwsze uruchomienie może być jeszcze wolniejsze, ale kolejne powinny się poprawić.

---

4. Usuń indeksy

.msf

Przy zamkniętym TB:



Pliki

.msf

to indeksy folderów, nie właściwe wiadomości. Thunderbird je odtworzy.

Nie usuwaj plików bez rozszerzenia, np.:



bo to mogą być właściwe magazyny poczty.

---

5. Wyczyść cache Thunderbirda

Przy zamkniętym TB:



---

6. Kompaktuj foldery

Po uruchomieniu Thunderbirda:



Dodatkowo prawym przyciskiem na największych folderach:



Zrób to dla:



To jest ważne, bo w Thunderbirdzie skasowana wiadomość może fizycznie nadal siedzieć w pliku mbox, dopóki folder nie zostanie skompaktowany.

---

Jak potwierdzić udział Defendera

Podczas tych kilku minut „mlecznego ekranu” uruchom:



i obserwuj:



Jeżeli

MsMpEng.exe

ma wtedy duże użycie CPU/dysku, a

thunderbird.exe

czeka, to diagnoza jest praktycznie potwierdzona.

Możesz też otworzyć:



i sprawdzić, jakie pliki są czytane. Jeżeli będą ścieżki w stylu:



to wiadomo, gdzie jest problem.

---

Co z wykluczeniem

Thunderbird.exe

To, że wykluczenie procesu pomaga, jest diagnostycznie bardzo cenne, ale jako rozwiązanie stałe nie jest idealne.

Jeżeli dodasz do wykluczeń sam proces:



to Defender może pomijać pliki otwierane przez ten proces. To działa, ale osłabia ochronę poczty i załączników.

Jeżeli po czyszczeniu profilu problem nadal będzie występował, bezpieczniejszym kompromisem jest wykluczenie konkretnego profilu, np.:



a nie całego procesu. Ale najpierw spróbowałbym oczyścić indeksy, cache i skompaktować foldery.

---

Co wklej w następnym poście

Najlepiej podaj:

1. Pełną treść jednego błędu 1002 Application Hang — szczególnie nazwę aplikacji.
2. Wynik polecenia z największymi plikami profilu:

3. Czy podczas zawieszenia

MsMpEng.exe

używa CPU lub dysku.
4. Czy konto w Thunderbirdzie jest IMAP czy POP3.

Na obecnym etapie błędy 1002 są istotne, bo potwierdzają zawieszanie TB, natomiast WMI 63 zostawiłbym na boku, dopóki nie pojawia się dokładnie w momencie startu Thunderbirda.

MM2X napisał:

@ElektrodaBot nie miałem 1002 tylko 1116 i 5007,po 20 minutach od włączenia TB i przeglądaniu wiadomości nagle ekran zrobił się mleczny i włączył się wentylator w laptopie, wszedłem w menedżer zadań: ...

Bezpośrednia odpowiedź

Dziękuję za doprecyzowanie. Skoro nie ma nowych 1002, a są tylko 1116 z 27.05 oraz 5007, to obecny objaw nie wygląda na nowe wykrycie trojana, tylko na czasowe przyblokowanie Thunderbirda przez intensywne skanowanie Defendera.

Twoje pomiary z Menedżera zadań są bardzo charakterystyczne:



To oznacza, że w czasie „mlecznego ekranu” pracuje Defender / MsMpEng.exe, a Thunderbird praktycznie czeka. Gdy wentylator przestaje pracować, Defender kończy skanowanie i Thunderbird wraca do normalnego działania.

Czyli na tym etapie diagnoza jest taka:

> Defender niekoniecznie blokuje Thunderbirda jako zainfekowany program. Bardziej prawdopodobne jest, że skanuje pliki otwierane przez Thunderbirda: lokalną pocztę, indeksy, cache lub konkretną wiadomość/załącznik.

Zdarzenie 1116 oznacza wykrycie malware lub potencjalnie niechcianego oprogramowania, więc jeśli pochodzi z 27.05, to jest śladem tamtego wykrycia. Zdarzenie 5007 oznacza zmianę konfiguracji Defendera, np. zmianę ustawień lub dodanie wykluczenia. (learn.microsoft.com)

---

Co wynika z tego, że wykluczenie

Thunderbird.exe

pomaga

To jest najważniejszy trop. Jeżeli dodałeś do wykluczeń sam folder:



i to nie pomagało, a dodanie:



pomagało, to problem nie leży w plikach programu, tylko w plikach otwieranych przez proces Thunderbirda.

Microsoft rozróżnia wykluczenie pliku/folderu od wykluczenia procesu. Wykluczenie procesu oznacza, że pliki otwierane przez ten proces nie są skanowane w czasie rzeczywistym; Microsoft zaleca też używanie pełnej ścieżki do procesu, a nie samej nazwy, bo sama nazwa może zostać wykorzystana przez inny plik o tej samej nazwie. (support.microsoft.com)

Dlatego u Ciebie prawdopodobny mechanizm jest taki:



---

Thunderbolt(TM) Shortcut Service

Ten wpis:



nie ma związku z Thunderbirdem. To usługa od Thunderbolt/Intel/Acer, a nie klient pocztowy. Można ją na razie całkowicie pominąć w diagnostyce.

---

Co teraz trzeba ustalić

Trzeba znaleźć konkretny plik, na którym Defender „mieli”. Bez tego będziemy tylko zgadywać.

Najbardziej podejrzane są:



Thunderbird domyślnie może przechowywać folder pocztowy jako jeden duży plik mbox, np.

Inbox

albo

Sent

. Usunięcie wiadomości nie musi od razu zmniejszyć tego pliku — fizyczne oczyszczenie następuje dopiero przy kompaktowaniu folderów. (support.mozilla.org)

---

Krok 1 — odczytaj dokładnie stary wpis 1116

W tym wpisie z 27.05 powinny być pola:



Uruchom PowerShell jako administrator i wklej wynik:



Najważniejszy będzie fragment:



Jeżeli tam była ścieżka typu:



albo:



to mamy potwierdzenie, że problem dotyczy magazynu poczty, nie programu Thunderbird.

---

Krok 2 — sprawdź, co Defender skanuje w chwili zawieszenia

Przy następnym „mlecznym ekranie” uruchom:



Następnie:



Zaznacz procesy:



W dolnej części okna sprawdź Aktywność dysku i posortuj po:



Szukaj ścieżek w stylu:



Jeżeli zobaczysz, że MsMpEng.exe czyta np.:



to mamy winowajcę.

Bardziej zaawansowane narzędzie do tego samego celu to Process Monitor z Sysinternals. Microsoft opisuje go jako narzędzie pokazujące w czasie rzeczywistym aktywność systemu plików, rejestru i procesów, więc nadaje się idealnie do ustalenia, na którym pliku Thunderbird/Defender się zatrzymuje. (learn.microsoft.com)

---

Krok 3 — sprawdź największe pliki profilu Thunderbirda

Przy zamkniętym Thunderbirdzie uruchom PowerShell:



Wklej wynik. Interesują mnie szczególnie pliki bez rozszerzenia, np.:



oraz:



Jeżeli któryś plik ma np. kilkaset MB albo kilka GB, to Defender może go długo analizować przy starcie TB albo przy wejściu do konkretnego folderu.

---

Krok 4 — zrób kopię profilu

Przed czyszczeniem zrób kopię:



oraz opcjonalnie:



To szczególnie ważne, jeśli konto jest POP3, bo przy POP3 lokalne pliki

Inbox

,

Sent

,

Archives

mogą być jedyną kopią poczty.

---

Krok 5 — usuń indeks globalny Thunderbirda

Przy zamkniętym Thunderbirdzie:



To nie usuwa poczty. Thunderbird odbuduje indeks wyszukiwania. Jeżeli stary indeks zawierał fragmenty wiadomości z trojanem, może to poprawić sytuację.

---

Krok 6 — usuń pliki

.msf

Również przy zamkniętym TB:



Pliki

.msf

to indeksy folderów. Nie są właściwą pocztą. Thunderbird odbuduje je sam.

Nie usuwaj plików typu:



bez wcześniejszej kopii i bez ustalenia, czy konto jest IMAP czy POP3.

---

Krok 7 — wyczyść cache lokalny

Przy zamkniętym Thunderbirdzie:



---

Krok 8 — kompaktowanie folderów

Po uruchomieniu Thunderbirda wykonaj:



Dodatkowo dla głównych folderów:



Zrób to dla:



To bardzo istotne, bo w formacie mbox wiadomości skasowane logicznie mogą nadal fizycznie siedzieć w pliku, dopóki folder nie zostanie skompaktowany. Mozilla opisuje kompaktowanie jako normalną konserwację, która odzyskuje miejsce bez usuwania aktualnych wiadomości. (support.mozilla.org)

---

Krok 9 — jeżeli masz IMAP

Jeśli konto jest IMAP, wejdź w:



i testowo odznacz:



albo wyłącz synchronizację dla dużych folderów:



Thunderbird może przy IMAP pobierać pełne wiadomości w tle do lokalnego magazynu, co tworzy duże pliki skanowane przez Defendera. Dokumentacja Thunderbirda opisuje, że przy IMAP automatyczne pobieranie wiadomości jest opcjonalne, ale domyślnie pełne wiadomości mogą być pobierane w tle do lokalnego archiwum. (source-docs.thunderbird.net)

---

Co z wykluczeniem

Thunderbird.exe

Na czas pracy awaryjnej można zostawić wykluczenie, ale docelowo nie jest to najlepsze rozwiązanie.

Jeżeli już je stosować, to nie jako:



tylko jako pełną ścieżkę, np.:



Lepiej jednak najpierw oczyścić profil, indeksy i cache, a dopiero potem ocenić, czy wykluczenie jest nadal potrzebne.

Wykluczenie procesu jest skuteczne, bo omija skanowanie plików otwieranych przez Thunderbirda, ale obniża ochronę przy pracy z pocztą i załącznikami. Microsoft ostrzega, że wykluczenia mogą zwiększać podatność urządzenia i danych. (support.microsoft.com)

---

Dodatkowy test Defendera

Po usunięciu indeksów i cache uruchom aktualizację sygnatur:



Następnie, przy zamkniętym Thunderbirdzie i najlepiej bez procesowego wykluczenia TB, wykonaj pełny skan:



Jeżeli pełny skan przejdzie bez nowych 1116/1117, a problem nadal będzie tylko wydajnościowy, to kierunek jest jednoznaczny: optymalizacja/czyszczenie profilu Thunderbirda, nie aktywna infekcja programu.

---

Co wklej w następnym poście

Najbardziej przydatne będą cztery rzeczy:

1. Wynik starego zdarzenia 1116:


2. Lista największych plików profilu:


3. Informacja, czy konto jest:


4. Czy zawieszenie pojawia się przy:


Na obecnym etapie Twoje pomiary praktycznie potwierdzają, że wąskim gardłem jest Defender skanujący dane Thunderbirda, a nie Thunderbird jako zainfekowany plik wykonywalny. Najpierw trzeba znaleźć konkretny plik/folder w profilu, który powoduje tak długie skanowanie.