Nur ein kurzer Einwurf, vielleicht hilft der:
Google scheint einen Unterschied zwischen den Benutzerdaten zu machen evtl. Kannst Du dann dein Account anlegen.
Also statt meinename@gmail.com geht auch meinname@googlemail.com
Grüße dErzOnk
Beiträge von dErzOnk
-
-
Moinsen,
krass Sehvornix, da hast Du ja ordentlich Anleitung geschrieben! Und irgendwas hat geklappt... leider scheint das "restore all" sich selbst zu behindern und gleich mal gesagt das bei der Operation alle Virenscanner aus sein sollten, nix Ausnahme sondern Rechner vom Netz und nach der Operation wieder das was man meint haben zu müssen wieder an.
fehlt doch jegliche Information, wie der Schlüssel lautet
Der Schlüssel ist bekannt und benannt, das Pyton Script so weit auch schon vorhanden... hier
Es gibt auch jede Menge Webangebote RC4 zu entschlüsseln, tja aber mit ner GB großen Datei ist das nix, EaseUS bietet m.W. keine Entschlüsselung an, nur das übliche "Weiderherstellen gelöschter Daten" usw...
Es gibt auch jede Menge Entschlüsselungstools von den AntiVirenherstellern für die ganzen Ransomeware sachen. Aber ein Easy-to-Use Entcrypter habe ich nicht gefunden...
hat Windows Defender wohl neben den Ordnern 03 und 10
Defender legt die verschlüsselte Datei ab, legt mehrere Informationen im weiteren Unterordnern mit dem gleichen Namen ab und schreibt sich in die Registry mit dem gleichen Dateinamen um so alle Informationen zu einer Bedrohung zu speichern. Die Datei selber enthält nur verschlüsselt die Daten... nur mit den zusätzlichen Ordnern und Schlüsseln hat Defender die Informationen was das entschlüsselt werden könnte... Wenn diese Informationen weg sind kann über die "restore all" CMD es nicht wieder hergestellt werden. Ich gehe davon aus das wenn man analog alle Infos wieder herstellt (also die weiteren Einträge wieder anlegt) das es dann wieder geht... aber auch viel Aufwand.
hier aus dem trojaner-board.de zu genau dem Trojan:HTML/Phish.RA!MTB
ZitatMan kann auch drüber nachdenken, den Defender so einzustellen, dass er garnicht mehr im Thunderbirdprofil nachschaut. Eine dort gelöschte Datei kann nämlich den Verlust sämtlicher oder vieler legitimer Mails nach sich ziehen.
Pronto vielleicht solltest du dort auch mal vorbei schauen und
a) deine LOGfiles von FRST64 usw.. untersuchen lassen ob dein System überhaupt noch sauber erscheint (du hattest ja schon mal vor längerer Zeit einen anderen Fund).
b) Ob die zufällig wissen wie man die RC4 verschlüsselte Datei auf macht...
Grüße dErzOnk
-
Moinsen,
also erstmal ein kleiner Hinweis, dein LOG ist voll persöhnlicher Daten (Emailadresse) evtl. willst du die den Post noch mal bearbeiten und die Daten entfernen.
Dann hast du im LOG file ja deine Antwort:
I/IMAP exceeded connection cache limit
Du hast zwar schon die Verbindungen auf 1 reduziert (evtl. ist das ja sogar kontraproduktiv). Du sprichst auch von:
für das betreffende e-mail Konto
Wie viele IMAP Verbindungen reißt Du den auf? Also wie viele Konten im TB auf diesem Gerät und gleichzeitig unter der IP (Laptop, Smartphone, Tablet usw...). Wie viele Tabs/Mails hast du so glaichzeitig auf? Guck mal ob Du in der Config unter dem Motto "Connection" was verdächtiges findest.
Es scheint einfach zu viele Verbindungen zu geben... (mit der Verbindung auf 1 bei diesem Konto bezweckst du zwar immer das nur eine Verbindung geöffnet und geschlossen wird, aber anscheinend gibt es auch eine Gesamtanzahl die voll ist.
Grüße dErzOnk
-
Auffällig ist, dass ich mit dem Windows Dateiexplorer weder den Pfad noch die betreffenden Quarantäne-Dateien finden konnte!
Das ist überhaupt nicht auffällig, entweder es ist ein versteckter Ordner der dir auf Grund deiner Einstellungen nicht angezeigt wird oder ein Ordner für den du Admin rechte brauchst... ich tippe auf 1tens.
Nun steht natürlich das Problem an, die beiden verschlüsselten und mit "Ziffern-Buchstaben-String" benannten Quarantäne-Dateien zu entschlüsseln und für den TB etc. lesbar zu machen.
Siehe #51 mehr kann man nicht machen, oder du fängst mit python scripts an... dann gebe ich dir gerne Links zum entschlüsseln.
-
Na dann wurde darin rumgemurkst - entweder durch Eingriff oder Tools, oder weil Viren es sogar hinbekommen das Schutzsystem auszuhebeln.
-
Für mich sind beide verlinkten Threads ein und der selbe.
Sind sie auch, der TE hatte erst einen Link auf die Startseite gepostet (#2)... dann hat er zweimal den gleichen Link in einem Post (#5).
Wenn der Fragende noch nicht mal Korrektur ließt, ob es nun Rechtschreibung oder Formatierungsfehler sind, merkt man schnell das es sehr mühselig wird zu helfen.
Ich habe hier im Forum aber bisher wirklich viele fleißige und freundliche Helfer gesehen, finde ich super und vielen Dank für die Mühen!
Aber ich denke auch das "klein und fein" dem Ganzen gut tut, lieber bei einem Thema richtig helfen, als nur mit Halbwissen rumprobieren.
Grüße dErzOnk
-
who comment a lot but do not help at all
Sprichst du da aus eigener Erfahrung?
Anscheinend ist es hier erlaubt auf englisch oder sonst einer Sprache unterwegs zu sein... hätte mich auch gewundert wenn graba da was übersieht.
Gerade Menschen denen es schwer fFällt eine Sprache zu sprechen, ob nun Deutsch oder Englisch soll ja auch geholfen werden. Aber der Thread hat zuerst für mich nach Spam ausgesehen und daher mal beim nachgehakt.
Siehe da der User ist zwar fleißig am posten, aber die Eigeninitiative tendiert gegen null... Wenn du Dir den anderen Thread anguckst ist es echt hart was die Leute ihm dort geholfen haben, Schritt für Schritt. Das hätte ich auf englisch nur mit viel zu viel Aufwand machen können... Aber das ganze als zwei Wochen Arbeit von sich zu verkaufen ist etwas übertrieben.
what ever...
Grüße dErzOnk
-
Wenn es darum geht, die Inbox aus der Quarantäne zu holen
Aber der TE behauptet das im Schutzverlauf von Windows Defender nix drin steht, ohne diese Einträge kann das Wiederherstellen nicht vorgenommen werden...
Da ich im Schutzverlauf mal ein Eintrag hatte, der Blödsinn war und dieser nicht entfernt werden konnte, weiß ich das man Einträge im Schutzverlauf (und damit den Wiederehestellungsbutton) nur manuell gezielt ablöschen kann. Deswegen glaube ich das dem Norten-Kaspersky-(Bit)defender-FAT User einfach nicht...
Der Link zur MS-Hilfe hilft da leider nicht weiter...
Hier die einfachste Lösung die gefunden habe die Dateien wiederherzustellen ohne den Button im Wiederherstellungsverlauf, aber Vorsicht die Datei wird am ursprünglichen Ort wiederhergestellt und man wurschtelt schön tief im System rum...
Aber mit einem ungeklärten Fund aus 2021, 2-3 installieren Antivirenprogrammen, Adware und installierter Shareware gehört das System eh gekillt und extrem aufgeräumt. Vielleicht auch bei der Gelegenheit mal den Papierkorb ausleeren.
Grüße dErzOnk -
Das war die Lösung !!!
Super, freut mich das es geklappt hat! - Der Lösungvorschlag von Yahoo ist schon sehr banal... es wäre schön gewesen zu wissen was das Problem ist. Zum Glück wird in der Medizin nicht so gearbeitet xD.
ups, das sollte natürlich TB heißen
ich glaube das passiert dir "öfters" und ich frag immer dumm nach... Wo kann man in TB denn JavaScript abstellen?!Ja, nach mehreren entsprechenden Threads hier war das auch meine Vermutung.
Ne bei mir war es gestern Abend einfach mein geistiger Zustand... Ich hab dann noch etwas "geforscht", u.A. in einem anderen Thread kommt im OAuth-Popup-Fenster der explizite Hinweis das Cookies aktiviert sein müssen. Das habe ich dann auch mal nachgespielt, aber war zu müde noch was dazu zu posten.
Also bei deaktivierten Cookies kann der Login im OAuth-Popup-Fenster nicht vorgenommen werden. (Es steht dann dort das Cookies aktiviert werden müssen).
Wenn der OAuth-Login geklappt hat kann man nicht mehr Cookies deaktivieren, bzw. der Haken setzt sich dann immer automatisch (bei mir).
Unter Cookies anzeigen im TB, steht aber kein Yahoo Cookie (Bei mir nur google)
"Tools" wie CCleaner finden keinen Cookie von Yahoo, das Löschen aller Cookies (angeblich auch in TB) ändert nix beim Login, dieser klappt dann weiter. (Das Löschen der Passwortdaten in TB via CCleaner geht aber prima).
Also frag ich mich was es genau mit den Cookies von Yahoo auf sich hat?! Werden die jetzt versteckt angelegt oder vom Krümelmonster gefressen. Oder will Yahoo nur das es möglich ist Cookies abzulegen, nutzt es dann aber nicht..?!
Also vor allem auch im genutzten Browser im Blick behalten und kontrollieren, wie dort für die Seiten "gesichert" oder "freigegeben" sind
Das finde ich sehr interessant - also noch mal als Frage, das OAuth-Popup-Fenster ist vom TB und dessen Browser, oder ist es der Standard Browser von Windoof? Ich denke viele TB Nutzer sind auch FF Nutzer... aber nicht alle.
Beeinträchtigt der Browser (FF) wirklich das OAuth-Popup-Fenster?
Ich kann nur meine Erfahrung sagen das es mit FF und uBlock Origin und strengen Sicherheitseinstellungen geht. Gestern der Versuch in FF NoScript zu setzten hat der Anmeldung bei Yahoo TB keinen Abbruch getan. Klar immer ein wachsames Auge auf alle Erweiterungen/Tools die vom Standard abweichen...
Mein Verdacht war (um jetzt wieder über Kekse zu reden) das Tools wie CCleaner die Cookies vom OAuth-Login zerstören und das evtl. sogar in einem "Live" Modus (So was wie Echtzeitüberwachung/Schutz) und es deswegen nicht klappt. Das scheint aber wie gesagt zumindest mit CCleaner nicht de Fall. Aber jede schlechte Virensoftware könnte durch falsch gemeinten Schutz gegen Cookies diese "zerstören" oder verhindern bei der Anmeldung...
Um mit einem Krümelmonster Zitat zu enden:
"Keine Kekse! Wo sind meine Kekse"
Grüße dErzOnk
-
ist auch JavaScript im TM aktiviert
Danke für die Hilfe hier, aber was meinst du mit TM?
Und irgendwie werde ich den Verdacht nicht los das es nix mit Cookies zu tun hat? Aber gut... Vielleicht noch mal das Passwort in TB löschen und bei der nächsten Abfrage klappt es dann?! Yahoo Schlägt ja vor den ganzen Account zu löschen und dann wieder neu anzulegen...
Grüße dErzOnk
-
Posted on every forum on the planet, two weeks of work, if someone has the same problem I'm sure they'd be really happy to know of this solution.
Sorry to say that but if you put 2 weeks of work in the solution why don't you write a short manual. No one will read the many posts which were a lot of work (mostly for others)... Anyway this is why I don't like to go on in English support.. Sorry my english is not that good. It takes takes more time for me to comprehend and in the end i realize: You moved Thunderbird from a W7 to a W10/W11 and changed from POP3 to IMAP? Also changed your authentication mode...
tbh: it doesn't seem to be a big deal to me if you do it step by step... but as I said, if you think this is worth sum it up, post the link and we can use it. But for now people here will not even find the solution even if they have this special problem.
Greetings dErzOnk
-
Die ersten vier Zeilen riechen ja förmlich nach 2 x Inbox (oder INBOX oder iNBOX oder inbox*) und 2 x Trash. So rein von den propagierten Größen dieser Dateien vor dem Verlust ausgehend. Die könnte man manuell mal kopieren und entsprechend umbenennen (in "Inbox_bak" oder wie auch immer) und anschließend mal unter 'Mail\Local Folders' im aktiven Profil ablegen.
Die ersten vier Zeilen sind wohl nur 2 Dateien/Ordner die an unterschiedlichen Orten in Quarantäne geschickt wurden...
Bist du dir sicher Sehvornix das man Zugriff auf die Dateien bekommen kann indem man die kopiert und in den ursprünglichen Dateityp umwendet? Meines Wissens ist das eine RC4 Verschlüsselung, der key sollte sein:
Code
Alles anzeigen0x1E, 0x87, 0x78, 0x1B, 0x8D, 0xBA, 0xA8, 0x44, 0xCE, 0x69, 0x70, 0x2C, 0x0C, 0x78, 0xB7, 0x86, 0xA3, 0xF6, 0x23, 0xB7, 0x38, 0xF5, 0xED, 0xF9, 0xAF, 0x83, 0x53, 0x0F, 0xB3, 0xFC, 0x54, 0xFA, 0xA2, 0x1E, 0xB9, 0xCF, 0x13, 0x31, 0xFD, 0x0F, 0x0D, 0xA9, 0x54, 0xF6, 0x87, 0xCB, 0x9E, 0x18, 0x27, 0x96, 0x97, 0x90, 0x0E, 0x53, 0xFB, 0x31, 0x7C, 0x9C, 0xBC, 0xE4, 0x8E, 0x23, 0xD0, 0x53, 0x71, 0xEC, 0xC1, 0x59, 0x51, 0xB8, 0xF3, 0x64, 0x9D, 0x7C, 0xA3, 0x3E, 0xD6, 0x8D, 0xC9, 0x04, 0x7E, 0x82, 0xC9, 0xBA, 0xAD, 0x97, 0x99, 0xD0, 0xD4, 0x58, 0xCB, 0x84, 0x7C, 0xA9, 0xFF, 0xBE, 0x3C, 0x8A, 0x77, 0x52, 0x33, 0x55, 0x7D, 0xDE, 0x13, 0xA8, 0xB1, 0x40, 0x87, 0xCC, 0x1B, 0xC8, 0xF1, 0x0F, 0x6E, 0xCD, 0xD0, 0x83, 0xA9, 0x59, 0xCF, 0xF8, 0x4A, 0x9D, 0x1D, 0x50, 0x75, 0x5E, 0x3E, 0x19, 0x18, 0x18, 0xAF, 0x23, 0xE2, 0x29, 0x35, 0x58, 0x76, 0x6D, 0x2C, 0x07, 0xE2, 0x57, 0x12, 0xB2, 0xCA, 0x0B, 0x53, 0x5E, 0xD8, 0xF6, 0xC5, 0x6C, 0xE7, 0x3D, 0x24, 0xBD, 0xD0, 0x29, 0x17, 0x71, 0x86, 0x1A, 0x54, 0xB4, 0xC2, 0x85, 0xA9, 0xA3, 0xDB, 0x7A, 0xCA, 0x6D, 0x22, 0x4A, 0xEA, 0xCD, 0x62, 0x1D, 0xB9, 0xF2, 0xA2, 0x2E, 0xD1, 0xE9, 0xE1, 0x1D, 0x75, 0xBE, 0xD7, 0xDC, 0x0E, 0xCB, 0x0A, 0x8E, 0x68, 0xA2, 0xFF, 0x12, 0x63, 0x40, 0x8D, 0xC8, 0x08, 0xDF, 0xFD, 0x16, 0x4B, 0x11, 0x67, 0x74, 0xCD, 0x0B, 0x9B, 0x8D, 0x05, 0x41, 0x1E, 0xD6, 0x26, 0x2E, 0x42, 0x9B, 0xA4, 0x95, 0x67, 0x6B, 0x83, 0x98, 0xDB, 0x2F, 0x35, 0xD3, 0xC1, 0xB9, 0xCE, 0xD5, 0x26, 0x36, 0xF2, 0x76, 0x5E, 0x1A, 0x95, 0xCB, 0x7C, 0xA4, 0xC3, 0xDD, 0xAB, 0xDD, 0xBF, 0xF3, 0x82, 0x53Aber wie man das easy entschlüsseln kann habe ich noch nicht gefunden... und will es auch nicht.
Pronto, hast du im Schutzverlauf wirklich keine Einträge? Glaub ich nämlich schon - und von dort kann man einfach die Datei/Ordner wiederherstellen (im Originalverzeichnis!).
Wenn im Schutzverlauf nichts drin steht ist das gezielt gelöscht worden und der Aufwand für die manuelle Entschlüsselung scheint mir recht hoch.
Also ich wäre sehr überrascht wenn da was zu "öffnen" geht... lasse mich aber gerne vom Gegenteil überzeugen.
Grüße dErzOnk
-
is klar das die Datei Verschlüssel abgelegt vom Defender weil Quarantäne... sry dauert bis ich länger Posten kann...
es sei denn du machst es über den Suchverlauf!!!
-
Hallo roebbie und willkommen im Forum,
ich glaube es würde helfen wenn du deinen eigen Thread aufmachen würdest... der Thread hier ist schon lang geworden und in einem neuen Thread kann dir besser spezifisch geholfen werden. Auch würdest Du über die gängigen Fragen/Infos stolpern, die wir meistens brauchen um zu helfen.
Grüße dErzOnk
-
Hallo, ja es erscheint logisch das die Verbindung oder Thunderbird den Abruf gar nicht startet wenn es nicht nach einem Paßwort fragt.
Wie erfolgt der Abruf, automatisch beim Start? Wenn neue Emails vorhanden sein sollen oder wenn Du manuell triggerst?
Klappt wenn der Fehler auftritt der Versand? Ist TB nur für dieses eine Postfach für Freenet eingerichtet oder klappen andere Postfächer problemlos? Warum hast du die Anzahl der Verbindungen reduziert?
Grüße dErzOnk
-
welches einen Norton Security Scan detektiert
Respekt! Das habe ich glatt übersehen...
Mapenzi sorry wegen den Reaktionen, du warst wohl gerade am schreiben und ich hatte nur dein Halbtext gesehen....
-
Auf meinem System Windows 10 - 64 bit - wird mit dem FAT-Dateisystem gearbeitet; ...
Glaub ich nicht!
ZitatCan you install Windows on FAT32? No, FAT32 is an older file system, and you can’t install an operating system on it. Since Windows Vista, you can only install an operating system to NTFS drives. If you’re using FAT32, you’ll need to format it to NTFS to install an operating system.
Mit biegen und brechen bekommt man win10 auf exFAT installiert... Aber wer das kann sollte nicht die Probleme haben die Du hast und macht das auch nur wenn er weiß was er tut.
-
Zum Lokalisieren der oben benannten Ordner bzw. Dateien zu a) und b), die jeweils deutlich größer als 4 GB sein dürften, versuche ich es nochmal mit einer Software - wie z.B. Tree-Size - welche in einer Testversion immer zuverlässig die 100 größten Dateien auf meinem System gefunden und gelistet hat. Leider ist meine Tree-Size Testversion abgelaufen, ich werde mich mal nach Alternativen umschauen bzw. eine Lizenz erwerben.
Naja, also wenn Du meinst das es so geht dann bitte... versuch DiskBoss als Programm um in den Daten zu wühlen.
Aber nun geht es halt nicht für mich weiter, du stocherst in den Daten rum und benutzt dabei Shareware * die nicht weit von Adware ist oder diese gleich mitbringt. Daher kann es auch gut möglich sein das dein System infiziert ist. Die Infos dazu lässt Du aber offen, gewillt bist du aber Geld für Lösungen auf den Tisch zu legen, passt für mich einfach nicht zusammen.
Noch ne Frage, was meinst du mit:
popup Menü die Option "Löschen"
Bilder sagen übrigens mehr als tausend Worte. Grüße dErzOnk
*Dann gehe ich auch davon aus das Du "Tools" benutzt die irgendwas im System machen?! Wenn nicht klar ist was diese anstellen ist der Schaden schnell größer als der Nutzen, es braucht diese Tools nicht die Funktionen sind vorhanden - mit etwas Geschick und Suche im Internet kriegt man das hin...
-
At the moment your link is just to the main page and gives no clues what helped you. (This has the taste of advertisement) Also I think this is just the german thunderbird help forum, there are plenty of english sites/forums around.
I have no idea why you come here - and I think the terms and conditions are also in german... did you read them?!Sorry, I learn every day from the Mods
Sorry I don't want to be mean, but I'll just focus on helping people here in german they have enough trouble.
Greetings, dErzOnk
-
...im Windows Defender - Schutzverlauf - keine zurückliegenden Aktionen gelistete, auch keine Hinweise auf Dateisammlung in Quarantäne... gleichwohl hatte mir Windows Defender im popup Fenster vor zwei Tagen entsprechend ausgeführte Aktionen signalisiert; Filterfunktionen usw. im Schutzverlauf habe ich alle durch. Auffällig ist, dass seit der Kaspersky-Installation und Scan / Eliminierung einer Datei Windows Defender nichts mehr verlauten lässt. Auch dann nicht, wenn ich Kaspersky vorübergehend deaktiviert habe.
...Wenn es ein richtiges Virus ist/war wird der sich ja wohl verstecken... wie gesagt guck mal in den Ordner... oder auch in "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\History.Log"
Aber das dort nix drin steht obwohl da Warungen von Windows waren finde ich nicht gut... Du kannst dir auch EICAR runter laden dann muss da was drin stehen...
