aide sur source message (IP signalée)

Le
baronsamedi
Bonjour,
Quelqu'un peut-il m'aider sur un message parvenu sur ma boîte mail dans laquelle il semble y avoir des fuites (ce n'est pas un spam, c'est un message provenant d'une personne admise sur ma messagerie outlock). Je me demande si ce message (qui a une adresse IP signalée pour des spam hacking et autres) n'est pas à la source de fuites sur ma messagerie privée. Je vous joint le code source et la réponse de c:
Return-Path: <jean.guette@wanadoo.fr>
Received: from mwinf2126.orange.fr (mwinf2126.orange.fr)
by mwinb0103 (SMTP Server) with LMTP; Thu, 12 Mar 2009 11:25:49 +0100
X-Sieve: Server Sieve 2.2
X-Bcc: herbechantal@wanadoo.fr
Received: from me-wanadoo.net (localhost [127.0.0.1])
by mwinf2126.orange.fr (SMTP Server) with ESMTP id 2A89724001F7;
Thu, 12 Mar 2009 11:25:49 +0100 (CET)
Received: from Inbox (unknown [193.253.141.89])
by mwinf2126.orange.fr (SMTP Server) with ESMTP id 70354240031E;
Thu, 12 Mar 2009 11:25:02 +0100 (CET)
X-ME-UUID: 20090312102502459.70354240031E@mwinf2126.orange.fr
MIME-Version: 1.0
content-class:
From: Jean <jean.guette@wanadoo.fr>
Subject: alex
Date: Thu, 12 Mar 2009 11:25:04 +0100
Importance: high
X-Priority: 1
To: Chantal HERBE <herbechantal@wanadoo.fr>,
Jean Guette <jean.guette@wanadoo.fr>
Content-Type: multipart/alternative;
boundary="_DB5A4842-3A84-88FC-E775-20924DE3E864_"
Message-Id: <20090312102502.70354240031E@mwinf2126.orange.fr>
X-me-spamlevel: not-spam
X-me-spamrating: 34.000000
X-me-spamcause: OK, (-150)(0000)gggruggvucftvghtrhhoucdtuddrvdekuddrvdefucetggdotefuucfrrhhofhhilhgvmecuoffgnecuuegrihhlohhuthemuceftddtnecusecvtfgvtghiphhivghnthhsucdlqddutddtmdenvhgvnhgurhgvughiucdlqdehtddm
X-AntiVirus: checked (incoming) by AntiVir MailGuard (Version: 8.0.0.45; AVE: 8.2.0.109; VDF: 7.1.2.161)


--_DB5A4842-3A84-88FC-E775-20924DE3E864_
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain; charset="iso-8859-1"

Ok pour la venue d'alex ce vendredi 13 mars vers 18/19h à bordeaux

Jean=

--_DB5A4842-3A84-88FC-E775-20924DE3E864_
Content-Transfer-Encoding: quoted-printable
Content-Type: text/html; charset="iso-8859-1"

<HTML><HEAD><META HTTP-EQUIV='Content-Type' CONTENT='text/html; charset=
=iso-8859-1'></HEAD><BODY><SPAN style='FONT-SIZE: 10pt; FONT-FAMILY: Ar=
ial; FONT-WEIGHT:Normal;'>Ok pour la venue d'alex ce vendredi 13 mars vers =
18/19h à bordeaux <br><br>Jean</SPAN></BODY></HTML>=

Microsoft Windows XP [version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:Documents and SettingsUtilisateur>nslookup 193.253.141.89
Serveur : WANConnectionDevice.home
Address: 192.168.1.1

*** WANConnectionDevice.home ne parvient pas à trouver 193.253.141.89 : Non-exis
tent domain

Site où l'adresse IP est signalée :
http://www.projecthoneypot.org/ip_193.253.141.89

Ripe data base :



Query the RIPE Database
Search for


Switch to the RIPE TEST Database


% This is the RIPE Whois query server #3.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html
% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.
% Information related to '193.253.141.0 - 193.253.141.255'
inetnum: 193.253.141.0 - 193.253.141.255
netname: ORANGE-FR
descr: Orange
descr: MDSP Project
country: FR
admin-c: PV3682-RIPE
tech-c: HT403-RIPE
tech-c: ER1049-RIPE
status: ASSIGNED PA
mnt-by: FT-BRX
source: RIPE # Filtered
role: EXPERT Reseau
address: ORANGEFRANCE
address: 1 avenue Nelson Mandela, 94745 Arcueil Cedex
phone: +33155459420
fax-no: +33155459449
e-mail: expert.reseau@orange-ftgroup.com
admin-c: ER1049-RIPE
tech-c: ER1049-RIPE
nic-hdl: ER1049-RIPE
mnt-by: FT-BRX
source: RIPE # Filtered
person: Patrick Vignault
address: ORANGE FRANCE
address: 1 avenue Nelson Mandela, 94745 Arcueil Cedex
phone: +33155222874
e-mail: patrick.vignault@orange-ftgroup.com
nic-hdl: PV3682-RIPE
mnt-by: FT-BRX
source: RIPE # Filtered
person: Herve Therry
address: ORANGEFRANCE
address: 1 avenue Nelson Mandela, 94745 Arcueil Cedex
e-mail: herve.therry@orange-ftgroup.com
phone: +33 1 55 22 18 02
fax-no: +33 1 55 22 12 02
mnt-by: FT-BRX
nic-hdl: HT403-RIPE
source: RIPE # Filtered
% Information related to '193.253.0.0/16AS3215'
route: 193.253.0.0/16
descr: France Telecom
origin: AS3215
mnt-by: FT-BRX
source: RIPE # Filtered
Legend
Bold: Object type
Underlined: Primary key
Hyperlink: Searchable attribute


5 objects found for '193.253.141.89'
Further Information
RIPE Whois Documentation
RIPE DB Free-text Search (Glimpse)


Other RIRs Database Search: AfriNIC
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
baronsamedi
Le #18929001
baronsamedi a écrit le 17/03/2009 à 12h07 :
Bonjour,
Quelqu'un peut-il m'aider sur un message parvenu sur ma boîte mail dans
laquelle il semble y avoir des fuites (ce n'est pas un spam, c'est un message
provenant d'une personne admise sur ma messagerie outlock). Je me demande si ce
message (qui a une adresse IP signalée pour des spam hacking et autres)
n'est pas à la source de fuites sur ma messagerie privée. Je vous
joint le code source et la réponse de c:
Return-Path:
Received: from mwinf2126.orange.fr (mwinf2126.orange.fr)
by mwinb0103 (SMTP Server) with LMTP; Thu, 12 Mar 2009 11:25:49 +0100
X-Sieve: Server Sieve 2.2
X-Bcc:
Received: from me-wanadoo.net (localhost [127.0.0.1])
by mwinf2126.orange.fr (SMTP Server) with ESMTP id 2A89724001F7;
Thu, 12 Mar 2009 11:25:49 +0100 (CET)
Received: from Inbox (unknown [193.253.141.89])
by mwinf2126.orange.fr (SMTP Server) with ESMTP id 70354240031E;
Thu, 12 Mar 2009 11:25:02 +0100 (CET)
X-ME-UUID:
MIME-Version: 1.0
content-class:
From: Jean
Subject: alex
Date: Thu, 12 Mar 2009 11:25:04 +0100
Importance: high
X-Priority: 1
To: Chantal HERBE ,
Jean Guette
Content-Type: multipart/alternative;
boundary="_DB5A4842-3A84-88FC-E775-20924DE3E864_"
Message-Id:
X-me-spamlevel: not-spam
X-me-spamrating: 34.000000
X-me-spamcause: OK,
(-150)(0000)gggruggvucftvghtrhhoucdtuddrvdekuddrvdefucetggdotefuucfrrhhofhhilhgvmecuoffgnecuuegrihhlohhuthemuceftddtnecusecvtfgvtghiphhivghnthhsucdlqddutddtmdenvhgvnhgurhgvughiucdlqdehtddm
X-AntiVirus: checked (incoming) by AntiVir MailGuard (Version: 8.0.0.45; AVE:
8.2.0.109; VDF: 7.1.2.161)


--_DB5A4842-3A84-88FC-E775-20924DE3E864_
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain; charset="iso-8859-1"

Ok pour la venue d'alex ce vendredi 13 mars vers 18/19h à bordeaux

Jean=

--_DB5A4842-3A84-88FC-E775-20924DE3E864_
Content-Transfer-Encoding: quoted-printable
Content-Type: text/html; charset="iso-8859-1"

<HTML><HEAD><META HTTP-EQUIV='Content-Type'
CONTENT='text/html; charset=
=iso-8859-1'></HEAD><BODY><SPAN style='FONT-SIZE: 10pt;
FONT-FAMILY: Ar=
ial; FONT-WEIGHT:Normal;'>Ok pour la venue d'alex ce vendredi 13 mars vers
=
18/19h à bordeaux
<br><br>Jean</SPAN></BODY></HTML>=

Microsoft Windows XP [version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:Documents and SettingsUtilisateur>nslookup 193.253.141.89
Serveur : WANConnectionDevice.home
Address: 192.168.1.1

*** WANConnectionDevice.home ne parvient pas à trouver 193.253.141.89 :
Non-exis
tent domain

Site où l'adresse IP est signalée :
http://www.projecthoneypot.org/ip_193.253.141.89

Ripe data base :



Query the RIPE Database
Search for


Switch to the RIPE TEST Database


% This is the RIPE Whois query server #3.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html
% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.
% Information related to '193.253.141.0 - 193.253.141.255'
inetnum: 193.253.141.0 - 193.253.141.255
netname: ORANGE-FR
descr: Orange
descr: MDSP Project
country: FR
admin-c: PV3682-RIPE
tech-c: HT403-RIPE
tech-c: ER1049-RIPE
status: ASSIGNED PA
mnt-by: FT-BRX
source: RIPE # Filtered
role: EXPERT Reseau
address: ORANGEFRANCE
address: 1 avenue Nelson Mandela, 94745 Arcueil Cedex
phone: +33155459420
fax-no: +33155459449
e-mail:
admin-c: ER1049-RIPE
tech-c: ER1049-RIPE
nic-hdl: ER1049-RIPE
mnt-by: FT-BRX
source: RIPE # Filtered
person: Patrick Vignault
address: ORANGE FRANCE
address: 1 avenue Nelson Mandela, 94745 Arcueil Cedex
phone: +33155222874
e-mail:
nic-hdl: PV3682-RIPE
mnt-by: FT-BRX
source: RIPE # Filtered
person: Herve Therry
address: ORANGEFRANCE
address: 1 avenue Nelson Mandela, 94745 Arcueil Cedex
e-mail:
phone: +33 1 55 22 18 02
fax-no: +33 1 55 22 12 02
mnt-by: FT-BRX
nic-hdl: HT403-RIPE
source: RIPE # Filtered
% Information related to '193.253.0.0/16AS3215'
route: 193.253.0.0/16
descr: France Telecom
origin: AS3215
mnt-by: FT-BRX
source: RIPE # Filtered
Legend
Bold: Object type
Underlined: Primary key
Hyperlink: Searchable attribute


5 objects found for '193.253.141.89'
Further Information
RIPE Whois Documentation
RIPE DB Free-text Search (Glimpse)


Other RIRs Database Search: AfriNIC


Voici ce que j'ai trouvé sur un autre site : apparemment cette adresse IP véhiculait un cheval de troie le jour où j'ai reçu le message. Comment puis-je faire pour l'enlever de mon PC, s'il y est ? J'ai fait un scan virus qui ne détecte aucune infections. Copié-collé et lien du site qui signale un cheval de troie sur cette adresse IP (d'où les fuites dans ma messagerie, peut-être ? )

http://cbl.abuseat.org/lookup.cgi?ip3.253.141.89&.submit=Lookup

IP Address 193.253.141.89 is currently listed in the CBL.
It was detected at 2009-03-16 09:00 GMT (+/- 30 minutes), approximately 2 days, 6 hours ago.
It has been relisted following a previous removal at 2009-03-12 19:39 GMT
ATTENTION: At the time of detection, this IP was infected with, or NATting for a computer infected with a high volume spam sending trojan - it is participating or facilitating a botnet sending spam or spreading virus/spam trojans.
ATTENTION: If you simply repeatedly remove this IP address from the CBL without correcting the problem, the CBL WILL eventually stop letting you delist it and you will have to contact us directly.
This is the pharma2 spamBOT
You MUST patch your system and then fix/remove the trojan. Do this before delisting, or you're most likely to be listed again almost immediately.
If this IP is a NAT firewall/gateway, you MUST configure the NAT to prevent outbound port 25 connections to the Internet except from your real mail servers. Please see our recommendations on NAT firewalls
The Microsoft MSRT (Malicious Software Removal Tool) stands a good chance of being able to find/remove the malicious software. If you can find which machine[s] the malware is on.
Request delisting of 193.253.141.89.

<< Back to CBL homepage
David D.
Le #18932771
Les abonnés d'orange se font souvent blacklister leur IP car ce sont
assez souvent des débutants dont les PC sont infectés par des trojans.

Si votre IP est dynamique (change régulièrement), ce n'est peut etre
pas vous mais une autre personne qui est infectée.
Yannick Palanque
Le #18936591
baronsamedi écrivit :
Voici ce que j'ai trouvé sur un autre site : apparemment cette adresse
IP véhiculait un cheval de troie le jour où j'ai reçu le message.
Comment puis-je faire pour l'enlever de mon PC, s'il y est ?



Posez la question sur fr.comp.securite.virus :-)

--
« Quand je serai grand, je ferai des bug reports sur la LKML »
-- Octane in fcolm
Publicité
Poster une réponse
Anonyme