Example of log file:

The current date and time of new log: Mon Nov 08 00:29:35 2004

Thread 1552, Function: gethostbyname
Host Name: 
Host Entity Name: CR266634-A
Aliases Names:
IPs:
24.113.77.91

Thread 1552, Function: connect
Socket 316
(Family=2, Port=80, IP=66.187.97.131) 
Thread 1552, Function: send (to 66.187.97.131:80)
Socket 316
Buffer Address: 0x001A1620
Length: 115
Flags 0x00000000
47 45 54 20 2F 77 70 61 64 2E 64 61 74 20 48 54       GET /wpad.dat HT 
54 50 2F 31 2E 31 0D 0A 41 63 63 65 70 74 3A 20       TP/1.1..Accept:  
2A 2F 2A 0D 0A 55 73 65 72 2D 41 67 65 6E 74 3A       */*..User-Agent: 
20 4D 6F 7A 69 6C 6C 61 2F 34 2E 30 20 28 63 6F        Mozilla/4.0 (co 
6D 70 61 74 69 62 6C 65 3B 20 4D 53 49 45 20 36       mpatible; MSIE 6
2E 30 3B 20 57 69 6E 33 32 29 0D 0A 48 6F 73 74       .0; Win32)..Host
3A 20 36 36 2E 31 38 35 2E 39 35 2E 31 33 31 0D       : 66.187.97.131. 
0A 0D 0A                                              ... 
Thread 1552, Function: recv (from 66.187.97.131:80)
Socket 316
Buffer Address: 0x001A16A0
Length: 291
Flags 0x00000000
48 54 54 50 2F 31 2E 31 20 32 30 30 20 4F 4B 0D       HTTP/1.1 200 OK. 
0A 44 61 74 65 3A 20 4D 6F 6E 2C 20 30 38 20 4E       .Date: Mon, 08 N 
6F 76 20 32 30 30 34 20 30 35 3A 31 34 3A 35 33       ov 2004 05:14:53 
20 47 4D 54 0D 0A 43 6F 6E 74 65 6E 74 2D 4C 65        GMT..Content-Le 
6E 67 74 68 3A 20 35 31 31 0D 0A 43 6F 6E 74 65       ngth: 511..Conte 
6E 74 2D 54 79 70 65 3A 20 61 70 70 6C 69 63 61       nt-Type: applica 
74 69 6F 6E 2F 78 2D 6E 73 2D 70 72 6F 78 79 2D       tion/x-ns-proxy- 
61 75 74 6F 63 6F 6E 66 69 67 0D 0A 45 78 70 69       autoconfig..Expi 
72 65 73 3A 20 4D 6F 6E 2C 20 30 38 20 4E 6F 76       res: Mon, 08 Nov 
20 32 30 30 34 20 30 35 3A 31 34 3A 35 33 20 47        2004 05:14:53 G 
4D 54 0D 0A 43 61 63 68 65 2D 43 6F 6E 74 72 6F       MT..Cache-Contro 
6C 3A 20 6E 6F 2D 63 61 63 68 65 2C 20 6D 61 78       l: no-cache, max 
2D 61 67 65 3D 30 0D 0A 58 2D 50 61 64 3A 20 77       -age=0..X-Pad: w 
6F 72 6B 20 61 72 6F 75 6E 64 20 62 72 6F 77 73       ork around brows 
65 72 20 62 75 67 0D 0A 50 72 61 67 6D 61 3A 20       er bug..Pragma:  
6E 6F 2D 63 61 63 68 65 0D 0A 56 69 61 3A 20 31       no-cache..Via: 1 
2E 31 20 77 63 30 35 20 28 4E 65 74 43 61 63 68       .1 wc05 (NetCach 
65 20 4E 65 74 41 70 70 2F 35 2E 35 52 33 29 0D       e NetApp/5.5R3). 
0A 0D 0A                                              ...              
Thread 1552, Function: CreateFile
C:\WINNT\Profiles\Administrator\Local Settings\Temporary Internet Files\Content.IE5\W12BKTIV\wpad[1].dat WO (handle: 300)

Thread 1552, Function: recv (from 66.187.97.131:80)
Socket 316
Buffer Address: 0x001A1C10
Length: 511
Flags 0x00000000
66 75 6E 63 74 69 6F 6E 20 46 69 6E 64 50 72 6F       function FindPro 
78 79 46 6F 72 55 52 4C 28 75 72 6C 2C 20 68 6F       xyForURL(url, ho 
73 74 29 0D 0A 7B 0D 0A 69 66 20 28 73 68 45 78       st)..{..if (shEx 
70 4D 61 74 63 68 28 68 6F 73 74 2C 20 22 77 75       pMatch(host, "wu 
73 74 61 74 2E 77 69 6E 64 6F 77 73 2E 63 6F 6D       stat.windows.com 
22 29 7C 7C 0D 0A 20 20 20 20 73 68 45 78 70 4D       ")||..    shExpM 
61 74 63 68 28 68 6F 73 74 2C 20 22 77 77 77 2E       atch(host, "www. 
74 6F 72 6F 6E 74 6F 6D 6C 73 2E 6E 65 74 22 29       torontomls.net") 
7C 7C 0D 0A 20 20 20 20 73 68 45 78 70 4D 61 74       ||..    shExpMat 
63 68 28 68 6F 73 74 2C 20 22 76 34 2E 77 69 6E       ch(host, "v4.win 
64 6F 77 73 75 70 64 61 74 65 2E 2A 22 29 7C 7C       dowsupdate.*")|| 
0D 0A 20 20 20 20 73 68 45 78 70 4D 61 74 63 68       ..    shExpMatch 
28 75 72 6C 2C 20 22 68 74 74 70 3A 2F 2F 77 77       (url, "http://ww 
77 2E 6D 69 63 72 6F 73 6F 66 74 2E 63 6F 6D 2F       w.microsoft.com/ 
69 73 61 70 69 2F 72 65 64 69 72 2E 64 6C 6C 2A       isapi/redir.dll* 
22 29 7C 7C 0D 0A 20 20 20 20 73 68 45 78 70 4D       ")||..    shExpM 
61 74 63 68 28 75 72 6C 2C 20 22 68 74 74 70 3A       atch(url, "http: 
2F 2F 77 77 77 2E 74 6F 72 6F 6E 74 6F 6D 6C 73       //www.torontomls 
2E 6E 65 74 2F 4C 6F 67 69 6E 2E 61 73 70 2A 22       .net/Login.asp*" 
29 7C 7C 0D 0A 20 20 20 20 73 68 45 78 70 4D 61       )||..    shExpMa 
74 63 68 28 68 6F 73 74 2C 20 22 77 69 6E 64 6F       tch(host, "windo 
77 73 75 70 64 61 74 65 2E 2A 22 29 29 0D 0A 09       wsupdate.*"))... 
0D 0A 20 20 20 20 20 20 20 20 72 65 74 75 72 6E       ..        return 
20 22 44 49 52 45 43 54 22 3B 0D 0A 0D 0A 69 66        "DIRECT";....if 
20 28 75 72 6C 2E 73 75 62 73 74 72 69 6E 67 28        (url.substring( 
30 2C 20 35 29 20 3D 3D 20 22 68 74 74 70 3A 22       0, 5) == "http:" 
20 7C 7C 20 75 72 6C 2E 73 75 62 73 74 72 69 6E        || url.substrin 
67 28 30 2C 20 34 29 20 3D 3D 20 22 66 74 70 3A       g(0, 4) == "ftp: 
22 29 20 20 72 65 74 75 72 6E 20 22 50 52 4F 58       ")  return "PROX 
59 20 63 61 63 68 65 3A 38 30 38 30 3B 20 44 49       Y cache:8080; DI 
52 45 43 54 22 3B 0D 0A 0D 0A 72 65 74 75 72 6E       RECT";....return 
20 22 44 49 52 45 43 54 22 3B 0D 0A 0D 0A 7D           "DIRECT";....} 
 
Thread 1552, Function: recv (from 66.187.97.131:80)
Socket 316
Buffer Address: 0x026EF377
Length: -1
Flags 0x00000002

Thread 1552, Function: WriteFile
Handle: 300, Number of Bytes: 511
66 75 6E 63 74 69 6F 6E 20 46 69 6E 64 50 72 6F       function FindPro 
78 79 46 6F 72 55 52 4C 28 75 72 6C 2C 20 68 6F       xyForURL(url, ho 
73 74 29 0D 0A 7B 0D 0A 69 66 20 28 73 68 45 78       st)..{..if (shEx 
70 4D 61 74 63 68 28 68 6F 73 74 2C 20 22 77 75       pMatch(host, "wu 
73 74 61 74 2E 77 69 6E 64 6F 77 73 2E 63 6F 6D       stat.windows.com 
22 29 7C 7C 0D 0A 20 20 20 20 73 68 45 78 70 4D       ")||..    shExpM 
61 74 63 68 28 68 6F 73 74 2C 20 22 77 77 77 2E       atch(host, "www. 
74 6F 72 6F 6E 74 6F 6D 6C 73 2E 6E 65 74 22 29       torontomls.net") 
7C 7C 0D 0A 20 20 20 20 73 68 45 78 70 4D 61 74       ||..    shExpMat 
63 68 28 68 6F 73 74 2C 20 22 76 34 2E 77 69 6E       ch(host, "v4.win 
64 6F 77 73 75 70 64 61 74 65 2E 2A 22 29 7C 7C       dowsupdate.*")|| 
0D 0A 20 20 20 20 73 68 45 78 70 4D 61 74 63 68       ..    shExpMatch 
28 75 72 6C 2C 20 22 68 74 74 70 3A 2F 2F 77 77       (url, "http://ww 
77 2E 6D 69 63 72 6F 73 6F 66 74 2E 63 6F 6D 2F       w.microsoft.com/ 
69 73 61 70 69 2F 72 65 64 69 72 2E 64 6C 6C 2A       isapi/redir.dll* 
22 29 7C 7C 0D 0A 20 20 20 20 73 68 45 78 70 4D       ")||..    shExpM 
61 74 63 68 28 75 72 6C 2C 20 22 68 74 74 70 3A       atch(url, "http: 
2F 2F 77 77 77 2E 74 6F 72 6F 6E 74 6F 6D 6C 73       //www.torontomls 
2E 6E 65 74 2F 4C 6F 67 69 6E 2E 61 73 70 2A 22       .net/Login.asp*" 
29 7C 7C 0D 0A 20 20 20 20 73 68 45 78 70 4D 61       )||..    shExpMa 
74 63 68 28 68 6F 73 74 2C 20 22 77 69 6E 64 6F       tch(host, "windo 
77 73 75 70 64 61 74 65 2E 2A 22 29 29 0D 0A 09       wsupdate.*"))... 
0D 0A 20 20 20 20 20 20 20 20 72 65 74 75 72 6E       ..        return 
20 22 44 49 52 45 43 54 22 3B 0D 0A 0D 0A 69 66        "DIRECT";....if 
20 28 75 72 6C 2E 73 75 62 73 74 72 69 6E 67 28        (url.substring( 
30 2C 20 35 29 20 3D 3D 20 22 68 74 74 70 3A 22       0, 5) == "http:" 
20 7C 7C 20 75 72 6C 2E 73 75 62 73 74 72 69 6E        || url.substrin 
67 28 30 2C 20 34 29 20 3D 3D 20 22 66 74 70 3A       g(0, 4) == "ftp: 
22 29 20 20 72 65 74 75 72 6E 20 22 50 52 4F 58       ")  return "PROX 
59 20 63 61 63 68 65 3A 38 30 38 30 3B 20 44 49       Y cache:8080; DI 
52 45 43 54 22 3B 0D 0A 0D 0A 72 65 74 75 72 6E       RECT";....return 
20 22 44 49 52 45 43 54 22 3B 0D 0A 0D 0A 7D           "DIRECT";....} 
 
Thread 1640, Function: CreateFile
C:\WINNT\Profiles\Administrator\Cookies\administrator@www[1].txt RO (handle: 256)

Thread 1640, Function: ReadFile
Handle: 256, Number of Bytes: 81
72 6F 67 65 72 73 69 64 0A 69 6D 65 64 69 61 30       rogersid.imedia0 
36 34 32 33 39 36 38 31 38 30 33 39 32 0A 77 77       6423968180392.ww 
77 2F 0A 31 30 38 38 0A 33 31 39 34 35 36 39 39       w/.1088.31945699 
38 34 0A 32 39 37 32 37 36 39 36 0A 34 33 35 31       84.29727696.4351 
35 39 30 30 38 0A 32 39 36 35 35 32 37 37 0A 2A       59008.29655277.* 0A                                                    .