Références d'un cloud antivirus : Panda 11G26Juillet2011
Septembre 2011i04 : plusieurs messages usurpant Facebook référencent des liens dangeueux comme : session12909156105949.permitds.com
Expéditeur : notification+ub3g5yy@facebookmail.com
Plusieurs messages usurpant Facebook sont des spam's : pharmacypillsapr.com ou rehberli.com (introspections.html : illegal pharmacy)
Expéditeur : notification+ifkomrfttnft@textfacebook.com : You have 1 lost message on Facebook
Received: from static-62-233-202-136.devs.futuro.pl (62.233.202.136) by [removed]club.fr with SMTP; 2 Sep 2011 10:13:09 +0200 X-Facebook: from zuckmail ([MTI3LjAuMC4x]) by textfacebook.com with HTTP (ZuckMail); Date: Fri, 2 Sep 2011 12:06:06 -0700
static-62-233-202-136.devs.futuro.pl : Netia Telekom S.A. Contact Role - Warszawa - Poland
Août 2011H12 - Email (helo=clarinet) contenant un virus (Mydoom.R) :
Return-path:
<vincent@clarinet.u-strasbg.fr>
X-Spam-Score: 1
Received: from vps.sarthakhosting.com (unverified [173.237.189.19]) by
mail[removed.].net (Rockliffe SMTPRA 9.4.1) with ESMTP id
<B0015301894@mail10.e-zone.net> for <vinosoft@[removed.]com>; Fri,
12 Aug 2011
14:12:15 +0200
Message-ID: <B00[removed]894@mail[removed.]net> Received: from [122.160.70.107]
(helo=clarinet.u-strasbg.fr) by vps.sarthakhosting.com with esmtp (Exim 4.69)
(envelope-from <vincent@clarinet.u-strasbg.fr>) id 1Qrq2[removed]5nN-90 for
vinosoft@[removed.]com; Fri, 12 Aug 2011 17:06:50 +0530
From: vincent@clarinet.u-strasbg.fr
To: vinosoft@[removed.]com
Subject: [virus Win32/Mydoom.R worm]
Status
Date: Fri, 12 Aug 2011 17:18:16 +0530
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0012_672E664E.AD755872"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MIMEOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
X-AntiAbuse: This header was added to track abuse, please include it with any
abuse report
X-AntiAbuse: Primary Hostname - vps.sarthakhosting.com
X-AntiAbuse: Original Domain - [removed.]com
X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]
X-AntiAbuse: Sender Address Domain - clarinet.u-strasbg.fr
X-NOD32Result: Infected,
Win32/Mydoom.R worm
Related : clarinet.u-strasbg.fr - clarinet.u-strasbg.fr/~lucas
Related : ABTS-North-Static-107.70.160.122.airtelbroadband.in 122.160.70.107 Broadband and Telephone Service 224,Okhla Phase III, New Delhi, India
Related 2011H16 : [virus Win32/Mydoom.R worm] Delivery failed
Return-path:
<postmaster@[removed].com>
X-Spam-Score: 5
Received: from vps.sarthakhosting.com (unverified [173.237.189.19]) by
mail10.[removed].net (Rockliffe SMTPRA 9.4.1) with ESMTP id
<B0015380435@mail10.[removed].net> for <vinosoft@[removed].com>; Tue,
16 Aug 2011
07:05:26 +0200
Message-ID: <B0015380435@mail10.[removed].net>
Received: from [122.160.70.107
: Broadband and Telephone Service 224,Okhla Phase III, New Delhi,
India]
(helo=[removed].com) by vps.sarthakhosting.com with esmtp (Exim 4.69)
(envelope-from <postmaster@[removed].com>) id 1QtBdv-0005C5-1y for
vinosoft@[removed].com; Tue, 16 Aug 2011 10:22:49 +0530
From: "Mail Administrator" <postmaster@[removed].com>
To: vinosoft@[removed].com
Subject: [virus Win32/Mydoom.R worm]
Delivery failed
Date: Tue, 16 Aug 2011 10:34:45 +0530
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0005_E05B341A.1064F747"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MIMEOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
X-AntiAbuse: This header was added to track abuse, please include it with any
abuse report
X-AntiAbuse: Primary Hostname - vps.sarthakhosting.com
X-AntiAbuse: Original Domain - [removed].com
X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]
X-AntiAbuse: Sender Address Domain - [removed].com
X-NOD32Result: Infected,
Win32/Mydoom.R worm
Related 2011H22 : [virus Win32/Mydoom.R worm] Returned mail: Data format error
Return-path:
<postmaster@[removed].com>
X-Spam-Score: 5
Received: from vps.sarthakhosting.com (unverified [173.237.189.19]) by
mail10.[removed]e.net (Rockliffe SMTPRA 9.4.1) with ESMTP id
<B0015617745@mail10.[removed].net> for <vinosoft@[removed].com>; Mon,
22 Aug 2011
12:47:54 +0200
Message-ID: <B0015[removed]45@mail10.[removed].net>
Received: from [122.160.70.107]
(helo=[removed].com) by vps.sarthakhosting.com with esmtp (Exim 4.69)
(envelope-from <postmaster@[removed].com>) id 1QvRpx-00056j-6b for
vinosoft@[removed].com; Mon, 22 Aug 2011 16:04:39 +0530
From: "Mail Delivery Subsystem" <postmaster@[removed].com>
To: vinosoft@[removed].com
Subject:
[virus Win32/Mydoom.R worm]
Returned mail: Data format error
Date: Mon, 22 Aug 2011 16:17:06 +0530
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0013_52B820DB.74891AC3"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MIMEOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
X-AntiAbuse: This header was added to track abuse, please include it with any
abuse report
X-AntiAbuse: Primary Hostname - vps.sarthakhosting.com
X-AntiAbuse: Original Domain - [removed].com
X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]
X-AntiAbuse: Sender Address Domain - [removed].com
X-NOD32Result: Infected,
Win32/Mydoom.R worm
Received: from
vps.sarthakhosting.com (unverified [173.237.189.19]) by mail10.[removed].net
(Rockliffe SMTPRA 9.4.1) with ESMTP id <B0015663458@mail10.[removed].net> for
<vinosoft@[removed].com>; Tue,
23 Aug 2011 12:34:17 +0200
Message-ID: <B0015663458@mail10.[removed].net>
Received: from [122.160.70.107]
....
....
Subject: [virus Win32/Mydoom.R worm] DELIVERY REPORTS ABOUT YOUR E-MAIL
Email référençant un site suspect : http://microsoft.windowslive.com
11G09
"vos paramètres de connexion Facebook sur Windows Live" ou "http://profile.live.com/services/" = http:// microsoft.windowslive.com/Key-7371902.D.k6hp.Gh.HB.HfH37p
Authentication-Results: hotmail.com;
sender-id=temperror (sender IP is 65.55.34.16) header.resent-from=[removed]@live.be;
dkim=none header.d=microsoft.windowslive.com; x-hmca=none
X-Message-Status: n:0:n
X-SID-PRA: [removed]@live.be
X-DKIM-Result: None
X-AUTH-Result: NONE
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0xO0Q9MTtTQ0w9MA==
X-Message-Info:
1MbNyKYGbyxkf660Ty0yzIg3XPQilCyCqyUrXFunsioXDPZbRa5VQh0WFYeixHpTicnbTnoSo6r1qruI0945ADlr7VgEq1sIDiX6LqKb46eQKjmOuPtsYhZFWiBf4FKV4y+5GHfmtv8=
Received: from col0-omc1-s6.col0.hotmail.com ([65.55.34.16]) by
col0-hmmc2-f12.Col0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675); Fri, 8
Jul 2011 20:26:12 -0700
Received: from COL0-MC2-F10.phx.gbl ([65.55.34.8]) by
col0-omc1-s6.col0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675); Fri, 8 Jul
2011 20:26:03 -0700
Resent-Message-ID: <COL0-MC2-F1078C203DDA5A338821E62D5430@phx.gbl>
Resent-To: [removed]@hotmail.com
Resent-Date: Fri, 8 Jul 2011 20:26:04 -0700
Resent-From: [removed]@live.be
X-HM-Routing-Path:2HVItIO+TLtM3GS+Pv+ZvXNuWvlSPIT9sBz2nVVaCwzNB6Lnn0J/Lrcc3BYe0OWlOWuYgZUsO9zgiXuA0b42mHec56SJdf0poDTTzUqfGKFuP9bQ5Xt98CR+R8ESOB0dd/GVrSTAl2T8unwz4R/nkB7KcG6mrDLP1NRxPW8+IyfVwiB8zH9u+g==
Received: from servera02.tk2adsmtpe.msn.com ([207.46.222.216]) by
COL0-MC2-F10.phx.gbl with Microsoft SMTPSVC(6.0.3790.4675); Fri, 8 Jul 2011
20:26:03 -0700
Received: from by2gbipcme03.phx.gbl ([10.2.94.21]) by
servera02.tk2adsmtpe.msn.com with Microsoft SMTPSVC(6.0.3790.4675); Fri, 8 Jul
2011 20:26:02 -0700
Date: Fri, 08 Jul 2011 20:26:02 -0700 (PDT)
From: =?ISO-8859-1?Q?L'=E9quipe_Windows_Live?=
<communications_msn_cs_frbe@microsoft.windowslive.com>
To: [removed]@live.be
Message-ID:
<em.9acbf4fc.20110708193625.2.250.4819341.7371902@microsoft.windowslive.com>
Subject: =?ISO-8859-1?Q?Se_reconnecter_=E0_Facebook?=
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary=-----1310cee3320_21f
X-Mailer: 7.2.2.0.33; msn
Return-Path: communications_msn_cs_frbe@microsoft.windowslive.com
X-OriginalArrivalTime: 09 Jul 2011 03:26:03.0603 (UTC)
FILETIME=[EE8F9A30:01CC3DE7]
207.46.222.216 = servera02.tk2adsmtp4.msn.com = One Microsoft Way
65.55.34.8 = One Microsoft Way
spammy9876 - 03/13/2011 : Spam
A message reading "Dear Messenger User, We have just released a new version of
Messenger which includes important security updates to help keep you and your
friends safe while you chat online. All Messenger users will be required to have
the latest version to continue using the service. More information is available
here Thanks, The Messenger Team" looks very suspicious. Even the "Microsoft
Privacy Statement" goes to microsoft.windowslive.com/Key=63924.Dd12V.H.GY.Fb4syJ
and a link pretending to go to download.live.com goes to a link similar to the
one above. Doesn't look good."
http://microsoft.windowslive.com = Not Found - The requested object does not exist on this server. The URL you entered is inaccurate. Please be sure to include the entire KEY field for proper access.
"Facebook" est un sujet favori pour les spammeurs :
Le destinataire de ce message n'a pas de compte Facebook.
Le spam-site référencé est kairosam.co.za
USB Key - Autorun.inf : cheval de Troie / Trojan
FB11F23w3dn9f.bat
Mai 2011E03 - Phishing/Arnaque
Headers :
Return-path:
<paypaI@contact.fr>
X-Spam-Score: 9
Received: from mail.forumedia.eu (unverified [193.254.187.80 : vautron.de]) by
mail[removed] (Rockliffe SMTPRA 9.4.1) with ESMTP id <B0010823043@mail[removed]>
for <vinosoft@[removed]>; Tue, 3 May 2011 22:58:02 +0200
Received: from User (unknown [41.140.127.199]) by mail.forumedia.eu (Postfix)
with ESMTPA id 67D774CAFDC; Tue, 3 May 2011 22:18:07 +0200 (CEST)
Reply-To: <paypaI@contact.fr>
From: "PayPal"<paypaI@contact.fr>
Subject: Demande De Virement De Solde Sur
Votre Compte Bancaire !
Date: Tue, 3 May 2011 20:18:11 -0000
MIME-Version: 1.0
Content-Type: text/html;
charset="us-ascii"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Message-Id: <20110[removed]CAFDC@mail.forumedia.eu>
To: undisclosed-recipients:;
Informations concernant votre
compte:
Dans le cadre de nos mesures de sécurité, Nous vérifions régulièrement
l'activité de l'écran PayPal. Nous avons demandé des informations à vous pour la
raison suivante:
Notre système a détecté des charges inhabituelles à une carte de crédit liée à
votre compte PayPal.
Numéro de Référence: PP-259-187-991
C'est le dernier rappel pour vous connecter à PayPal, le plus tôt possible. Une
fois que vous serez connecter. PayPal vous fournira des mesures pour rétablir
l'accès à votre compte.
une fois connecté, suivez les étapes pour activer votre compte . Nous vous
remercions de votre compréhension pendant que nous travaillons à assurer la
sécurité compte.
Cliquer ici pour vérifier votre compte
Nous vous remercions de votre grande attention à cette question. S’il vous plaît
comprenez que c'est une mesure de sécurité destinée à vous protéger ainsi que
votre compte. Nous nous excusons pour tout inconvénient..
Département de revue des comptes PayPal
mail.forumedia.eu (193.254.187.80) = vautron.de
"Cliquer ici pour vérifier votre compte" -> alarmtopsecurity.com/service/service/@/PayPa/france/webscr.php = hameçonnage/arnaque
Test 04/05/2011 (arnaque@alarmtopsecurity.com)
Ce que l'on encode ici n'arrive pas chez PayPal mais bien sur un site pirate.
Mai 2011E12 : verifiebyvisa.altervista.org/contact.verifiedbyvisa.belgique.be Verified by VISA - Phishing
More bad email 2011E12 : Cliquer ici pour vérifier votre compte Paypal (altervista.org)
More bad email : Visa Card 2011E17 : Vereniging voor Bos in Vlaanderen (vbv)
Return-path: <Service@vbv.be>
X-Spam-Score: 9
Received: from foxy.foxhost.ca (unverified [184.107.166.90]-Montreal)
by [removed].net
(Rockliffe SMTPRA 9.4.1) with ESMTP id <B0011747778@[removed].net>
for <vinosoft@[removed].info>;
Tue, 17 May 2011 15:07:34 +0200
Message-ID: <B0011747778@[removed].net>
Received: from
[41.142.137.111 : Maroc Telecom
- Rabat - Morocco] (helo=User) by foxy.foxhost.ca with esmtpa (Exim 4.69)
(envelope-from <Service@vbv.be>) id 1QMJYj-0006cr-NW; Tue, 17 May 2011 08:39:34
-0400
Reply-To: <Service@vbv.be>
From: "Verified By
VISA"<Service@vbv.be>
Subject: Cher client de Visa
Card ,Votre Carte Bancaire est suspendue
Date: Tue, 17 May 2011 12:37:55 -0000
MIME-Version: 1.0
Content-Type: text/html;
charset="us-ascii"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
X-AntiAbuse: This header was added to track abuse, please include it with any
abuse report
X-AntiAbuse: Primary Hostname - foxy.foxhost.ca
X-AntiAbuse: Original Domain -
[removed].info
X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]
X-AntiAbuse: Sender Address Domain - vbv.be
<img src="http://www.abnamro.nl/en/images/Generiek/Afbeeldingen/020_Priv%25C3%25A9/Blikvangers/Securecode.jpg"
alt="Verifedbyvisa"
Related : verifiedinfomati.altervista.org/Authentification.verified.by.visa.account%20information.be/ 2011e20
Mai 2011E28 - Email contenant un virus :
28/05/2011 8:56:52 IMON email message from: "jessica"<noreply@netlogmail.com> to: undisclosed-recipients:; with subject Ich weiß nicht, dated Sat, 28 May 2011 02:10:18 +0200 downloaded from server 80.[removed : pop server].204:110 a variant of Win32/Injector.GPL trojan contained infected files.
Avril 2011D28-29 - Email contenant un virus :
29/04/2011 IMON email message from: "Broadcast Music, Inc." <8cwiymnf6gppplufatqlhuilp@ms2.hinet.net> with subject Your Order No 447901 - Broadcast Music, Inc.
Dated Thu, 28 Apr 2011 17:00:22 -0300 downloaded from server 80.245.60.97:110 (pop de cette adresse email) Win32/TrojanDownloader.FakeAlert.BKK trojan contained infected files
Thank you for ordering from
Broadcast Music, Inc.
This message is to inform you that your order has been received and is currently
being processed.
Your order reference is 448301. You will need this in all correspondence. This
receipt is NOT proof of purchase. We will send a printed invoice by mail to your
billing address.
You have chosen to pay by credit card. Your card will be charged for the amount
of 536.00 USD and "Broadcast Music, Inc." will appear next to the charge on your
statement. l
Your purchase information appears below in the file. Broadcast Music, Inc.
Warning: NOD32 antivirus system found the following in the message : Order
details.zip - Win32/TrojanDownloader.FakeAlert.BKK trojan - renamed to Order
details.vzip
Return-Path: <8cwiymnf6gppplufatqlhuilp@ms2.hinet.net> Delivered-To: 418-vino[removed]lecom.com Received: (qmail 26398 invoked from network); 28 Apr 2011 22:00:25 +0200 Received: from 189-31-252-172.cscgo702.dsl.brasiltelecom.net.br (HELO brasiltelecom.net.br) (189.31.252.172) by go[removed]m.[removed]club.fr with SMTP; 28 Apr 2011 22:00:23 +0200 Received: from [41.108.209.32 (Algeria)] (account a8asper@adamjeeinsurance.com HELO guxgcozdcwjigjs.xdbehtnfth.va) by brasiltelecom.net.br (CommuniGate Pro SMTP 5.2.3) with ESMTPA id 755917166 for vino[removed]lecom.com; Thu, 28 Apr 2011 17:00:22 -0300 Date: Thu, 28 Apr 2011 17:00:22 -0300 From: "Broadcast Music, Inc." <8cwiymnf6gppplufatqlhuilp@ms2.hinet.net> X-Mailer: The Bat! (v3.0.0.15) Educational X-Priority: 3 (Normal) Message-ID: <3698642565.GO2G3E6T149613@dbdlijmtwbbt.rlhdvyhr.net> To: <vino[removed]lecom.com> Subject: [virus Win32/TrojanDownloader.FakeAlert.BKK trojan] Your Order No 447901 - Broadcast Music, Inc. MIME-Version: 1.0 Content-Type: multipart/mixed; boundary="----------A1F724D66066F4" X-Antivirus: avast! (VPS 000773-1, 06/09/2007), Outbound message X-Antivirus-Status: Clean X-NOD32Result: Infected, Win32/TrojanDownloader.FakeAlert.BKK trojan
Related : http://www.eset.com/us/threat-center/encyclopedia/threats/win32autorunfakealertaf
server 80.245.60.97 :
41.108.209.32 :
Avril 2011D19JDES/JOEL/L550 - Malware de type "Windows Recovery".
Restore system à une date antérieure : OK ... une disponible mais ... pas de changement de la situation.
Les User's data ne sont plus accessibles;
c'est même l'entièreté du disque système qui est affecté
Le contenu du disque dur c:\ est
inaccessible ( "Le
dossier est vide")
Gestionnaire des tâches : grisé (cfr. modification de la registry par l'infection)
Infections : plusieurs Trojan Horses.
Impossible d'installer un logiciel supplémentaire comme Malwarebytes’ Anti-Malware ou SUPERAntiSpyware (recommandés pour ce type d'infections).
Le PC infecte les clés USB.
[random].exe = 33808136.exe = le processus malin.
AllUsersProfile%\Application Data\[random].exe : Windows Recovery will display a lot of fake alerts that warn about critical system errors, hardware failure, etc ...
Exemple des faux messages d'alerte (défaillance du disque dur)
Les fichiers associés à cette la contamination : %AllUsersProfile%\Application Data\~[random] - %AllUsersProfile%\Application Data\~[random]r - %AllUsersProfile%\Application Data\[random].dll - %AllUsersProfile%\Application Data\[random].exe - %UserProfile%\Desktop\Windows Recovery.lnk - %UserProfile%\Start Menu\Programs\Windows Recovery\ - %UserProfile%\Start Menu\Programs\Windows Recovery\Uninstall Windows Recovery.lnk - %UserProfile%\Start Menu\Programs\Windows Recovery\Windows Recovery.lnk - Processus : %AllUsersProfile%\Application Data\[random].exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "[random].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "[random]"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
"CertificateRevocation" = '0'
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
"WarnonBadCertRecving" = '0'
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop
"NoChangingWallPaper" = '1'
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations
"LowRiskFileTypes" = '/{hq:/s`s:/ogn:/uyu:/dyd:/c`u:/bnl:/ble:/sdf:/
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments
"SaveZoneInformation" = '1'
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
"DisableTaskMgr" = '1'
Windows Recovery is a misleading program that pretends to be a legitimate and useful system repair software. It will detect hardware and registry errors, state that can improve the performance your computer. However, you should never believe in it! WindowsRecovery can not detect and fix any system problems. This parasite is created with one purpose, to steal your money. Windows Recovery is distributed via trojans. On first start, this malware registers itself in the registry Windows, to run automatically. Further, the program starts the process of scanning a machine whose result is the discovery of the set of serious system problems, e.g “Data Safety Problem. System integrity is at risk.”, “Registry Error – Critical Error.”, “Ram Temperature is 83 C. Optimization is required for normal operation.”, etc. Then as the scan is complete, you get a prompt to purchase its full version and fix the system.
Windows Recovery : Malgré tous les efforts
de l'industrie de sécurité en ligne pour mettre en garde ses utilisateurs sur
les dangers de laisser des outils de sécurité rusés se déplacer librement sur
leurs systèmes de nombreux utilisateurs de PC continuent à tomber pour les
campagnes de marketing habile employé par les voleurs comme Windows Recovery.
Windows Recovery n'a pas la capacité de détecter ou de supprimer n'importe quel
type d'infection ou de menace d'un système. Il se sert des chevaux de Troie
séditieux pour raciner de son infection dans le système et fera tout son
possible afin de réussir à escroquer l'utilisateur d’autant d'argent que
possible.
Ce virus entre dans le système dans
des circonstances suspectes et restera caché de l’utilisateur jusqu'à ce qu'elle
décide de lancer son attaque sur le système.
Le premier indice, l'utilisateur aura quant à la présence de Windows Recovery
sur son système viendra des différentes alertes de sécurité fausses générées par
Windows Recovery. Ces fausses notifications de sécurité ont été conçues pour
faire paniquer l'utilisateur en lui faisant croire que son système est sous
attaque. Windows Recovery offrira généreusement à supprimer ces prétendues
menaces à tort dès que le consommateur paie pour ces produits sans valeur.
- "depuis 3 jours j'essaye de réparer mon pc"
- "pénètre généralement dans le PC via un Trojan qui présente de faux rapports d'erreur et des avertissements de sécurité sur le PC attaqué"
Related : Acr-onis boot-cd / backup data to internal-hd part-2 / restore data to USB/key / send data to User via Email / restore the backup of the system (from USB-backup-disk prévu à cet usage, commun Joel/François).
Quelques updates depuis septembre 2010 : +/- 120 Mb + SP1 (+/- 540 Mb en 32-bit) + Java + Adobe + DivX + Antispyware + Antivirus + .... : +/- 2 heures
Avril 2011D05-08 - Pollution chez Sarah ... en analyse ... mais à première vue : un spam super classique déjà bien connu en 2006 : simple publicité pour un site de vente de médicamments "sans ordonnance"
Headers du message :
X-Belgacom-Dynamic: yes
X-IronPort-Anti-Spam-Filtered: true
X-IronPort-Anti-Spam-Result:
AhrdACHPmk1tgYYF/2dsb2JhbACCWwaHO4o2hA6GHAuFfWV3hlYBghsBuU2FawSRAIM3
Received: from 5.134-129-109.adsl-dyn.isp.belgacom.be ([109.129.134.5]) by
relay.skynet.be with ESMTP; 05 Apr 2011 10:22:56 +0200
Received: from [109.129.134.5]
(HELO TCIPVBK) by 5.134-129-109.adsl-dyn.isp.belgacom.be (8.14.3/8.14.3) with
SMTP id 39790587 for rrddvmj@yaho.com; Tue, 05 Apr 2011 10:23:06 +0100
Message-ID: <000001cbf36ab07fa7700586816d@5.134129109.adsldyn.isp.belgacom.be>
From: "Toni Suttle"
<sekqzg@link-yellow-pages.com>
To: rrddvmj@yaho.com
Subject: sseexexxual and erotic piilllls
Date: Tue, 05 Apr 2011 10:23:06 +0100
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0000_01CBF36A.B07FA770"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2458
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.3169
This is a multi-part message in MIME format ....
Corps du message :
dickname real causes of George's sickness and mental
depression. It was in vain philjlls for sesesx : cuthut.com/Q3O =
adfmedic.com : Kanadisches Gesundheitseinkaufszentrum
= Canadian Pharmacy)
the most beauteous flowers of the parterre. This bouquet of light had
democrat claims resurrection
5.134-129-109.adsl-dyn.isp.belgacom.be (109.129.134.5) = ADSL-GO-PLUS - Belgacom ISP SA/NV
Mars-Avril 2011D08/PC103deM : débit intempestif de €29,99. Soupçons de l'Utilisateur : Pctools Registry Mechanic
N'a pas encore pu être vérifié; pourrait aussi être (selon nous) un solde de rogue ... affaire en cours.
Mars-Avril 2011D05/PVV[2010]/C2D-E6400/PC139VY2[2009]
- http://www.fasterpccleanclean.com/fr/enlever-windows-safemode
- http://fr.pcthreat.com (fr.pcthreat.com/parasitebyid-17901fr.html)
%Temp%\[random] - %Temp%\[random].exe - %Temp%\dfrg - %Temp%\dfrgr - sur 2 bureaux (Famille & Administrateur)\Windows Safemode.lnk - %Programs%\Windows Safemode - %Programs%\Windows Safemode\Windows Safemode.lnk - "Windows Boot Failure"
Après élimination de tous les fichiers suspects (via Boot-CD File Manager - dont des fichiers_à_noms_numériques.exe), l'écran bleu BSOD est la seule réponse que l'on obtient quelque soit l'option F8 choisie au démarrage.
D'autres avancées ont été obtenues (via registry restore par exemple, ...) mais aucune n'a ramené une situation saine pour tous les Utilisateurs. Aussi présent : XP Security 2011
Restore Image-Disk from Ata-160InBox-2010 / Restore User's-Data-Iomega-Backup USB-Disk-2011A / Creates new Image-Disk on new Sata-250InBox2011D
Mars 2011C14 : message électronique avec un fichier attaché qui contient un bon vieux virus de 2004 !
Headers :
Return-path: <postmaster@[removed-1]>
X-Spam-Score: 5
Received: from ns.tgl.ru (unverified [85.26.162.200]) by mail10.[removed-2]
(Rockliffe SMTPRA 9.4.1) with ESMTP id <B0008134052@mail10.[removed-2]>
for <vinosoft@[removed-1]>;
Mon, 14 Mar 2011 12:44:18 +0100
Received: from
[removed-1] (unknown [10.1.0.30]) by
ns.tgl.ru (Postfix) with
ESMTP id 4845E1503CE for <vinosoft@[removed-1]>;
Mon, 14 Mar 2011 14:37:20 +0300 (MSK)
From: "MAILER-DAEMON" <postmaster@[removed-1]>
To: vinosoft@[removed-1]
Subject: [virus Win32/Mydoom.R worm] Returned mail: see transcript for details
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MIMEOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Message-Id: <201103141[removed-3]03CE@ns.tgl.ru>
X-NOD32Result: Infected,
Win32/Mydoom.R
worm de
2004 -
2006
ns.tgl.ru = 85.26.162.200 = Meria - Togliatty - Samara, Russia
Février 2011B23 P_CORB_JPH_FUJI
Rongé jusqu'à la moelle; il est devenu impossible d'utiliser ce portable.
On trouve (dans l'arborescence des Program Files) de nombreux "mots-clés" associés à des nuisances ou des programmes accidentellement installés : Norton Internet Security & McAfee Security Scan, Family Toolbar, Application Updater, Installer, Uniblue et PCFix ["C'est ... un piège à fric"] !
Infos and/or Related : assiste.com.free.fr - nettoyage
Comment choper Uniblue :
En téléchargeant Free MediaCoder x64, par exemple.
Après avoir sauvegardé toutes ses données, et vu l'état sanitaire du système opératoire, le Propriétaire décide de réinstaller le XP-Rescue-DVD.
Fujitsu Siemens AMILO PI 1536 (BIOS : 04MAR2006) - Note : le Rescue DVD ne contient que l'OS; les pilotes sont sur un CD spécifique et doivent être installés un à un (sans oublier l'optionnel [WiFi]).
Nous vérifions l'état SMART du disque dur (SATA-150 ST9120821AS - 120 Gb - 5400 RPM) et nous lui donnons le feu vert :
|
|
|
|
|
OK |
à quel stade se trouve windows XP ?
Réponse : novembre 2005; il y a un peu plus de 5 ans.
SP3 ...
etc :
Un rogue, un de plus : am.exe & ruauopnhw\igygowysika.exe - Win32/Adware.SpywareProtect2009 application.
Spyware Protect 2009, connu aussi comme SpywareProtect2009, SpywareProtect
2009, Spyware Protect2009, est un logiciel indésirable contre les espions
d'habitude installé par Trojan Vundo. Une fois infecté par Spyware Protect 2009,
vous recevrez beaucoup de fausses alertes de sécurité et des résultats du
scanner du système en annonçant que votre ordinateur est infecté avec un espion.
Pour enlever les infections espions supposées, Spyware Protect 2009 vous
obligera alors d'acheter le logicil comple Spyware Protect 2009 de son site
(Spyware Protect 2009.com) pour $79.95 ou $49.95. Le site de Spyware Protect
2009 peut sembler un site légitime, quand-même, Spyware Protect 2009.com est le
lieu d'une grande arnaque. Spyware Protect 2009.com n'offre aucune possibilité
de contact ou information sur la compagnie, tout ce qu'il a est un article
contenant les fausses réalisations de la compagnie.
Spyware Protect 2009 is just more scamware, disguised as antispyware software. You probably got infected with Spyware Protect 2009 through Conficker, the headline-making worm that’s infected millions of PCs. Like other scareware, Spyware Protect 2009 tells you you’re infected with imaginary threats, and then demands you use Spyware Protect 2009 to remove them. Even if you see through the scam, you’re sanity is threatened by a Spyware Protect 2009 alert.
|
|
|
|
|
|
|
Proxy-settings modified (Internet options).
Egalement présents (Sypbot) : Win32.Agent.fbx & Win32.PornPopUp : Cookie traceur (Firefox-Cath) - DoubleClick: Cookie traceur (Chrome) - Win32.Pornpopup is a malicious Trojan designed to exploit Windows' security flaws to display x-rated adult content as pop-ups. Win32.Pornpopup can potentially put your privacy at risk by stealing personal data from the PC. Remove Win32.Pornpopup immediately once detected using an efficient malware remover.
Février 2011B04 - Un message électronique contenant un lien vérolé :
à ne pas taper dans votre navigateur : http:// walentfoto.vdnet.lt/numero.exe
Note : l'expéditeur est une de nos relations amicales.
HEADERS :
Return-path: <[removed]@yahoo.fr>
X-Spam-Score: 5
Received: from nm15.bullet.mail.ukl.yahoo.com (unverified [217.146.183.189]) by
mail10.e-zone.net (Rockliffe SMTPRA 9.4.1) with SMTP id <B00[removed]8895@mail10.[removed].net>
for <[removed].com>;
Fri, 4 Feb 2011 15:55:19 +0100
Received: from [217.146.183.212] by nm15.bullet.mail.ukl.yahoo.com with NNFMP;
04 Feb 2011 14:51:57 -0000
Received: from [217.146.183.176] by tm5.bullet.mail.ukl.yahoo.com with NNFMP; 04
Feb 2011 14:51:57 -0000
Received: from [127.0.0.1] by omp1017.mail.ukl.yahoo.com with NNFMP; 04 Feb 2011
14:51:57 -0000 X-Yahoo-Newman-Property: ymail-3 X-Yahoo-Newman-Id:
791178.92963.bm@omp1017.mail.ukl.yahoo.com
Received: (qmail 49441 invoked by uid 60001); 4 Feb 2011 14:51:57 -0000
Message-ID: <599[removed].48904.qm@web26507.mail.ukl.yahoo.com>
Received: from [80.226.195.66] by web26507.mail.ukl.yahoo.com via HTTP; Fri, 04
Feb 2011 14:51:57 GMT
X-Mailer: YahooMailWebService/0.8.108.291010
Date: Fri, 4 Feb 2011 14:51:57 +0000 (GMT)
Related : Fotografas - Walentinas Ronil - Lithuania - Vilnius
Suivi : j'ai demandé à ROLAND de prévenir ses contacts; ce qui fut fait :
mais :
La bestiole semble donc vraiment dangereuse : "le PC" qui a exécuté le fichier.exe "est hors circuit" et "il est pour 3 jours en réparation chez" notre informaticien.
2011B11 - MSN - Méfiez-vous de :
"Salut, ca va toi ? J'ai trouve un site trop pratique ou tu peux voir qui
t'a bloque sur MSN, C'est
http://www.messgo.org/?/qui-te-bloque/
Fais un test tu verras qui te bloque sans que tu le saches ... Ciao ;) - Ton
ami, stef197[removed]
ou : "Hi, how are you ? I found a great website where you can view you is blocking you on MSN Messenger, This is http://messgo.org/?/who-blocks-you "
= http:// s1.who-blocks.com/v1/
Ancienne référence : virus2007 - Messenger
14 février
2011B14
: MSN - Méfiez-vous de :
"Hi, how are you ? - I found a great website where
you can view you is blocking you on MSN Messenger, This is http://
bit.ly/gslBs1"
Make the test, it's very quick, and you will able to know who blocks you
!
Bye bye ;). Your friend, jbia...
Received: from col0-omc1-s15.col0.hotmail.com
([65.55.34.25]) by col0-hmmc1-f3.Col0.hotmail.com with Microsoft
SMTPSVC(6.0.3790.4675); Sun, 13 Feb 2011 16:44:51 -0800
Received: from col0-mc3-f17.Col0.hotmail.com ([65.55.34.7]) by
col0-omc1-s15.col0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675); Sun, 13
Feb 2011 16:44:50 -0800
Resent-To: [removed]@hotmail.com - Resent-From:
[removed]@live.be
Received: from blu0-omc1-s7.blu0.hotmail.com ([65.55.116.18]) by
col0-mc3-f17.Col0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675); Sun, 13 Feb
2011 16:44:49 -0800
Received: from BLU0-SMTP188 ([65.55.116.9]) by blu0-omc1-s7.blu0.hotmail.com
with Microsoft SMTPSVC(6.0.3790.4675); Sun, 13 Feb 2011 16:44:49 -0800
X-Originating-IP: [178.32.175.242] - X-Originating-Email: [jbia[removed]@hotmail.com]
- Return-Path: jbia[removed]@hotmail.com
Received: from localhost ([178.32.175.242]) by BLU0-SMTP188.blu0.hotmail.com
over TLS secured channel with Microsoft SMTPSVC(6.0.3790.4675); Sun, 13 Feb 2011
16:44:49 -0800
From: Jacqueline Bia[removed] <jbia[removed]@hotmail.com>
- Reply-To:
youreblocked.4762@gmail.com - To: jbia[removed]@hotmail.com
BCC: nini[removed]07@hotmail.com, le-blo[removed]07@hotmail.com,
mimib[removed]pejf@hotmail.com, brigit[removed]ullet@hotmail.com,
karin[removed]erijs@hotmail.com, pan[removed]lln@hotmail.com,
ande[removed]sert@hotmail.com, co-[removed]-so@hotmail.com,
na[removed]4@hotmail.fr, mazell[removed]itte@hotmail.com,
pas[removed]ier@hotmail.com, pat[removed]uset@hotmail.com,
audr[removed]kerk@hotmail.com, vini[removed]95@hotmail.com,
squ[removed]-g@hotmail.com, va[removed]las@hotmail.com,
marc[removed]sens79@hotmail.com, nicv[removed]bo@skynet.be,
zab[removed]z01@hotmail.com, grie[removed]ouck@hotmail.com,
lu[removed]ino@hotmail.com, vino[removed]@live.be,
vero[removed]rny@skynet.be, nou[removed]0@hotmail.com,
alice[removed]uet@hotmail.com
Subject: You're blocked on Messenger
19 février 2011B19 : même sujet; en provenance d'un de nos Contacts : "Tu veux savoir qui t a bloque sur MSN ? Viens le vérifier sur kibloc.com"
2011B12 - MSN - Méfiez-vous de :
Cher(e)(s) Membre(s), En raison de la congestion de tous les utilisateurs de Windows et l'enlèvement de tous les comptes inutilisés Windows Live Hotmail, Windows serait obligé de fermer votre compte, vous devrez confirmer votre e-mail en remplissant vos informations de connexion ci-dessous au cas où le formulaire n’est pas totalement rempli votre compte sera être suspendue dans les 24 heures pour des raisons de sécurité.
Confirmation de votre identité. Vérification de votre compte Windows Live Hotmail. Nom : ... - Prénoms : ... - Windows Live Hotmail ! ID : ... - Adresse Hotmail : ... - Mot De Passe : ...
Voici un exemple du risque encouru si vous répondez à ce message et ayant fourni les renseignements demandés,
Ce qui met la puce à l'oreille sur le manque d'authenticité de ce message se situe dans les headers :
1/ voilà Microsoft Hotmail Windows Live qui achète une adresse de messagerie chez un FAI (ISP) français (orange.fr); nous sommes plus habitué à something@microsoft.windowslive.com
2/ le message est adressé à un compte orange.net mais il arrive dans une de nos mailboxes "not-hotmail" que nous n'avons jamais founi à Microsoft, alors que nous disposons d'un lot d'adresses @hotmail.
3/ la X-Originating-IP de ce message est située en Russie (faisant très peu orange et très peu fr) : Aronov Emman... - Russian Federation, Moscow, Scherbakovskaya st, 32/7 - Hoster24.ru Servers
4/ nous sommes habitués à un autre look pour les messages en provenance des teams Microsoft, Hotmail, MSN, Live ....
Return-path: <windows.live3@orange.fr>
Received: from smtp.smtpout.orange.fr (unverified [80.12.242.123]) by mail[removed]
(Rockliffe [removed]) with ESMTP id
<B0007459485@mail[removed]> for <[removed]@[removed
not-hotmail].com>; Received: from wwinf2218
([172.22.131.62]) by mwinf5d36 with ME id 70951g0021LvTLC03095uY; Sat, 12 Feb
2011 13:09:06 +0100
From: "windows.live3" <windows.live3@orange.fr> - Reply-To: "windows.live3"
<windows.live3@orange.fr>
To: ACCOUNT VERIFICATION <verification.account@orange.net>
Message-ID: <11656049.208373.1297512545048.JavaMail.www@wwinf2218>
Subject: EQUIPE WINDOWS LIVE
X-Originating-IP: [92.241.184.17]
Exemples de look habituel pour ce type de message :
|
|
ci-dessus : Outlook Express (MSOE) sous XP From : communications_msn_cs_frbe@microsoft.windowslive.com
à gauche : Windows Live Mail sous XP From : communications_msn_cs_frbe@microsoft.windowslive.com
|
2011A25 - Facebook to Facelike ... pourrait être dangereux ... (a potentially unwanted program Adware-HotBar) :
Une actualité d'une Amie du Québec "sur J'aime ♥♥♥"
Le texte référencé par S. est "Parce que ya toujours une musique qui ta rapelle un moment ou qui te fait penser a quelqun ♥ " : il m'incite à suivre le lien proposé ...
... mais mon antivirus ne l'entend pas de cette oreille :
- 25/01/2011 5:08:08 AMON file C:\Documents
and Settings\Administrator\Local Settings\Application Data\Flock\Browser\Profiles\5ew1yexn.default\Cache\2EB8B9B5d01
a variant of Win32/Adware.HotBar.H
application quarantined - Event
occurred on a new file created by the application: C:\Program
Files\Flock\flock.exe. The file was moved to quarantine. You may close this
window.
- 25/01/2011 5:08:00 IMON file http://origin-ics.clickpotato.tv/IC/GPLCPLite29/12847/1/479fefec-64a5-41f8-9ad4-d82a69892383/VLCSetup.exe
a variant of Win32/Adware.HotBar.H application
- 25/01/2011 5:03:15 AMON file E:\Tmp\BD0O7Hk+.exe.part
a variant of Win32/Adware.HotBar.H application quarantined - Event occurred on a
file modified by the application: C:\Program Files\Flock\flock.exe. The file was
moved to quarantine. You may close this window.
Le terme clickpotato entraîne ma méfiance depuis décembre 2010 (Blue Screen on 2006 Portable Toshiba Satellite A100-250 - Celeron - XP - 2010L27/PC103IS2) mais il semblerait qu'il ne s'agisse pas d'un malware vraiment dangereux si l'on se référe à cette information "Ce n'est pas un virus mais seulement un plugins de VLC pour lire les streaming en gratuit" bien en rapport avec le fichier du plugin manquant qui se nomme VLCsetup.exe. C'est cependant un adware, un nouvel épisode dans série "adware - attrape couillon".
Sur la Toile.
Décembre 2010 : "Salut. J'ai installé, hier, un programme pour VLC. Je me suis rendu compte qu'il s'agissait de Clickpotato et je l'ai donc supprimé par le panneau de config. Redémarrage demandé, lancé MAIS PC planté au redémarrage ... Outil de réparation Windows Vista tourne en boucle, mode sans échec bloqué sur le chargement de crcdisk.sys, redémarrage sans les vérifications de pilotes ... Ca plante. J'en suis là pour le moment ..." pauport - 13 déc 2010 à 16:27 : la même situation que celle qui a entraîné notre méfiance.
Confirmation : "Bonjour, j'avais le même clickpotato sur mon pc. j'ai installé malwarebytes, car avast n'a rien détecté ni le "Norton scan". Une fois les fichiers supprimés par malwarebytes (160 fichiers), il s'est remis à marcher normalement." Emanuel - 5 jan 2011 à 16:58.
2011A15 - Phishing Citibank
HEADERS :
Return-path: <accounts@citibank.be>
X-Spam-Score: 5
Received: from law-bus02.smallbusiness.local (unverified [108.18.196.4]) by
mail10.e-zone.net (Rockliffe SMTPRA 9.2.0) with ESMTP id
<B0006074669@mail10.e-zone.net> for <[removed].com>;
Sat, 15 Jan 2011 08:19:37 +0100
Received: from User ([66.226.32.130]) by law-bus02.smallbusiness.local with
Microsoft SMTPSVC(6.0.3790.3959); Sat, 15 Jan 2011 02:19:18 -0500
66-226-32-130.connectivity.yadtel.net (66.226.32.130)
Courtney-Huntsville Road - Yadkinville, NC - USA
From:
"Citibank"<accounts@citibank.be>
Subject: Belangrijke boodschap
Date: Sat, 15 Jan 2011 08:16:24 +0100
MIME-Version: 1.0
Content-Type: text/plain;
charset="utf-8"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Bcc:
Return-Path: accounts@citibank.be
Message-ID: <LAW-BUS02aFo1jBGm0e0000079e@law-bus02.smallbusiness.local>
X-OriginalArrivalTime: 15 Jan 2011 07:19:19.0656 (UTC)
FILETIME=[86918E80:01CBB484]
La root du lien référencé par le message d'arnaque :
citibanksonline.citibank-bl.com = 213.175.207.204 = eUKhost LTD - Clarence Street, Bowburn, Durham, UK.
Selon ce site (Project Honey Pot), cette IP envoie aussi des messages de phishing du type PAYPAL.
Suivi du processus 1- : nous encondons notre identifiant et notre mot de passe pour accès chez Citibank Online :
Suivi du processus 2- : encodage des données personnelles et confidentielles de notre carte Visa :
Nos données sont maintenant à la disposition d'un pirate ...
bien poli ... et qui en fera certainement un bon usage :-)
2011Anthony - Malware in Laptop, Windows Seven-32 - Toshiba L550 d'avril 2010 (MediaMarkt)
Symptôme : BSoD quelque soit l'option F8 choisie.
Le système Java est infecté par un cheval de Troie :
Restore Windows (à une date avant l'infection) & réinstall Oracle-Java :
Pour mémoire, arnaque de janvier 2011 :
Je me nomme Yolaine Valberg née le 24 Février 1968 et je suis de nationalité française. Je vous contacte parce que je souhaite faire une chose très importante. Cela vous semblera un peu suspect bien vrai que vous ne me connaissez pas et que je ne vous connais pas. J'ai un cancer qui est en phase terminale, mon médecin traitant vient de m'informer que mes jours sont comptés du fait de mon état de santé dégradé. Selon ce que le Docteur m'a justifié, une Boule s'installe présentement dans ma cage cérébrale, j'ai cette maladie depuis plus de 4 ans. Je vous pris d'accepter mon don. Je possède la somme de € 2.025.000 comme un don. Je vous prie d'accepter cette somme car elle pourrait bien vous êtes très utile et cela sans rien demander en retour. Il faut me répondre si vous accepter mon offre directement par mon mail velayoudon@blumail.org - Je me sens très mal et j'ai très peur, je n'arrive presque pas à dormir la nuit comme la journée. Je ne peux pas mourir sans avoir fait don de toute cette somme sinon je pense que cela serait un gâchis. Que Dieu reste avec vous. Mme Yolaine Valberg. velayoudon@blumail.org ou valberg-01@bbox.fr
X-Message-Delivery:
Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MjtTQ0w9NA==
X-Message-Status: n
X-SID-PRA:
valberg-01@bbox.fr
X-AUTH-Result: NONE
X-Message-Info:
HngCxESOkWSDrPMdpt8YoGN5iwwouidNM0lbUraUX8m18R7vd4dDs/YaamwEzjK/OYggItypAst35uE8d+pGR1wFjdmBax/OehWhBhww/mU6kb5Odd7jvw==
Received: from mail-1d.bbox.fr ([194.158.122.56]) by
bay0-mc1-f21.Bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675); Wed, 26 Jan
2011 08:04:47 -0800
Received: from bbox.fr (bt8sss5i.cs.dolmen.bouyguestelecom.fr [10.119.70.110])
by mail-1d.bbox.fr (Postfix) with SMTP id 7EBC3CC; Wed, 26 Jan 2011 17:04:45
+0100 (CET)
Received: from [41.216.44.239/10.119.70.224] by webmail-1d.bbox.bouyguestelecom.fr
via html interface
From: valberg-01@bbox.fr
To: valberg-01@bbox.fr
Subject: UN BONJOUR DE YOLAINE
Date: Wed, 26 Jan 2011 17:04:45 +0100
Mime-Version: 1.0
X-Mailer: Medianet/v2.0
Message-Id: <mnet37.1296057885.21383.valberg-01@bbox.fr>
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Return-Path: valberg-01@bbox.fr
X-OriginalArrivalTime: 26 Jan 2011 16:04:47.0478 (UTC)
FILETIME=[C128A960:01CBBD72]
Comment installer un logiciel sans s'en vraiment rendre compte (comme pctools) ?
Registry Mechanic de PC Tools : via Free DivX en avril 2011 - Autres exemples disponibles.
Popup's indésirés (spontanés)
HP11E18CRISTIANPC114CR
SPAM11H06
Dear Beneficiary
My name is Dr.Kingsley C.Moghalau,the deputy governor CBN.I was mandated by the
President Federal Republic in conjunction with the Federal Executive Council
(FEC), the Senate Committee on Foreign Debts Reconciliation and Implementation
Panel on Contract/inheritance/compensation funds to complete all the unpaid
Contract/inheritance/lottery fund. You are required as a matter of urgency to
reconfirm your information including your name, phone number and your
address for verification and immediate payment within 24 hours. To this effect,
the sum of TEN MILLION, SEVEN HUNDRED THOUSAND UNITED STATES DOLLARS (US$10.7m)
has approved for you. I wish to inform you that all matters relating to the
release of this payment is now under my control and supervision. This
development has become necessary due to the activities of unpatriotic
government/CBN officials and impostors who keep on frustrating every effort to
settle our clients by making requests for unauthorized fees and levies from
them. We apologize for any delay you might have encountered in the past, your
payment is now 100% Guarantee. Kindly choose from these three modes of payment
(wire transfer, diplomatic cash payment and ATM card). Best Regards, Dr.Kingsley
Moghalu - Deputy Governor CBN info@cbn.com
NB: KINDLY NOTE THAT SOME PEOPLE (FRAUDSTARS) HAVE STARTED MAKING FORGERY OF MY
GOOD NAME.
11H Autres spammeurs : Mildred.Shapiro@lespapysflingueurs.com - Robbie.Eubanks@fanal.info - Rico.Oakley@fdt.net
Specific Home/Pacher/danger FlagCounter started on April 4, 2010
General FlagCounter started on March 21, 2010
Specific Home/Wine FlagCounter started on August 08, 2010
