Salut,
 
Bon, je ne sais pas si je connais encore du monde ici ou si quelqun se souvient de moi,je n'ai pas poster depuis fort longtemps.
 
En gros le probléme est le suivant, quelqun envoi des mails a un ami qui soupçonne la présence de virus dans les fichiers attaché.
 
Une de ses connaissance n'a pas ete assez prudente et son DD a ete effacer par un virus.
Le FAI de mon ami est AOL (7.0)
Le retour du mail est impossible ---> utilisateur inconnu ou non connecter.
Son PC est normalement bien proteger mais bon ce n'est pas un situation durable.
Il vas en referer au service AOL bien sur mais je me demandais s'il etait possible de remonter a la source cad l'envoyeur.
Un logiciel ou un site ?
 
 

y'en a plein, tous les spam eater te permettent de remonter un peu les IP apparentes dans les mails, sauf le cas des proxys anonymes etc...
 
mais de toute façon tu vas remonter très peu de node et au final t'auras pas vraiment plus d'informations.
 
qui plus est tout le monde recoit des virus chaque jour et pourtant les emetteurs ne le savent souvent même pas.

et l'adresse indiquée comme émetteur n'est pas toujours le vrai émetteur (cf virus Klez qui met n'importe quoi comme adresse, donc le gars contre qui tu vas te retourner n'y est pour rien)

Oui mais le contenu des mails est assez cibler et contient pas mal de renseignements suffisament précis sur l'activité de mon ami pour laisser penser que c'est une personne soit qu'il connait soit assez proche de sa profession.
 
Je ne croit pas a un parfait inconnu (trop précis)ni a un trojan car le mal serai deja fait.
Par contre avec une quarantaine de mails a ce jour, il est tenace.

mail bomb ou simple virusage?
 
l'header est truqué?

L'header je ne sait pas, je ne m'y connait pas assez.
Les mails sont assez espacer dans le temps (1 mois) donc pas mail bombing je dirai.
Hum Krapaud je me souvient que tu avais un site ou j'aurais pus je pense trouver un logiciel pour essayer de remonter l'ip ? a plus ton site ?

arf non plus de site depuis belle lurette
pour les softs tu as neotrace, winroute etc...
les sites comme www.ripe.net aident aussi, sinon un bon vieux tracert/ping en dos...

Merci je vais lui donner les noms et addresses des logiciels pour essayer.

mais bon franchement ça ne va quasiment servir à rien
 
à la limite demande lui un header que l'on regarde ensemble ici voir ce que l'on peut en tirer.

Ah merci c'est cool, je lui demande et je les posterai ici.

ok

ton ami il doit déjà ne pas utiliser outlook et oulook express et internet explorer, veritable porte d'entrée. Netscape ou opera et déjà 10X moins de virus, enfin j'éxagère un peu. Ensuite sérieusement avec des virus comme klez, y a des substitutions d'adresses, avec ceux de ton carnet, j'ai testé bien dur te trouver la source. Je pense pas que si c'est un mec qui lui en veux, il serait pas assez con pour l'envoyer de chez lui, et surtout toujours le même virus. surement un ver. Ton ami peut aussi éditer des règles de messages, interdire tout message de personnes pas présentes dans son carnet, n'accepter que des mails en .txt, changer d'adresse....

c pas ca le pb, si au lieu d'ouvrir comme un con tu te demande pkoi un inconnu t'envoi des connerie ou pkoi t'as un VBS dans t'as BAL t'evite dj 99% de ces merdes

Voila, je lui ai demander de m'envoyer l'en tête, j'ai juste remplacer son pseudo par "monami".
 
Un mail:
 
Return-Path: <>
Received: from  rly-ye03.mx.aol.com (rly-ye03.mail.aol.com [172.18.151.200]) by air-ye03.mail.aol.com (v89.10) with ESMTP id MAILINYE34-1006155706; Sun, 06 Oct 2002 15:57:06 -0400
Received: from  relais-int4.globalintranet.net (mailgate.globalintranet.net [194.206.181.245]) by rly-ye03.mx.aol.com (v89.10) with ESMTP id MAILRELAYINYE32-1006155657; Sun, 06 Oct 2002 15:56:57 2000
Received: from ginnbc048.ftgin.net ([10.255.7.21]) by
          relais-int4.globalintranet.net (Netscape Messaging Server 4.15)
          with ESMTP id H3KSSP01.08P for <monami@aol.com>; Sun, 6 Oct
          2002 21:58:01 +0200  
Received: from relais-int2.globalintranet.net ([194.51.14.247])
          by ginnbc048.ftgin.net (Lotus Domino Release 5.0.6a)
          with ESMTP id 2002100622012238:661 ;
          Sun, 6 Oct 2002 22:01:22 +0200  
Received: from relais-ext3.globalintranet.net ([10.255.7.6]) by
          relais-int2.globalintranet.net (Netscape Messaging Server 4.15)
          with ESMTP id H3KSSM00.94D for <serviceclub@mazet.fr>; Sun, 6
          Oct 2002 21:57:58 +0200  
Received: from imo-m03.mx.aol.com ([64.12.136.6]) by
          relais-ext3.globalintranet.net (Netscape Messaging Server 4.15)
          with ESMTP id H3KSSK02.U0E for <serviceclub@mazet.fr>; Sun, 6
          Oct 2002 21:57:56 +0200  
Received: from monami@aol.com
by imo-m03.mx.aol.com (mail_out_v34.13.) id o.69.2e63e07f (3858)
for <serviceclub@mazet.fr>; Sun, 6 Oct 2002 15:56:45 -0400 (EDT)
From: Postmaster@ftgin.net
Message-ID: <69.2e63e07f.2ad1ef7d@aol.com>
Date: Sun, 6 Oct 2002 15:56:45 EDT
Subject: DELIVERY FAILURE: User serviceclub (serviceclub@mazet.fr) not listed in
public Name & Address Book
To: monami@aol.com
MIME-Version: 1.0
X-Mailer: AOL 7.0 for Windows FR sub 10500
X-MIMETrack: Itemize by SMTP Server on MAZET-INTRA/SERVER/MAZET(Release 5.0.6a |January
17, 2001) at 06/10/2002 22:01:22,
Serialize by Router on MAZET-INTRA/SERVER/MAZET(Release 5.0.6a |January 17, 2001) at
06/10/2002 22:01:24,
Serialize complete at 06/10/2002 22:01:24
Content-Type: multipart/report; report-type=delivery-status; boundary="==IFJRGLKFGIR20668UHRUHIHD"
 
Un deuxiéme:
 
Return-Path: <>
Received: from  rly-xh02.mx.aol.com (rly-xh02.mail.aol.com [172.20.115.231]) by air-xh05.mail.aol.com (v89.10) with ESMTP id MAILINXH52-1008055121; Tue, 08 Oct 2002 05:51:21 -0400
Received: from  imo-m03.mx.aol.com (imo-m03.mail.aol.com [172.20.105.12]) by rly-xh02.mx.aol.com (v89.10) with ESMTP id MAILRELAYINXH29-1008055049; Tue, 08 Oct 2002 05:50:49 2000
Received: from localhost (localhost)
  by imo-m03.mx.aol.com (8.8.8/8.8.8/AOL-5.0.0)
  with internal id FAA14846;
  Tue, 8 Oct 2002 05:50:49 -0400 (EDT)
Date: Tue, 8 Oct 2002 05:50:49 -0400 (EDT)
From: Mail Delivery Subsystem <MAILER-DAEMON@aol.com>
Subject: Returned mail: Cannot send message within 1 day
Message-Id: <200210080950.FAA14846@imo-m03.mx.aol.com>
To: monami@aol.com
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
boundary="FAA14846.1034070649/imo-m03.mx.aol.com"
Auto-Submitted: auto-generated (failure)
 
Un troisiéme:
 
Return-Path: <>
Received: from  rly-yb05.mx.aol.com (rly-yb05.mail.aol.com [172.18.146.5]) by air-yb05.mail.aol.com (v89.10) with ESMTP id MAILINYB53-1006161101; Sun, 06 Oct 2002 16:11:01 -0400
Received: from  nt-main.pacificpeche.fr ([217.167.252.141]) by rly-yb05.mx.aol.com (v89.10) with ESMTP id MAILRELAYINYB52-1006161045; Sun, 06 Oct 2002 16:10:45 2000
From: postmaster@pacificpeche.fr
To: monami@aol.com
Date: Sun, 6 Oct 2002 22:14:31 +0200
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
boundary="9B095B5ADSN=_01C2559F62867E1C00001010nt?main.pacificp"
X-DSNContext: 335a7efd - 4445 - 00000001 - 80040546
Message-ID: <SDgTfvkBP000001b2@nt-main.pacificpeche.fr>
Subject: Notification  
d'=?unicode-1-1-utf-7?Q?+AOk-tat  
de  
remise  
(+AOk-chec)?=

ça sent le klez ça!