Sonntag, 31. Mai 2015

Pillenparty beim Apotheker

Nach bewährter Tradition der "Apotheke", Pillsseller", "PillsGroup" etc pp besteht die Spam, die heute vom "Apotheker" kommt und zur "Pillsparty" führt, wieder aus einem einzigen verlinkten Bild.

Der Link führt wieder zu Servern auf der halben Welt und man kommt von "devima.co.ua" über "vetec.in.ua" zu "pillsparty.net" (IP 162.251.84.54 / Virgin Islands, British). Unter derselben IP läuft auch die Domain "pillsbank.org", für die Phishing-Alarm angesagt ist:


Man sollte sich also genau überlegen, ob man sich die Pillenparty beim Apotheker gönnen möchte ...



Return-Path: dapetvedfm@felexender.co.ua
Received: from felexender.co.ua ([80.86.88.86]) by mx-ha.gmx.net (mxgmx010) with ESMTP (Nemesis) id 0MIQkp-1YxVZp0f9z-004Fio for [contact@unan.ne]; Sun, 31 May 2015 03:14:07 +0200
Received: from felexender.co.ua (unknown [109.234.38.210]) by felexender.co.ua (Postfix) with ESMTPA id 8F42882859E; Fri, 29 May 2015 00:59:50 +0200 (CEST)
Message-ID: [dapetvedfm30388524.76561470@mail.felexender.co.ua]
From: "Apotheker" [dapetvedfm@felexender.co.ua]
To: [falk0@mailfusionexchange.de]
Subject: Medikamente fur die Potenz ohne Vorauszahlung
Date: Fri, 29 May 2015 01:59:47 +0300
MIME-Version: 1.0
Content-Type: multipart/related; type="multipart/alternative"; boundary="----=_NextPart_000_0006_01D099B0.99C2AAF0"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Windows Live Mail 14.0.8117.416
X-MimeOLE: Produced By Microsoft MimeOLE V14.0.8117.416
Envelope-To: [contact@unan.ne]



Freitag, 29. Mai 2015

Sperrung Ihres Girokontos steht bevor

Was nicht vorhanden ist, kann man schlecht sperren - ich habe kein Girokonto bei der Deutschen Bank AG ;)


Return-Path: info@14dkc.com
Received: from localhost.dig-dog.com ([88.208.247.64]) by mx-ha.gmx.net (mxgmx004) with ESMTP (Nemesis) id 0LzIBN-1ZBwnk3IJd-014SBR for [MeinName@gmx.de]; Fri, 29 May 2015 07:59:57 +0200
Received: from gmx.de (catalog.jacobs-university.de [212.201.46.11]) by localhost.dig-dog.com (Postfix) with ESMTP id EBF0D4E984 for [MeinName@gmx.de]; Fri, 29 May 2015 06:59:56 +0100 (BST)
Message-ID: [55681C8A.AB5B59AB@14dkc.com]
Date: Fri, 29 May 2015 08:00:09 +0200
From: "Deutsche Bank AG" [info@14dkc.com]
Subject: Deutsche Bank: Sperrung Ihres Girokontos steht bevor
To: MeinName@gmx.de
Content-Type: multipart/alternative; boundary="kEuqWd9HFUOwPPm06YsDYQ=_Rnf4GqEKcj"
MIME-Version: 1.0
X-Mailer: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.0.2) Gecko/20030208 Netscape/7.02
Envelope-To: [MeinName@gmx.de]





Der "Aktualisierungslink" dieser Spam [http://dddfdfdfee566107911418426435307967867978.xn--kumalar-xxa08dko.com/tommy/x/index.php] führt zunächst zur IP 31.192.210.112 (Netinternet Bilgisayar ve Telekomunikasyon San. ve Tic. Ltd. Sti. / Türkei).






Von hier geht's dann weiter zu "meine.deutsche-bank.de" (IP 129.35.230.2 / Deutsche Bank AG / USA), bzw. von dort werden die Bilder etc. geholt, die zum Aufbau der Fake-Seite nötig sind:






Der komplette Report ist hier zu finden: http://urlquery.net//report.php?id=1432887721331

Montag, 25. Mai 2015

Zocker-Karriere

Nach der letzten Spam als Projekt 95 vom Donnerstag können sie sich scheinbar nicht mehr so recht entscheiden, wo sie hinlinken wollen. Diverse Tests des Links ihrer gestrigen Spam brachten verschiedene Ergebnisse: manchmal landet man "karrierejournalde.com", die die bisherige "karrierejournalde.net" ablöst, manchmal auf "de.cabaretclub.com", welche in Großbritannien gehostet wird. Malware-Warnungen gibt es für diese Domain noch nicht, wohl aber für eine andere Domain, die unter derselben IP läuft - und in Abwandlung eines deutschen Sprichwortes würde ich hier mal sagen: wer einmal phisht, dem glaubt man nicht ;)


Return-Path: qviczisnu@elijahminyan.com
Received: from ollivier-photo.com ([200.53.116.10]) by mx-ha.gmx.net (mxgmx002) with ESMTP (Nemesis) id 0M7ayN-1ZJe8D3E2x-00xNiD for [MeinName@gmx.de]; Sun, 24 May 2015 21:30:38 +0200
Received: by %240.49.126.32; Sun, 24 May 2015 15:26:55 -0500
From: "Emely Frank" [fmzrl@gokwan.com]
Reply-To: "Emely Frank" [zhsiswql@gokwan.com]
To: polina.braun@gmx.de
Subject: Wir schenken Ihnen 1000 Euro
Date: Sun, 24 May 2015 19:21:55 -0100
Content-Transfer-Encoding: 7Bit
Content-Type: text/html;
Envelope-To: [MeinName@gmx.de]



Hier klicken und abholen[http://www.reich-werden.ru]





Freitag, 22. Mai 2015

Wieder als "Freie Verbraucherberatung" unterwegs

Nach dem letzten Schwung Projekt-95-Spams, von denen die letzte gestern kam, lockt man heute wieder als "Freie Verbraucherberatung" auf die bereits vorgestellte Phishing-Domain "vergleich-krankenversicherung.ru" ...



Return-Path: noreply@administradores.com.br
Received: from neemas-luxury.com ([92.51.134.160]) by mx-ha.gmx.net (mxgmx008) with ESMTP (Nemesis) id 0LwWIZ-1ZE0h232nn-018IBV for [MeinName@gmx.de]; Fri, 22 May 2015 04:01:31 +0200
From: "Jonas Kuhn" [noreply@happyenergy.com]
Reply-To: "Jonas Kuhn" [noreply@happyenergy.com]
To: k.wondra@gmx.de
Subject: Re: Mein Anruf
Date: Fri, 22 May 2015 04:56:08 +0200
Content-Transfer-Encoding: 7Bit
Content-Type: text/html;
Envelope-To: [MeinName@gmx.de]



Guten Tag ,

der aktuellen Presse können wir es entnehmen: auf dem Markt der Krankenversicherungen tut sich einiges.
Die Gesellschaften reagieren auf die Wünsche der Verbraucher, es wurde Zeit!

Hintergrund: immer mehr Krankenkassen haben erkannt, dass der Wunsch der Versicherungsnehmer nach einer preiswerten Versicherung, die gute Leistungen bietet, immer größer wird.
Zwischenzeitlich bieten auch die großen Gesellschaften Krankenversicherungen für 59 bis 89 Euro pro Monat an, die sich nicht mehr verstecken müssen - und reichlich Leistung beinhalten.

Informieren Sie sich jetzt über die neuen Möglichkeiten, wir haben hierfür eine kostenlose Infoseite online gestellt.

Hier klicken und kostenlos vergleichen[http://www.krankenversicherung-vergleich.ru]

Auch wenn Sie nicht wechseln möchten: unser Online-Schnelltest verrät Ihnen, wie günstig eine Versicherung für Sie sein könnte. Konfrontieren Sie Ihre derzeitige Gesellschaft mit diesem Wert - das wirkt oft Wunder!

Wir hoffen, dass wir Ihnen eine hilfreiche Information bieten können.

Mit freundlichen Grüssen,
Freie Verbraucherberatung

PS: Wir arbeiten im Interesse der Verbraucher - natürlich kostenlos.



Donnerstag, 21. Mai 2015

Zwei Tage lang unterwegs ...

... war diese Spam, bis sie meine Blogkontaktadresse erreichte. Nun ja, sie schleppt ein PDF im Anhang mit ...


Return-Path: prime-reserves@msn.com
Received: from frodo.syminet.com ([74.80.234.81]) by mx-ha.gmx.net (mxgmx006) with ESMTPS (Nemesis) id 0Lr2l1-1ZQTmE286F-00egZw for [contact@unan.ne]; Thu, 21 May 2015 06:07:14 +0200
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=syminet.com; s=x; h=Subject:Content-Type:MIME-Version:Date:To:From:Reply-To:Message-ID; bh=jFxlqIGEhTnqnjPZjWEa8Q4Rir4+KSND0ZL0nLeh0V8=; b=cFlP74u42dm5kgetAkR++V3Ef8eJcdaoWxgdsmEofg/zbMHIAlvicqW+Z1FzyoXdaklxkvcCuiCzMK2ft+mB1fSP/3t/saCRYiYO7g/14AHgTpZOGEmv5KNIXAuqzroPgXpMtF2x7hXwUZdGbgupciqz8Fo5NQAxTyvKuxr7688=;
Received: from [37.203.214.97] (helo=orgz) by frodo.syminet.com with esmtpa (Exim 4.80) (envelope-from [prime-reserves@msn.com]) id 1YudQL-0006wB-PK for contact@unan.ne; Tue, 19 May 2015 02:02:57 -0700
Message-ID: [00e25a7a-42143-96aa0845211227@orgz]
Reply-To: "Terry Jenkins" [prime-reserves@msn.com]
From: "Terry Jenkins" [prime-reserves@msn.com]
To: contact@unan.ne
Date: Tue, 19 May 2015 02:01:44 -0700
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="IIdTHGf3WWaKuTppIu=_M1obYfhsw913Mp"
X-Priority: 3
X-SA-Exim-Connect-IP: 37.203.214.97
X-SA-Exim-Mail-From: prime-reserves@msn.com
X-Spam-Checker-Version: SpamAssassin 3.3.2 (2011-06-06) on 4r6s1.syminet.com
X-Spam-Level:
X-Spam-Status: No, score=-2.9 required=5.0 tests=ALL_TRUSTED,BAYES_00, FREEMAIL_FROM,T_FREEMAIL_DOC_PDF,T_OBFU_PDF_ATTACH autolearn=ham version=3.3.2
Subject: 11-05-15
X-SA-Exim-Version: 4.2.1 (built Mon, 26 Dec 2011 16:57:07 +0000)
X-SA-Exim-Scanned: Yes (on frodo.syminet.com)
X-Antiabuse: This header was added to track abuse, please include it with any abuse report
X-Antiabuse: Primary Hostname - frodo.syminet.com
X-Antiabuse: Original Domain - unan.ne
X-Antiabuse: Originator/Caller UID/GID - [104 102] / [104 102]
X-Antiabuse: Sender Address Domain - msn.com
Envelope-To: [contact@unan.ne]
X-GMX-Antispam: 6 (nemesis text pattern profiler); Detail=V3;
X-GMX-Antivirus: 0 (no virus found)
X-UI-Filterresults: junk:10;V01:K0:5Gz+TqyDuJ4=:wFJ7pdI4fDA1AbaFNFrC+IvZnRne HT7uzAYUUCE2gBmS2CURYu9huzYashMjMb37cO6RbKlyc34rPwmNXWDCb2nbJF3kU9P7xJUs1 1ghHu3TA3xsgzsmDIv3UmwJUWMopewbeaWcQTjuB3p92a8DUIElt9R+QUmGCV6yYyio29zSBt haTPLMgxjyzsGBBh9c9LyiN0VUsKiH/aCqZGYRmbAl2wjaITz6mq7BfTcb1GwP6QVHHyclSQe 2BpYW2PFUCftcOYaqU9XlFRKAeJMvPESjzJZW10xzM2N6i3UF65VYJk1r8PDf5F+Ld7CkL/Vj HNT6zW/tfvU4NKyvUhZQTGJjPqTNCni/dFg9l3NIKXR3IKEa4K5G4EI2zX6ren52IiQ9H5NhL RWNONcIMUNK9lJH+mStV7I9+l4Y4ep5ffvvuz9UZe2+HfbrE00dmTI2On0uWs8/MN2gbljsvQ BomdhkTU479Ypf56SMfePz/XxZLGJMovZUtZ/GL7hblnGCUMCgxRiKHNndmrmsbiEYvgUhddT oCet9q62QErcQfFwJwpOGMr+WPegCWfhgFQTgjBRh3t/E0+/XQQNzva6PGgX4v+cL2k5o4Uuh ErEHfLh8nnL09SAjl2Uv/1wjAiVxkjxfrk61Bs3wyBaoCxPaNeviTPwT9ruGgzxhJh9yhP+Nq 0iSLqVQGzNU6S2MLBdZnPmFsaxf4OPiABqsKLrP3QXDRbSzv0Frn+FKRaU9Vdpwx/yiKecML3 vzrmTBWwajvdlNe9chQ5i0478zLAUh3UC3hWXuGu3we82qscxjCEsRHHs5k/RKDEYSOpbyGzJ BR6rOCwGMrx1jkGNS+1pkd1r2tqldNETNc6EgqWNFIBVx2zX08gO1nlrXAeRC88hyvPR6zRLR 16fOhT5s7x35BAJDyeF0LRBAZ5zH1y+Y+hAUN/KPT0YLRE6PEjE5Oj6l+vE+9s6Qn004kQUiB YphY2dXqVAeUIPAIuQ6WNLz9IXP7v9GIxxcs4LbzjSyArq19pM5fTYh3OI5s5uQGfU1FApAiI F5OoIVT7qN0mviEHNMNXXSq6SQiLoMUhwtEXmbm0heMuY+2GPuBsKUdzRJygVzdKnmhrJuqMU YYD0wVvG+hxzcfTWIhPCVq68On0l3WkwgfhJtqDu4r2R27+0rKqHuVRYzFOninTpVJX/aeBl2 hKtTIV3kEAxI3ZQ/KVMLRTreGA3xnpN0TYuelGQM+TPaRAYyN2aVfuYm32poQCMpc+cSNrz9j HYuvSit0XXdo6u37QH390lQv4CsXb0MarCPapDEtT+RK0VD8dqjhu5oFWhagASehvaPhBvB2B yOZnSzVLGKkw38q561zGZUHN1HFBWmEY+7FY/+QDfmAX3lAAv7K24Px85gd1noRG6YHuTfCyB qR56jJRQUw3bDEh+i3IjCh7UGuhMJHBM70/MCugTzbIpDOkWBDINzYIDkNwRbLezzMqPXaVa4 CSnQKnvh+08nVuunuDbOKgJTe4I=



[11.05.15.pdf]

Good day,

I hope my email meets you well.
It is about this client that demised before his investment could mature.
He was your countryman and had something in common with you.
Please find necessary details about him and while I have decided to
contact you in the PDF document which I have attached to this email
for your perusal and quick attention.
I send you my greetings.

T. Jenkins


Mittwoch, 20. Mai 2015

Auch Marcel Winkler schaut Phoenix

Nach den letzten Spams des Projekts 95 von heute mittag bzw nachmittag an mein drittes GMX-Konto ging diese heutige fünfte wieder an mein erstes Postfach bei GMX. Sie hat denselben Text, wie die zweite, welche heute mittag an meinen zweiten GMX-Account kam.

Geändert hat sich nichts: die Links führen weiterhin zu "krankenversicherung-vergleich.ru", welche bekanntlich zu "vergleich-krankenversicherung.ru", der Phishing-Domain führt.

SÄMTLICHE Domains laufen weiterhin unter der IP 220.164.140.186 bei Chinanet in China.






Return-Path: egz@praxis-werder.de
Received: from gpnotebook.co.uk ([77.227.29.175]) by mx-ha.gmx.net (mxgmx006) with ESMTP (Nemesis) id 0MhMQc-1YZc0d431e-00MbSW for [MeinName@gmx.de]; Wed, 20 May 2015 21:06:24 +0200
Received: by %200.88.168.248; Wed, 20 May 2015 18:58:56 -0100
From: "Marcel Winkler" [gci@kiacountryofcharleston.com]
Reply-To: "Marcel Winkler" [wyz@kiacountryofcharleston.com]
To: mayer.ev@gmx.de
Subject: So verdienen schon 7.878 Mitglieder 12.000 Euro im Monat! MINDESTENS
Date: Wed, 20 May 2015 19:01:56 -0100
Envelope-To: [MeinName@gmx.de]



Hallo,

schalten Sie schnell den TV-Sender Phoenix ein!

Der TV-Sender berichtet über einen Ex-Hartz4-Empfänger, der mit nur 200 Euro 100 Millionen Euro verdient hat! Und das nur in 2 Jahren!


Er zeigt nun maximal 200 Menschen, wie er so viel Geld verdient hat.

Wenn Sie das 1:1 nachmachen, dann verdienen Sie im ersten Monat GARANTIERT 4000 Euro!



Hier klicken um das Video anzuschauen![http://www.stsct.ru]

Newsletter abmelden hier klicken
[http://www.icly.ru]



Dienstag, 19. Mai 2015

Wirtschaftssensation! Die Banken drehen durch ;)

Nach den letzten von vor drei Tagen gab es heute einmal wieder einen Schwung Malware- und Phishing-Spams vom Projekt 95 mit den bekannten Ex-Bank-Manager-packt-aus-etc-pp-Texten, oder auch solche, die nur mit einem "Hier-klicken-und-Video-anschauen"-Link versehen sind.


Wie gehabt führen die Links der Spams allesamt erstmal zur IP 220.164.140.186 bei Chinanet in China. Bei den meisten geht es dann weiter zu "krankenversicherung-vergleich.ru", die bekanntlich zur Phishing-Domain "vergleich-krankenversicherung.ru" weiterleitet:





Einige der Spams führen zur Domain "myiuuv.ru", welche weiterleitet zu "karrierejournalde.net" (IP 192.230.77.183/ USA), aber bevor man dort ankommt, um sich das Video anzuschauen, hat man sich wahrscheinlich schon was eingefangen:



Donnerstag, 14. Mai 2015

Die Himmelfahrtsspams der I. WEB LTD

Aus "vergleich-krankenversicherung.ru" wird "krankenversicherung-vergleich.ru". Ich bezweifle stark, dass diese neue Domain frei von Malware ist ...



----------------------------------------------

EDIT:

Hab's doch geahnt! Nachdem "urlquery" heute wieder betriebsbereit war, habe ich den Link dieser Spams nochmal getestet:




Das komplette Ergebnis ist hier zu finden:





Montag, 11. Mai 2015

Sex von BGO

Nachdem am Freitag drei Spams von BGO Entertainment Limited kamen, die mich wie üblich auf eine Zocker-Seite locken wollten, kam gestern nun eine, die sich mit dem Thema Sex beschäftigt. Würde der Header und hier vor allen Dingen die im wesentlichen ständig gleiche Message-ID nicht verraten, dass es dieselben Spammer sind, könnte ich es kaum glauben.

Die Links führen zur IP 177.223.139.3 in Brasilien, um weitergeleitet zu werden zu "ertya.com" in den USA, die jedoch leider leer war zum Testzeitpunkt:



Return-Path: web.de.1221010.MeinName@track32.dating4free.eu
Received: from track32.dating4free.eu ([177.223.139.33]) by mx-ha.web.de (mxweb002) with ESMTP (Nemesis) id 0MHIR9-1Z3uL006Gx-00E9NI for [MeinName@web.de]; Sun, 10 May 2015 18:31:35 +0200
DKIM-Signature: a=rsa-sha1; c=relaxed/relaxed; d=dating4free.eu; s=s512; l=2838; x=1431880549; h=From:To:Subject:Content-Type: Date:Message-ID:List-Unsubscribe; b=wucw/XI7hE2rrtVCha3h/r5ZRwPh rZlpxS0xHtI6F/kp1Yg7QPX9C2OZJZk9EFEpnOhfhNyyLP8JFkKuujCttw==
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; d=dating4free.eu; s=s512; l=2838; x=1431880549; h=From:To: Subject:Content-Type:Date:Message-ID:List-Unsubscribe; bh=y+C0jf VkXGCoFV9GqMTFVsuDf1c=; b=mxTswhDITDRJkBY41Zp5Ld+VQCbjFJFUAXbmKu yLSeja8e4NpuOTi14ynspg4QEhGM2AvSbRNaVjejhJs8ka4g==
DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws; s=s512; d=dating4free.eu; b=eyBBiKSmW4+gd9uCZpsIKStpExOULnA4PlhindiJkcNnHJVaIpfUoUaVfl4VPkycZaWgl5uNno6ykUFiOXLppA==;
Received: from dating4free.eu [177.223.139.33] by dating4free.eu [177.223.139.33]; Sat, 9 May 2015 18:28:19 -0300
MIME-Version: 1.0
From: Sexually Explicit[seicitt@dating4free.eu]
To: MeinName@web.de
Subject: MeinName FREE LIFETIME HOOK UP !
Content-Type: multipart/alternative; boundary="-=3cc2cfedf0590b3f250bf9b4226cc3d7";
Date: Sat, 9 May 2015 18:28:19 -0300
X-Mailer: LproMailer
Message-ID: [2-1221010-lRmLiV2dA5mbh1mclhWbph2Yh9maP@dating4free.eu]
List-Unsubscribe: http://dating4free.eu/1/cvc.do?e=MeinName@web.de&m=1221010
Precedence: bulk
X-Admin: postmaster@dating4free.eu
Abuse-Reports-To: abuse@dating4free.eu
X-Complaints-To: abuse@dating4free.eu
X-Report-Abuse-To: abuse@dating4free.eu
Envelope-To: [MeinName@web.de]
X-UI-Filterresults: junk:10;V01:K0:ACe46E8EfQc=:RSdU69j6OiIYgfin8qq+BXSm8DbX 3YqfcvgsE3/ZJNdSg+JHP2sCfwNsosU5/gJcupfIBJhG3WPxi/gLMGwMVRXeTqS0ex20vLJkT grHrDJ1yl7dKvDiLVlgY886l38yXQK/dV2+9QfhQmx3drPWxew2K42+1C7HKImWA9luke+SH8 +KDigKW2EXs5Vflr9tG79dtImOzKfCNkDDzFhPB58TOYtmtPb5+JGGFp/7tbq2VSU3ad3lH9+ JcLI/AEp76VNiCsIe0SlTor/96Ajw1JtNHJ6OetBu0Oc4JW9vAXB8xcbL3AcLB+Iwt41FbaRy 1LAYvU3nOIYmCI5ruH53B+z3U34fcHXJrzbrl0bHhCtxwJdr9d3k2bOD4iX7hSg/catUsNMkS oWhYKX4vWhYh5/8cKR6ufFSSSo1r2gG9SF5lkufgVYb6qIgVjVGWAonxjHy82XhfZvLZ6VOGh mNb5WVDhmi17K1qfiCa1a3TqylwhGFOm3NYU79rGucS6+d+nXm5nCBSd3SOkPqmBeJJ/q3WLl DA/VGjvM+ihON51BeYbkR6Up8aODMUDyXXEmgwJD5ji+1RkL7TjPOpeWjo+MdNBhNTTKQA3Zl R6V+eGmoqX+WtqTqc03UNRCGSgPhgQ4X7xocRsFYcs9pd8/QCRrZ/Y1LIKfe8SN0BLWXNKMfc 4WxWJQHllyupV/J9CBWKIznwy8teok6YgmN73Ow8wqpk7b/uxpYx1HhNfLM5i2HU8u5cw605c FDcoP/uNZmcXP7nceRuYQ4jK2uOHbrRtUtsJFyMAphdvMsc90l+g0BYJyJLCwdye6XJYBW4nP VQUHbq8mk936yxpZu/BAND5A0Y+lCKz//6HO3lMdGdwbmuE1Ph6SV+d1Uk4HWBhPjE4qO8jLq LY5BnV4GYPj4oEkOPNwrbcVp9vnrJLOq7kc1uYIlcwGuYPbUAeeiZONbFnz9jyVEfePeLiQvO FQhQrkAcr/TE0B+sMnKPTPvg0WfIy06KJ+thLVp+Qo3xqoxVf577nCSMo/lHk22DbjS0aqF+E d83kVY1cJIxbDVaiN43DRMv/QQAF6oEoofdhVrN5Vfb7OoqD4Lvaqob6HNxas9rzF1NlUi7d2 dZ7gCOtXi+uu7q4sSsNMkfkWgyNlMp4Bsou/8h6NczxnVmUFwcJcKHg3Q8mb9VEVcjBbNZEra kN0rtmk/vVDFsHQkggSONe1XNYpV2STnnfH7YiLobk/7VRP7OTQLPkyJZDFwfD6v9W2mE7iPH H9LJ9xXCr+M4FlulJ75eQ59n4nnoDdMdNaYkmJmhaTm+IEBeXEkjEawaId6FPt8lsGSSQ0whv 68fOYwLNO0VGn8tn0RzrJ3BTuclt5nds6jsJ87O/jUa7A0nlPon5qAe6f+sMvHy13vY4aTK3w EN+4Pp89R7xHogmY7JCACIWRES3+uMHTfQK6f6Aqm7tpoSpHc7xlVVnvMULoKOwsn9jrKEm1A lPMfcohXCRnPPjvy37zrHPGl7rPcIUaAFVEx29+BMzFw773278g7CxPdDmodmZL/9c6ve7LC3 r70Ocr5qRASF6xNBdQ=




Christy[http://dating4free.eu/sedohr?e=lRmLiV2dA5mbh1mclhWbph2Yh9maP&m=1221010&l=0.]  sent you a private message:

 [http://dating4free.eu/sedohr?e=lRmLiV2dA5mbh1mclhWbph2Yh9maP&m=1221010&l=0.]

I love casual dating, quicki= es in the park and pool sex ;)
I= 'm not too picky about guys so just message me and lets have some fun!

View My Profile Here: My profile[http://dating4free.eu/sedohr?e=lRmLiV2dA5mbh1mclhWbph2Yh9maP&m=1221010&l=0.]


Click here to unsubscribe.



Sonntag, 10. Mai 2015

Also doch das Projekt 95

Seit dem 4. Mai kam nichts mehr vom Projekt 95. Gestern kam dann eine Spam, die zwar wieder in der gleichen Sache unterwegs war, wie die Projekt-95-Spams, jedoch vom Header her nicht den sonstigen Spams dieses "Unternehmens" zuzuordnen war.

Heute mittag kamen nun wieder drei typische Spams vom Projekt 95 mit den üblichen Headern und dem bereits bekannten Text. Wie üblich führen alle drei zu vermeintlich unterschiedlichen Domains, die dann jedoch wie üblich alle unter der IP 220.164.140.186 bei Chinanet in China zu finden sind. Unüblich: von dort aus wird nicht mehr weitergeleitet.

Die Seite gleicht haargenau der "optionexperts.biz", zu welcher die gestrige Spam geführt hat.

Hier die zweite dieser drei heute mittag empfangenen Spams:


Return-Path: psi@abundantlifecrusades.com
Received: from static.78-47-71-248.clients.your-server.de ([89.97.206.218]) by mx-ha.gmx.net (mxgmx101) with ESMTP (Nemesis) id 0MeQ8B-1Ya7bP14UJ-00QB5r for [MeinName@gmx.net]; Sun, 10 May 2015 13:09:16 +0200
From: "Josefine Dietrich" [pzl@jfz.uni-augsburg.de]
Reply-To: "Josefine Dietrich" [vfa@jfz.uni-augsburg.de]
To: n.engels@gmx.net
Date: Sun, 10 May 2015 17:07:01 +0500
Envelope-To: [MeinName@gmx.net]
Subject: Habe versucht dich anzurufen



Hallo,



ich habe versucht dich zu erreichen. Ich muss dir unbedingt was zeigen. Bei mir hat es super funktioniert und ich lege dafür meine Hand ins Feuer!

...

[http://www.ubtz.ru]




Die anderen beiden von heute mittag sind zu finden auf "successfully unsubscribed ;)" und auf "spam mirror".


Freitag, 8. Mai 2015

Noch eine "Personal Invitaion" von BGO

Die erste kam heute nacht, die zweite am frühen Abend. Auch wenn diese dritte, die mir BGO Entertainment Limited heute schickt, nicht mehr die Sprungdomain "b8wdating.com" benutzt, sondern "bbwdatz.com" mit der IP 198.102.12.1 in den USA, landet man letztendlich bei "monarchsbanners.com", der Nachfolgeseite von "tropicanamarketing.com":






Return-Path: web.de.481010.MeinName@mta84.bbwdatz.com
Received: from mta84.bbwdatz.com ([198.102.10.93]) by mx-ha.web.de (mxweb002) with ESMTP (Nemesis) id 0LrdPR-1ZDrlX3dtN-013LY6 for [MeinName@web.de]; Fri, 08 May 2015 20:53:07 +0200
DKIM-Signature: a=rsa-sha1; c=relaxed/relaxed; d=bbwdatz.com; s=s512; l=771; x=1431716221; h=From:To:Subject:Date:Message-ID: Content-Type; b=JQLWZ1v9lxpRu0klLOjnsb8HB/mOF/TtC28NazaiUBKdHX8L l1wMnLFyKl4HHs7lR2ffrHciXsmEbUqWt81VgA==
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; d=bbwdatz.com; s=s512; l=771; x=1431716221; h=From:To:Subject: Date:Message-ID:Content-Type; bh=UNjIt2aoxWEJAUmiXHuUPvhu6Co=; b=DL3S7o8yTP6MielEscz+A/Rah4hLan7ip6P5yfpHBtnCfHKNjZwv8jo5g+pD4s 43wNCUIRmGbV1+tKarZnzkRw==
DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws; s=s512; d=bbwdatz.com; b=dDUu8N/WNEQ2PTlWHzUQASGc2Zm4u+/rEOmhpUjnCEHaYPf8J1jt8kM7ibk+hQu1pCziJoCp6ICNWp+O7dLb3g==;
Received: from bbwdatz.com [198.102.10.93] by bbwdatz.com [198.102.10.93]; Fri, 8 May 2015 17:03:10 +0100
MIME-Version: 1.0
From: Personal Invitaion [invitation@bbwdatz.com]
To: MeinName@web.de
Subject: MeinName .120 Free $$ for playing.. just sign and play
Date: Fri, 8 May 2015 17:03:10 +0100
Message-ID: [2-481010-lRmLiV2dA5mbh1mclhWbph2Yh9maP@mta84.bbwdatz.com]
X-Mailer: 4.2.8-134 [Aug 22 2012, 22:57:59]
Content-Type: text/plain; charset="UTF-8"
Envelope-To: [MeinName@web.de]



Hi MeinName
My name is Nicol
How about grabbing a one- hundred no deposit Comp - Win $3.5mill
progressives. You can take advantage right now by following the
instructions below or simply

hitting up live support for more information. There are 200-+ latest
Casinogames on offer

To get started simply



1) Register an account at monarchs online
Push here >> http://bbwdatz.com/freemoneytoday[http://bbwdatz.com/freemoneytoday]
2) Auto credit will add 120 to your account
3) Enjoy and play

Thanks. If you have any questions please simply contact support
below.


Thank You
Nicol
+1 855-363-1742









Click here to unsubscribe:
http://bbwdatz.com/2/unsub.do?e=MeinName@web.de&m=481010

[2;lRmLiV2dA5mbh1mclhWbph2Yh9maP;481010;0j5i2be0FmhRGZ3JXbCYuQDO]

Mittwoch, 6. Mai 2015

DHL-Sendung an meine Blogkontaktadresse ;)

Braucht man nix mehr weiter dazu sagen - den ZIP-Anhang werde ich natürlich nicht öffnen ....



Return-Path: jon@asdal.no
Received: from n20.mail01.mtsvc.net ([216.70.64.55]) by mx-ha.gmx.net (mxgmx102) with ESMTPS (Nemesis) id 0MTvgr-1YgmZl1p6f-00Qj04 for [contact@unan.ne]; Wed, 06 May 2015 13:39:38 +0200
Received: from [46.183.220.105] (port=51546 helo=User) by n20.mail01.mtsvc.net with esmtpa (Exim 4.72) (envelope-from [jon@asdal.no]) id 1Ypxex-0001xH-OT; Wed, 06 May 2015 07:39:27 -0400
Message-Id: [E1Ypxex-0001xH-OT@n20.mail01.mtsvc.net]
From: "DHL Express"[jon@asdal.no]
Subject: DHL AWB# 34 5673 0015 / shipment
Date: Wed, 6 May 2015 14:38:44 +0300
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----=_NextPart_000_0056_01C2A9A6.3F8EF0D8"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
X-Authenticated-User: 917755 admin@bellevuepropertiesstlucia.com
X-MT-ID: 9B384942F5CD2A3905A3EC3651743E8836139F4F
Envelope-To: [contact@unan.ne]
X-GMX-Antispam: 6 (nemesis text pattern profiler); Detail=V3;
X-GMX-Antivirus: 0 (no virus found)
X-UI-Filterresults: junk:10;V01:K0:W0CBJHgI6/4=:cIMQsOh9JyomH4FIsuuLeBV1P4j/ FNwwDXpOPJLEfCBqy7V6CYHsBI+4gE8dXMHoAcW+q/WhScPipwwj8im7qP50R6qWAsbkeq0sO qfnoOETe7/VVlpBM8Bc+zK6Oog2eN6lHes6InocANGrqLucfKgqFJkmXEA4lnUNjiDNblGngj 5yv9x2rpgCuuFZir7JKiW13JXiqm9Bke9baQlqP3v8HTDwlU5hyHz1HXl81lAp3/+LnqJuVcF kmq7rHx24x8gQ1mIQUo6chhZSk3R83JFtQ82oGT88OjoGsL+20i9el0hiB7CYKG5hfh6XGRal liS0Qow9J8QfcCEPOl4eGbCqqk6i7WUJg7rlVcAOYCVwW5M1yrDiD9j4iA+0H4YGtqLSOjf9u QghTHQQX41AkjwD23ZEdTal/e89vVid0w2Dv25+2fEGX+XmRVR0fSPLwPGZ1GGedRBjRd46d3 S8aCDAb9RHxieZVrl4iGn09Er8VWPM+g3wPdSXmkxWBu/VsyIf7fkYVFOg5Vp9WQ8VRiQfA5x H/ryEG2HguoY/w8xh48TUlgDfGTS0uy4cNSTzl6qgzmyxu0eqQUX8uCXNxHCDBkZxd0OLrdSz RiUwuygROvRUaMUvDousAhICYkft/YrY3JG2R6Ga2uXVAv448CSQiMaXqQstn/7BfdMkBRXT8 T9S/FiblqeHAVSX+uNLBu+3mp459GxGjJ1PrAducMBHnH0iodamxnFJQOfldncHXj/hC9UfCH NAvsjSfMABwrFY51+A2sx35Ql1L15xxmt+J7jQteufiE+iXDop9BLSUGoT7obokiQ1ULFsU3Q 188BdGvro7H2LtGHDsFjniM/XqnPHZu/6/BLJSEuGlrRVbmQNlscxrsLeXipe0NVzygm4NCg+ 7UZhXinKGWdTpON3kgT5D1dQ6POCosHOkfkzY5KsrO1Up49tpvQGuqruKaEQPOnHSkzAnIXyt P90hWGeXjRjw9kQVwQTWm3+6kXWyvCThEsDMuwmj/ffP/Nf6sSaz0oRnEEIecIsKJvIvc3x2p /Yqv8VTaWsQtAS1Yw+ZJS5yu8/ssuy3SSrCE1WFuJv4vY+FAvKEl4qAaIKQ2ox7Out4paUb1W CWaqpY+Z7BguNmiu1HCgNYsjVIpvwUslfyfkoAlUNLv+E4Gr/433Tz3mVKY7TY2WlY5Q3CSCg o3huiW2ubCQIHDEB8mtQeT3a8y2N97wG372OU/Um6+f3JHdmFx4uomrZrz/RGb573HEuUzfd0 lDWiu1f5nWhe86cizPkHoWYh5GMTDDfday1DNOdVONss2X3e0bOIbs=




[Documents.zip]


Dear customer,

The following 1 piece(s) have been sent by a Customer via DHL Express dated 6/05/2015 via AWB# 34 5673 0015
Find attached Scanned copy of the shipping documents and more information about the parcel and confirm if the address is correct for shipment.

Thank you.


Montag, 4. Mai 2015

Eine Videonachricht von Jamie auf avengertrader.com

Während die erste des Projekts 95 von heute früh nach ihrer "I. WEB LTD"-Einlage der letzten Wochen zu "geld-ohne-stress.com" unter der IP 220.164.140.184 und dann weiter zu "soxangetrading.com" (IP 46.244.18.168 in den Niederlanden) führte, linkt diese Spam von heute abend wieder zur 220.164.140.186, die dann weiterleitet zur schon hinlänglich bekannten "avengertrader.com" (IP 50.16.244.117 in den USA):


Return-Path: nxfrrznalef@stallamanda.com
Received: from reunite.org ([184.8.128.219]) by mx-ha.gmx.net (mxgmx008) with ESMTP (Nemesis) id 0MK4Vp-1Ynum41Hmf-001Tng for [MeinName@gmx.de]; Mon, 04 May 2015 17:23:52 +0200
From: "Ida Braun" [bnewgrsacd@ceol-na-mara.com]
Reply-To: "Ida Braun" [dtidavacemh@ceol-na-mara.com]
To: sabine.howind@gmx.de
Subject: Jamie hat dir eine Videonachricht hinterlassen
Date: Mon, 04 May 2015 13:16:55 -0300
Envelope-To: [MeinName@gmx.de]



Hier klicken und ansehen[http://www.zced.ru]