\x2Fnotifier\x2F(configINTERNAL\.ini)|(update\.cgi)\?
tid\x3D\x7B([0-9A-z]+\x2D){4}[0-9A-z]+\x7D
\x2Fs(earch)?\x2Ephp3?\x3Fsearch\x3D
<OBJECT\s+[^>]*classid\s*=\s*[\x22\x27]?\s*clsid\s*\x3a\s*\x7B?\s*C0EF89EE-EEC7-4535-A041-F1EBF79560A7
\x2Fxml\x2Ftoolbar\x2F(sports)|(news)|(horoscope2)|(horoscope)|(weather2)|(weather)\.php
^STOR\s+FKS_\w+_\d+-\d+-\d+\.log
^\x2F(TC|FT)PD\s+CONN
^(TC|FT)P\s+Redirections?\s+destroyed\x21
<OBJECT\s+[^>]*classid\s*=\s*[\x22\x27]?\s*clsid\s*\x3a\s*\x7B?\s*07637823-C894-4A52-B3F9-5D77FD8E36A
^\x2F(TC|FT)PD\s+DISC
select\x2FGet(One|SbAts)\x2Ephp
^User-Agent\x3A[^\r\n]*CodeguruBrowser\d+\x2E\d+
^Host\x3A[^\r\n]*richfind\x2Ecom
^Host\x3A[^\r\n]*www\x2Erichfind\x2Ecom
^User-Agent\x3A[^\r\n]*Need2Find\s+Bar
^Host\x3A[^\r\n]*click\x2Edotcomtoolbar\x2Ecom
^Host\x3A[^\r\n]*client\x2Econtextual\x2Eesyndicate\x2Ecom
^Host\x3A[^\r\n]*www\x2Ezhongsou\x2Ecom
\x2Ftba\x2F(cm)|(cu)\?
<OBJECT\s+[^>]*classid\s*=\s*[\x22\x27]?\s*clsid\s*\x3A\s*\x7B?\s*907CA0E5-CE84-11D6-9508-02608CDD2846
^User-Agent\x3A[^\r\n]*eAnthMngr
^Host\x3A[^\r\n]*mp3\x2Ezhongsou\x2Ecom
^Host\x3A[^\r\n]*www\x2Edotcomtoolbar\x2Ecom
^User-Agent\x3A[^\r\n]*GirafaClient
\x2Fengine2?\x2Etxt
^User-Agent\x3A[^\r\n]*MGS-Internal-Web-Manager
^Host\x3A[^\r\n]*www\x2Ebuscandoamigos\x2Ecom
^User-Agent\x3A[^\r\n]*xpsp2-\d+.*Host\x3A[^\r\n]*lifeisfine\x2Eorg
^Host\x3A[^\r\n]*www\x2EZSearchResults\x2Ecom
^User-Agent\x3A[^\r\n]*snprtz\x7Cdialno.*Host\x3A[^\r\n]*linkautomatici\x2Ecom
#^Host\x3A[^\r\n]*ccecaedbebfcaf\x2Ecom.*?uuid=.*?wv=.*?cargo=.*?check=
^Referer\x3A[^\r\n]*http\x3A\x2F\x2Fdiscounts\x2Eshopathome\x2Ecom\x2Fframeset\x2Easp\?
\x2FCU[^\r\n]*\x18\d+\x18True\x18\x16
^0[^\r\n]*Days[^\r\n]*Hours[^\r\n]*Minutes[^\r\n]*Seconds\-[^\r\n]*\|\d+\-[^\r\n]*\-\|
^Referer\x3A[^\r\n]*www\x2Ewowokay\x2Ecom
^Host\x3A[^\r\n]*1\-extreme\x2Ebiz
^Host\x3A[^\r\n]*www\x2Ealfacleaner\x2Ecom
\x2FRF[^\r\n]*\x16
#filename\x3D\x22[^\r\n]*?\x2D\d+\x5F\d+\x5F\d+\x2D\d+\x5F\d+\x5F\d+\s+[AP]M\x2Ezip
\x7BIP\x7D[^\x7D\r\n]*\x7BOS\x7D[^\x7D\r\n]*\x7BUptime\x7D[^\x7D\r\n]*\x7BTrojan\x7D[^\x7D\r\n]*\x7BPSW\x7D[^\x7D\r\n]*\x7BPort\x7D[^\x7D\r\n]*\x7BUser\x7D
^Host\x3A[^\r\n]*traffbest\x2Ebiz
^Host\x3A[^\r\n]*www\x2Etopadwarereviews\x2Ecom
^X-Mailer\x3A[^\r\n]*_\d+_ANSMTP_\d+_.*Subject\x3A[^\r\n]*LOG\s+FILE\s+Current\s+User\x3A
IP\x3A\s+[^\r\n]*\x0d\x0aOS\x3A\s+[^\r\n]*\x0d\x0aSysuptime\x3A\s+[^\r\n]*\x0d\x0aTrojan\x3A\s+[^\r\n]*\x0d\x0aPort\x3A\s+[^\r\n]*\x0d\x0aPassword\x3A\s+[^\r\n]*\x0d\x0aUser\x3A\s+
^Host\x3A[^\r\n]*www\x2Eweepee\x2Ecom
\x2FCU[^\r\n]*\x18\d+\x18\x16
^Host\x3A[^\r\n]*badurl\x2Egrandstreetinteractive\x2Ecom
\x2FCD[^\r\n]*\x18\x16
^Host\x3A\s+www\x2Eemp3finder\x2Ecom
^Host\x3A[^\r\n]*cache\x2Eeverer\x2Ecom
^Referer\x3A[^\r\n]*www\x2Ewowokay\x2Ecom
^User-Agent\x3A[^\r\n]*IEP
^I\x3aNAME\x3a
^User-Agent\x3A[^\r\n]*EFError\s+Internet\s+Connection\s+Test
Hello\x2E\s+This\s+letter\s+contains\s+logfile\s+from
^login\s+[^\r\n]*\x2A[^\r\n]*~EOL!
^Host\x3A[^\r\n]*home\x2Eedonkey\x2Ecom
^Host\x3A[^\r\n]*files-pl\x2Estarware\x2Ecom
^N\x3aUC\x3a\d+\x2c\d+\x2e\d+\x2e\d+\x2e\d+\x2c
^HBand\d+,\d+,\d+,\d+,\d+,\d+~EOL!
^Host\x3A[^\r\n]*toolbar\x2Ehotblox\x2Ecom
^Host\x3a[^\r\n]*name\x2ecnnic\x2ecn
^Host\x3A[^\r\n]*webhancer\x2Ecom
^Keylogger\s+Pro\s+Activity\s+Logs
^Referer\x3A[^\r\n]*as\x2Estarware\x2Ecom\x2Fdp\x2Fsearch\?x=
^Referer\x3a[^\r\n]*www\x2e2-seek\x2ecom\x2fsearch
^Referer\x3a[^\r\n]*www\x2eurlblaze\x2enet.*Host\x3A[^\r\n]*www\x2Epeer2mail\x2Ecom
^OVN.*Mini\s+Oblivion.*Ready
^User-Agent\x3A[^\r\n]+HXDownload
^HELO\s+ProAgent
^From\x3a[^\r\n]*Keylogger-Pro
^Host\x3A[^\r\n]*www\x2E2-seek\x2Ecom
^Host\x3A[^\r\n]*dl\x2Eweb-nexus\x2Enet
^Subject\x3a[^\r\n]*Keylogger
^Host\x3A[^\r\n]*stech\x2Eweb-nexus\x2Enet
^Host\x3A[^\r\n]*www\x2Einternet-optimizer\x2Ecom
^Host\x3A\s+www\x2Esmileycentral\x2Ecom
^Host\x3A[^\r\n]*whenu\x2Ecom
^User-Agent\x3A[^\r\n]*NSIS_DOWNLOAD.*Host\x3A[^\r\n]*tb\x2Efreeprod\x2Ecom
^From\x3A[^\r\n]*\x3Clogs\x40logs\x2Ecom\x3E
^From\x3a[^\r\n]*dialup\x5fvpn\x40hermangroup\x2Eorg.*Subject\x3a[^\r\n]*dialupvpn\x5fpwd.*name\x3d[^\r\n]*\x22reaction\x2Etxt\x22
^User-Agent\x3A[^\r\n]*Visicom\s+Toolbar
^Host\x3A\s+www\x2Einstafinder\x2Ecom
^Host\x3A[^\r\n]*dl\x2Eweb-nexus\x2Enet
^X-Mailer\x3A[^\r\n]*NetTracker
\x23\x23\x23\x23\s+Fen\xeatre\s+\x3a[^\r\n]*\x23\x23\x23\x23
^Host\x3a[^\r\n]*corep\x2Edmcast\x2Ecom
^SpyBuddy\s+Activity\s+Logs
^From\x3a[^\r\n]*SpyBuddy
^SpyBuddy\s+Alert
^Host\x3a[^\r\n]*dddlogin\x2Edudu\x2Ecom
^Host\x3a[^\r\n]*www\x2Eaccoona\x2Ecom
^From\x3a[^\r\n]*NETObserve
^NETObserve\s+Requested\s+Information
^Host\x3a[^\r\n]*show\x2Eroogoo\x2Ecom
^Host\x3a[^\r\n]*media\x2Edxcdirect\x2Ecom
^Host\x3a[^\r\n]*www\x2Esogou\x2Ecom
^Host\x3a[^\r\n]*www\x2Ericercadoppia\x2Ecom
^Subject\x3a[^\r\n]*System\s+Surveillance\s+Log
^version\s+\d+\x2E\d+\s+key\x3a
^\x23\s+Ghost\s+Keylogger\s+has\s+started\x2E
^Host\x3a[^\r\n]*toolsbar\x2Ekuaiso\x2Ecom
^Host\x3a[^\r\n]*www\x2Eeasymessage\x2Enet
^From\x3a\xd0\xc5\xcf\xa2.*Subject\x3a[^\r\n]*\d+\x2d\d+\x2d\d+\x2d\d+\x3a\d+\x3a\d+
^Host\x3a[^\r\n]*ad\x2Emokead\x2Ecom
^X-Mailer\x3a[^\r\n]*mail\s+function
^Subject\x3a[^\r\n]*Report[^\r\n]*from[^\r\n]*ChildWebGuardian
^User-Agent\x3a[^\r\n]*Spy\-Locked
^User-Agent\x3a[^\r\n]*SpyDawn
^SSKC[^\r\n]*v2\x2E0[^\r\n]*Startup[^\r\n]*at
^Cookie\x3a[^\r\n]*www\x2Esnap\x2Ecom[^\r\n]*toolbar_domain_redirect
^X-Mailer\x3a[^\r\n]*ComputerKeylogger\x2Ecom
^X-Mailer\x3a[^\r\n]*A-Spy[^\r\n]*Server
^Host\x3a[^\r\n]*yayad\x2Ecom
^Host\x3a[^\r\n]*www\x2Elookster\x2Enet
^User-Agent\x3a[^\r\n]*Spynova[^\r\n]*Toolbar
^Set-Cookie\x3a[^\r\n]*LastURL\x3dhttp\x3a\x2f\x2fwww\x2e680180\x2enet\x3a80\x2fads\x2f
^Cookie\x3a[^\r\n]*source%3Dultrasearch136%26campaign%3Dsnap
^Host\x3a[^\r\n]*gpstool\x2eglobaladserver\x2ecom
^Host\x3a[^\r\n]*search\x2econduit\x2ecom
^Host\x3a[^\r\n]*scn\x2emystoretoolbar\x2ecom
^User-Agent\x3a[^\r\n]*Toolbar
^X-Mailer\x3a[^\r\n]*Mailer
^User-Agent\x3a[^\r\n]*Updater
^User-Agent\x3a[^\r\n]*PWeb
Motion\s+detected\x21
^From\x3A[^\r\n]*Digi\x2DWatcher\x2Ecom
^Subject\x3A[^\r\n]*Powered\s+Keylogger\s+Logs
Please\x2C\s+find\s+the\s+log\s+file\s+\x28PKL\x29\s+attached\s+to\s+this\s+e\x2Dmail\x2E
Attachment\s+contains\s+Spy\s+Lantern\s+Keylogger.*log\s+file\x2E
filename\x3D\x22[^\r\n]*\x2Eltr\x22
filename\s*\x3D\s*\x22as\x5Freport\x5F[^\x22]+\x2Ezip\x22
Computer\s+Monitor\s+by\s+Lastcomfort
filename\x3D\x22[^\r\n]*akllogs\x2Ezip\x22
^X-Mailer\x3A[^\r\n]*Computer\s+Monitor
Attached\s+\x28ZIP\s+file\x29\s+to\s+this\s+email\s+are\s+the\s+activity\s+logs\s+that\s+you\s+have\s+requested\x2E
^X\x2DMailer\x3A[^\r\n]*Chilkat\s+Software\s+Inc
\x3CTitle\x3EEmail\s+Spy\s+Monitor\s+Logging\s+Report\x3C\x2Ftitle\x3E
Advanced\s+Spy\s+Report\s+for
^User-Agent\x3a[^\r\n]*NetPumper
^User-Agent\x3a[^\r\n]*PeoplePal\s+Version\s+Checker
^User\x2DAgent\x3A[^\r\n]*bar\x2Dget
^User-Agent\x3a[^\r\n]*ContraVirusPro
^X\x2DMailer\x3A[^\r\n]*FindNot\s+GuardDog
^From\x3A[^\r\n]*\x22FindNot\s+GuardDog\x22
^User-Agent\x3a[^\r\n]*EliteProtector
^User-Agent\x3a[^\r\n]*Dealio\s+Toolbar\s+\d+.\d+
^Host\x3a[^\r\n]*www\x2Eeclickz\x2Ecom
^Host\x3a[^\r\n]*tbar\x2Echinarank\x2Eorg\x2Ecn
^Host\x3A[^\r\n]*www\x2Eallcollisions\x2Ecom
^Host\x3a[^\r\n]*registrydefender\x2Etechwithyou\x2Ecom
^Host\x3A[^\r\n]*dl1\x2Evirusheat\x2Ecom
^User-Agent\x3a[^\r\n].*Chinarank\s+Toolbar\x29
^Host\x3a[^\r\n]*www\x2espywarestop\x2ecom
^Host\x3a[^\r\n]*www\x2evirusheat\x2ecom
^Host\x3a[^\r\n]*www\x2Eregistrydefender\x2Ecom
^Host\x3a[^\r\n]*toolbar\x2Elocmag\x2Ecom
^Host\x3a[^\r\n]*www\x2Efind\x2Efm
Subject\x3A[^\r\n]*CYBERsitter\s+Report\s+for\x3A
^User-Agent\x3a[^\r\n]*SystemDefender
^Host\x3a[^\r\n]*www\x2Esys-cleaner\x2Ecom
^Host\x3a[^\r\n]*theonlybookmark\x2ecom
CYBERsitter\s+appears\s+to\s+be\s+functioning
^Host\x3a[^\r\n]*www\x2Ewinxdefender\x2Ecom
^Host\x3a[^\r\n]*safe-strip-download\x2ecom
^Host\x3a[^\r\n]*ieantivirus\x2Ecom
^Host\x3a[^\r\n]*liveresponsesite\x2Ecom
^Host\x3a[^\r\n]*ieantivirus\x2Ecom
^MZKERNEL32\x2eDLL\x00\x00LoadLibraryA\x00\x00\x00\x00GetProcAddress
^User-Agent\x3a[^\r\n]*SpeedRunner
^Host\x3a[^\r\n]*show\x2enewRooGoo\x2ecom
^Rabio\x3a[^\r\n]*RCSE
^Host\x3a[^\r\n]*show\x2enewroogoo\x2ecom
^Host\x3a[^\r\n]*directnameservice2008\x2ecom
^Host\x3a[^\r\n]*www\x2emalwaredestructor\x2ecom
^Host\x3a[^\r\n]*intervarioclick\x2ecom
^\d+\x3baa88\x2edll\x3b\d+\x3b
^User-Agent\x3a[^\r\n]*opera
^Host\x3a[^\r\n]*softwarereferral\x2ecom
^Host\x3a[^\r\n]*44\x2e770304123\x2ecn
^Host\x3a[^\r\n]*rightonadz\x2ebiz
^User-Agent\x3a[^\r\n]*PcPcUpdater
^Host\x3a[^\r\n]*safewebnavigate2008\x2ecom
name\x3d\x22Module\x22\x0d\x0a\x0d\x0a(IEGrabber|IEInjector|IEFaker|IEKeylogger|IETanGrabber|IEScrGrabber|IECertGrab|IEFileGrabber)
^Host\x3a[^\r\n]*server\x2etoolbar\x2erediff\x2ecom
^Host\x3a[^\r\n]*ieantivirus\x2Ecom
^Host\x3a[^\r\n]*www\x2epowersearchtool\x2ecom
^Host\x3a[^\r\n]*free\x2Dviruscan\x2Ecom
^Referer\x3a[^\r\n]*http\x3A\x2F\x2Fmtn5\x2Egoole\x2Ews\x2Fac\x2Ephp
^User-Agent\x3a[^\r\n]*WinSecureDisc
^User-Agent\x3a[^\r\n]*DMFR
^Host\x3a[^\r\n]*a1\x2Emxlivemedia\x2Ecom
^Host\x3a[^\r\n]*free\x2Dviruscan\x2Ecom
^User-Agent\x3a[^\r\n]*CPUSH\x5fHOMEPAGE
^Host\x3a[^\r\n]*www\x2epowersearchtool\x2ecom
^Host\x3a[^\r\n]*www\x2ebravesentry\x2ecom
^Host\x3a[^\r\n]*www\x2ebravesentry\x2ecom
^Host\x3a[^\r\n]*ads\x2enetbios\x2dlocal\x2ecom
url=[^\r\n]*kl\x2Esearch\x2Eneed2find\x2Ecom
^S\x3aUsers\x5c\d+\x2cSTATSTimeTotal
\x2F(f|s)\?[^\r\n]*si=
^Host\x3A[^\r\n]*as\x2Estarware\x2Ecom
^HBand,[^\r\n]*,[^\r\n]*,\d+,\d+\x2A\xD5ZBM
^User-Agent\x3A[^\r\n]*ADROAR
^Host\x3a[^\r\n]*www\x2Eaccoona\x2Ecom
\x2Ftoolbar\x2Fico\x2F[a-zA-Z0-9_%]*\.ico
^Host\x3a[^\r\n]*searches\x2Eworldtostart\x2Ecom
^Host\x3A[^\r\n]*rank\x2Etoolbarbrowser\x2Ecom
#^User-Agent\x3A[^\r\n]*?hostie
^Host\x3A[^\r\n]*loomcompany\x2Ecom
^Host\x3a[^\r\n]*www\x2Epcsentinelsoftware\x2Ecom
^X-Mailer\x3a\s+\xb0\xae\xb6\xf9\xcd\xf8\xb5\xc1
\x2Fclient\x2F(view|tvlistings|tvshowtickets|movietickets)\x2Easpx
\x2Ftoolbar\x2F((version\x2Etxt)|(notifytoolbar\x2Ehtml))
^X-Mailer\x3A[^\r\n]*Eye\s+Spy\s+Pro
#^User-Agent\x3A[^\r\n]*?TSA\x2F[^\r\n]*?Ts2\x2F[^\r\n]*?OS\x2F[^\r\n]*?IE\x2F[^\r\n]*?CD\x2F[^\r\n]*?UID\x2F[^\r\n]*?AID\x2F
^Subject\x3a[^\r\n]*Beyond\s+Keylogger\s+Report\x2E\s+Id\x3d\x5b.*\x5d
^User-Agent\x3A[^\r\n]*FunWebProducts
\<title\>Actual\s+Spy\s+software\s+report\<|2F|title\>
^Host\x3A[^\r\n]*www.piolet.com
^X-Mailer\x3a[^\r\n]*Computer[^\r\n]*Monitor[^\r\n]*Keylogger
^X-FILTERED-BY-GHOST\x3a[^\r\n]*1
\x2Fta\x2FNEWS\x2F[^\r\n]*\x2Frss
\x2Fcgi-bin\x2F[a-zA-Z0-9_]*\.fcgi
^Host\x3A[^\r\n]*dimattic\x2Ecom
^Host\x3A[^\r\n]*www\x2Ewebcruiser\x2Ecc
^User-Agent\x3A[^\r\n]*Toolbar.*Host\x3A[^\r\n]*tool\x2Eworld2\x2Ecn
^Host\x3A[^\r\n]*ppcdomain\x2Eco\x2Euk
^X-OSSproxy\x3a[^\r\n]*OSSProxy
^User-Agent\x3A[^\r\n]*URLBlaze
^Referer\x3A[^\r\n]*downloads\x2Emorpheus\x2Ecom\x2Frotation
^X-Mailer\x3a[^\r\n]*SystemSleuth
#^User-Agent\x3A[^\r\n]*?hotbar
#^Host\x3a[^\r\n]*www\x2Eyok\x2Ecom
^User-Agent\x3a[^\r\n]*Flashbar[^\r\n]*Toolbar[^\r\n]*X
^Server\x3a[^\r\n]*NETObserve
^User-Agent\x3A[^\r\n]*SecureNet\s+Xtra
filename=\x22[^\r\n]*\x2Eltr\x22
\x2Fcbn\x2F(c|b)\.smx\?[^\r\n]*u=
^Host\x3a[^\r\n]*www\x2Ebydou\x2Ecom
^Host\x3a[^\r\n]*client\x2Ebaigoo\x2Ecom
^X-Mailer\x3a[^\r\n]*JMail[^\r\n]*by[^\r\n]*Dimac
Server\x3a[^\r\n]*WatchDog[^\r\n]*Server
^X-Mailer\x3a[^\r\n]*PC[^\r\n]*Black[^\r\n]*Box
^GET\s+\x2FK\x3F[^\r\n]*\x7C*\x7C*\x7C*\s+HTTP*
^Host\x3A[^\r\n]*cs\x2Eshopperreports\x2Ecom
\x2F(dist|SupportFiles)\x2F[^\r\n]*\.compress
^User-Agent\x3A[^\r\n]*snprtz\x7Cdialno.*Host\x3A[^\r\n]*www\x2Eotherchance\x2Ecom
^Host\x3A[^\r\n]*www\x2Ee-finder\x2Ecc
^Host\x3A[^\r\n]*www\x2Esearchadv\x2Ecom