envoi de mail impossible avec adresse SFR et THUNDERBIRD - Réception toujours possible

Bonjour Chris2704,

J'avais déjà contrôlé le paramétrage SMTP : C'est OK

Je vais aller voir cette histoire de spam sur spamhaus.org

Merci pour la suggestion.

Re bonjour,

Je suis allé voir le site spamhaus.org et m'interroge sur la fiabilité de ce site : Est-ce que quelqu'un connait et est-ce que l'on peut y faire confiance ?

Si j'inscrit l'adresse IP figurant sur ma copie du message d'erreur apparaissant sur mon ordi, voici le bla bla en anglais qui apparait. Je ne suis pas fortiche de la lange de Shakespeare, mais j'ai réussi à comprendre que  le Windows de mon ordi serait infecté par un malware dénommé ANDROMEDA/AVALANCHE. 

Je dispose de l'antivirus à jour du pack sécurité de SFR et aucune alerte ne s'est déclenchée malgré que j'ai fait un scan complet de mon ordi il y a quelques jours, après le premier symptôme. dois je vraiment m'inquiéter ?

eXploits Blocklist (XBL) - Why was this IP address listed?

The machine using this IP is infected with malware that is emitting spam or is sharing a connection with an infected device.

As a result, this IP address is listed in the eXploits Blocklist (XBL)

Click on Show Details to see if you can request a delisting from this blocklist. This will also display any further information we have relating to this listing.
Hide details
Why was this IP listed?

A device using 109.18.80.248 is infected with malware associated with the avalanche/andromeda family.

109.18.80.248 initiated contact with a nymaim command and control server, using contents unique to nymaim C&C command protocols.
Technical details of the nymaim detection

109.18.80.248 initiated a tcp connection from 109.18.80.248 using source port 42017, to the sinkhole IP address 216.218.185.162 on destination port 80.

The most recent detection was on: February 10 2023, 03:10:22 UTC.
Information about the nymaim botnet

The Andromeda/Avalanche botnet was associated with 80 different malware families: Andromeda, Win3/Dofoil, Gamarue, Smoke Loader, W32/Zurgop.BK!tr.dldr, and many others. The Avalanche network also provided the Command & Control communications for these other botnets: TeslaCrypt, Nymaim, Corebot, GetTiny, Matsnu, Rovnix, Urlzone, QakBot, etc. This botnet was taken down in 2016 but malware associated with it remains active.

Additional information on nymaim can be found on Wikipedia.
What should be done about it?

If this is a shared server, please call your hosting company or ISP!

This listing is the result of what we believe to be a security issue. Your PC is still infected, and it is probable that there is more than one type of malware present. To stop ongoing listings and to secure your network, devices, and data, we recommend both prevention and remediation of the issue.
Prevention

Spamhaus has an FAQ about general security best practices that should be followed.
Remediation

To find and remove the malware from your Windows computer please see the Microsoft website and run Microsoft Defender to catch any other related malware that may be present.
Removal from XBL

XBL listings expire automatically some time after the last detection. If necessary, once the security issue is solved, you can request removal.

Bonjour @Bourguignon211 

---

Je suis allé voir le site spamhaus.org et m'interroge sur la fiabilité de ce site : Est-ce que quelqu'un connait et est-ce que l'on peut y faire confiance ?

---

Je ne sais pas s'il est digne de confiance, mais manifestement SFR fait confiance à cet organisme puisqu'il utilise ses bases d'adresses IP bannies dans son filtrage.

C'est d'ailleurs le cas de bien des organismes : mon établissement a été coupé de nombreux destinataires de mail pendant près d'une semaine car un de nos utilisateurs avait été piraté, son adresse utilisée pour du SPAM à grande échelle, et notre domaine donc blacklisté par ces organismes : et bien nombreuses étaient les structures françaises (dont Free) leur faisant confiance puisqu'on ne pouvait plus adresser de mail à ce genre de destinataires.

La page wikipedia semble leur accorder du crédit : https://fr.wikipedia.org/wiki/The_Spamhaus_Project

• le message d'erreur (et la "cause") du bannissement de ton adresse IP est, d'après ton message, qu'elle aura servi récemment à expédier massivement du SPAM
• il évoque la présent d'un virus qui le ferait à ton insu
• n'oublie pas aussi, qu'à l'heure du CGNAT qui partage l'IP entre plusieurs clients SFR, peut-être que le fautif pourrait être un des autres "co-locataires" qui a la même adresse IP que toi...? (simple hypothèse).

À=

Bonsoir

Je trouve le site anti spam fort bien renseigné sur vos connexions

Je ne vais pas avoir le temps de chercher.

Normalement Bit Defender devrait trouver ce type d'infection.

Attention en installant un autre antimalware à ne pas couper la sécurité existante

Si besoin Microsoft développe son propre anti malware disponible ici

https://learn.microsoft.com/en-us/microsoft-365/security/intelligence/safety-scanner-download?view=o...

Il fonctionne de manière autonome.

Bon courage

bonjour @Ryry ,

La lecture de l'article Wikipedia redonne du crédit à cette info Spamhaus.org, mais cela reste inquiétant si cet organisme fait la pluie et le beau temps sur internet, sans avoir à se justifier. Pour ce qui me concerne, en tant que simple particulier de bonne foi, cela me mets dans l'embarras sans que je sache la durée de ma peine : 48 h de garde à vue ou perpèt ' ? Allez je vais rester optimiste et me dire que dans ton cas, cela à duré une semaine, donc ce sera peut-être bientôt fini pour moi....

Bonjour @chris2704 ,

Merci pour le lien vers l'utilitaire Microsoft. Heureusement qu'il fonctionne de manière autonome : Lancé à 22 h 16 hier, il est toujours en train de scanner mon ordi ce matin, et à la lecture de la barre de défilement, il n'en est qu'à la moitié !

Mauvaise nouvelle par contre : "Files infected = 33"

Je vais laisser le processus aller à son terme, et il sera alors temps d'évaluer l'étendu des dégâts...

Bonne journée à tous.

Bonjour @Bourguignon211 

J'aurais du vous prévenir. Pendant la recherche initiale MSERT à tendance à parler de fichiers infectés plutôt que de fichiers suspects. L'analyse des 33 fichiers suspects se fera à la fin de la recherche  sur les serveurs de Microsoft. Ils peuvent être en rapport avec 1 seule infection, voire aucune.

L'antivirus mensuel MRT procède de même.

Le nombre de « fichiers infectés » affiché sur le scanner de sécurité Microsoft, l'écran d'analyse en cours ou l'un de leurs autres produits de sécurité d'ailleurs, n'est en fait qu'une indication préliminaire indiquant qu'il existe des éléments susceptibles de contenir des logiciels malveillants.

Vers la fin du processus d'analyse terminé à environ 95%, les scanners Microsoft effectuent tous une requête MAPS (Microsoft Active Protection Service) via Internet aux serveurs cloud de Microsoft afin de télécharger leurs résultats initiaux et de demander la confirmation que ces résultats sont vraiment des logiciels malveillants ou plutôt de possibles détections de faux positifs ou des fragments incomplets de logiciels malveillants inactifs.

source https://answers.microsoft.com/en-us/windows/forum/windows_10-security/what-is-wrong-with-the-microso...

Bonne journée

Bonjour à tous, et bonjour @chris2704 ,

Après plus de 32 h de scan et quelques 7M de fichiers analysés, le compteur n'avançait plus. 3 heures plus tard, rien n'avait bougé, j'ai donc mis fin au processus Microsoft, et n'ai donc pas eu l'info sur les 33 fichiers susceptibles de contenir une menace.

Pendant le scan, j'avais vu que mon dossier "Documents" partagés comportait des sous dossiers avec des noms bizarres. En cherchant bien, c'était des fichiers cachés : Je les ai supprimés.

J'ai lancé ensuite le scan de Bit defender, et après une quinzaine d'heure, pas de menace véritable : juste un truc de pop up potentiellement menaçant que j'ai quand même mis en quarantaine.

Je viens de passer Malware/antimalware et CCLEANER par acquis de conscience...  sans résultat extraordinaire, mais j'ai quand même fait les nettoyages proposés.

Je viens de tester ma messagerie, et surprise, cela semble revenu à la normale. je ne sais quoi penser.....

En tout cas, merci à @Chris2704 et @Ryry de m'avoir consacré un peu de temps pour m'aider à la recherche de solutions à cet incident facheux.

bonne journée à tous.