查看: 2092|回复: 8
收起左侧

关于查看咖啡规则包的工具显示问题?

[复制链接]
麦迪时刻c
头像被屏蔽
发表于 2007-8-3 01:21:37 | 显示全部楼层 |阅读模式
请问要有如下的显示怎么显示?.......我用记事本打开了注册表,去除了\和空格,然后用acii码转换..但转换有的转得出来..有的是乱码?..请问..怎么做?....
下面是小邪邪的规则显示:(没有乱码)
AccessProtection {
UserString UR0 "A1 禁止在WINDOWS目录中新建任何文件"
UserEnforce UR0 1
UserReport UR0 1
UserProcess UR0 {Include *;Exclude ACDSee*.exe FireSvc.exe FrameworkService.exe McScript_InUse.exe mmc.exe QQ.exe services.exe svchost.exe WMIADAP.EXE}
UserRule UR0 G_User {File C { Include C:\\WINDOWS\\** }
}

为什么我的显示是乱码:
AccessProtection {
UserString UR0 "A1 绂佹?鍦WINDOWSㄧ洰褰曚腑鏂板缓浠讳綍鏂囦欢"
UserEnforce UR0 1
UserReport UR0 1
UserProcess UR0 {Include *;Exclude FireSvc.exe FrameworkService.exe McScript_InUse.exe mmc.exe services.exe svchost.exe WMIADAP.EXE}
UserRule UR0 G_User {File C { Include C:\\WINDOWS\\** }
}

有网友说是麦咖啡是用utf-8写入的..但我转为unicode和ascii码都不能正常显示了?.为什么......有人知道吗?谢谢..

[ 本帖最后由 麦迪时刻c 于 2007-8-3 12:55 编辑 ]
327935796
头像被屏蔽
发表于 2007-8-3 08:41:23 | 显示全部楼层
是木马.
上次我的QQ丢了就是因为它.
现在马上断开网络,进入安全模式杀毒吧.

是一个病毒!
病毒名称:Trojan/PSW.QQpass.br
中 文 名:“QQ大盗”
病毒类型:木马
危害等级:★★
影响平台:Win 9x/2000/XP/NT/Me/2003
“QQ大盗”病毒可以利用IE浏览器mht漏洞,通过利用该漏洞编写的恶意网页代码,自动下载一个网上的chm文件, “QQ大盗”病毒即内嵌其中并开始自动运行。
1、 该木马程序运行后,将在系统文件夹生成:%SystemDir%\NTdhcp.exe,28400字节。并添加注册表项:[HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run]“NTdhcp” = %SystemDir%\NTdhcp.exe这样,在Windows启动时,木马得以自动运行。
2、 “QQ大盗”病毒(Trojan/PSW.QQpass.br)的盗取目标是用户的QQ号、密码和详细的QQ资料信息。

“QQ大盗”病毒防范措施:

未感染病毒用户:升级杀毒软件(如江民杀毒软件KV2005)病毒库到最新病毒库,开启病毒实监控。将系统打上MHT文件下载执行漏洞补丁程序。

微软官方补丁网址:

http://www.microsoft.com/technet/security/bulletin/MS04-013.mspx

已感染病毒的用户:首先需安装正版杀毒软件并升级最新病毒库,对电脑进行全盘查杀。运行REGEDIT注册表编辑器,定位到[HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run],将RUN下面的键值“NTdhcp” = %SystemDir%\NTdhcp.exe删除。

手工清除办法:

首先运行任务管理器,查找并结束掉NTdhcp.exe进程

按照病毒文件所在位置System\NTdhcp.exe找到系统目录下的病毒文件,手工删除,。运行REGEDIT注册表编辑器,定位到[HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run],将RUN下面的键值“NTdhcp” = %SystemDir%\NTdhcp.exe删除。
系统加固办法:
1、使用WINDOWS UPDATE功能自动更新系统补丁。
2、下载安装MHT文件下载执行漏洞补丁。
MHT漏洞官方补丁下载地址: http://www.microsoft.com/technet/security/bulletin/MS04-013.mspx
参考资料:http://it.people.com.cn/GB/42891/42894/3376970.html





QQ大盗木马(Trojan/PSW.Qqpass.br)。利用IE浏览器MHT漏洞,通过利用该漏洞编写的恶意网页代码,自动下载一个网上的CHM文件,该木马即内嵌其中并开始自动运行。该木马表面上号称能刷Q币,而暗中将自己改名为“NTdhcp.exe”,复制自己到System32系统目录,再删除原始文件,运行副本。它将不停的搜集反病毒软件信息,关闭众多的常见反病毒软件进程,删除反病毒的启动项,闭反病毒服务,甚至卸载某些反病毒软件,使得用户机器的安全性能大大下降。它还会在注册表[HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run]项中添加启动信息"NTdhcp"= System32\NTdhcp.exe。该木马的盗取目标是用户的QQ号、密码和详细的QQ资料信息。手动删除时要先结束NTdhcp.exe进程,再到System32下删除NTdhcp.exe文件。要注意,该文件采取了保护措施,需要在“文件夹选项-查看”里去掉“隐藏受保护的操作系统文件(推荐)”的勾选,并设置为“显示所有文件和文件夹”才能看到它。最后将它在注册表中的相关启动项删除即可。清除后可能还要重新修复可能被它破坏掉的杀毒软件与防火墙软件。为了预防,请用户即时更新杀毒软件,并打上官方的“MHT文件下载执行漏洞补丁”(www.microsoft.com/technet/安全等级/bulletin/MS04-013.mspx)。




病毒名称:Trojan/PSW.QQpass.br

中 文 名:“QQ大盗”

病毒类型:木马

危害等级:★★

影响平台:Win 9x/2000/XP/NT/Me/2003

“QQ大盗”病毒可以利用IE浏览器mht漏洞,通过利用该漏洞编写的恶意网页代码,自动下载一个网上的chm文件, “QQ大盗”病毒即内嵌其中并开始自动运行。

1、 该木马程序运行后,将在系统文件夹生成:%SystemDir%\NTdhcp.exe,28400字节。



(图一)

并添加注册表项:[HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run]“NTdhcp” = %SystemDir%\NTdhcp.exe这样,在Windows启动时,木马得以自动运行。



(图二)

2、 “QQ大盗”病毒(Trojan/PSW.QQpass.br)的盗取目标是用户的QQ号、密码和详细的QQ资料信息。

“QQ大盗”病毒防范措施:

未感染病毒用户:升级杀毒软件(如江民杀毒软件KV2005)病毒库到最新病毒库,开启病毒实监控。将系统打上MHT文件下载执行漏洞补丁程序。

微软官方补丁网址:

http://www.microsoft.com/technet/security/bulletin/MS04-013.mspx

已感染病毒的用户:首先需安装正版杀毒软件并升级最新病毒库,对电脑进行全盘查杀。运行REGEDIT注册表编辑器,定位到[HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run],将RUN下面的键值“NTdhcp” = %SystemDir%\NTdhcp.exe删除。

手工清除办法:

首先运行任务管理器,查找并结束掉NTdhcp.exe进程

按照病毒文件所在位置System\NTdhcp.exe找到系统目录下的病毒文件,手工删除,。运行REGEDIT注册表编辑器,定位到[HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run],将RUN下面的键值“NTdhcp” = %SystemDir%\NTdhcp.exe删除。

系统加固办法:

1、使用WINDOWS UPDATE功能自动更新系统补丁。

2、下载安装MHT文件下载执行漏洞补丁。

MHT漏洞官方补丁下载地址:

http://www.microsoft.com/technet/security/bulletin/MS04-013.mspx

wowoexec.exe似乎是同时出现的文件,删除为好

NTdhcp.exe - ntdhcp.exe - 进程信息
进程文件:ntdhcp 或者 ntdhcp.exe
进程名称: Trojan-PSW.Win32.QQRob.218

推荐先用超级兔子清理系统垃圾以及流氓垃圾软件

超级兔子魔法设置 v7.58 正式版
http://www.crsky.com/soft/2924.html
Windows流氓软件清理大师 2.3
http://dl.pconline.com.cn/html_2/1/62/id=11111&pn=0.html


然后推荐你用最强的杀木马软件Ewido进行全盘杀毒!卡巴不能解决的问题它都能解决,最好先用优化软件清楚系统垃圾!

在安全模式下保证解决问题

ewido3.5版官方下载地址:

http://download.ewido.net/ewido-setup.exe

注册码:6617-EBE8-D1FD-FEA2

接着关掉自动更新,每次升级后得再次输入注册码.

安装后先升级病毒库,再运行杀毒!

最好进入安全模式杀毒
coppola
发表于 2007-8-3 08:55:49 | 显示全部楼层
mcafee 8.5i 规则在注册表中是以utf-8编码存放的
如果你的规则都是以128个ascii码(可以简单为数字和英文, 编码为一个字节)命名的, 那么你可以通过ascii码转是可以看到的
如果你的规则同时又有汉字(编码为两个字节), 那么你就不能直接通过ascii码转换看到
所以要看到mcafee的规则需要了解下面几个字符编码
utf-8 <=> unicode <=> gb2312(gbk)
这方面的知识网上都有一堆的介绍
LZ可以去看看
麦迪时刻c
头像被屏蔽
 楼主| 发表于 2007-8-3 09:34:53 | 显示全部楼层
原帖由 coppola 于 2007-8-3 08:55 发表
mcafee 8.5i 规则在注册表中是以utf-8编码存放的
如果你的规则都是以128个ascii码(可以简单为数字和英文, 编码为一个字节)命名的, 那么你可以通过ascii码转是可以看到的
如果你的规则同时又有汉字(编码为两 ...

谢谢提供方向
麦迪时刻c
头像被屏蔽
 楼主| 发表于 2007-8-3 11:11:50 | 显示全部楼层
二楼的水不是这样灌的吧...晕哦..

[ 本帖最后由 麦迪时刻c 于 2007-8-3 12:58 编辑 ]
jiuding
发表于 2007-8-3 13:14:04 | 显示全部楼层
原帖由 麦迪时刻c 于 2007-8-3 11:11 发表
二楼的水不是这样灌的吧...晕哦..

呵呵,我开始也被搞晕了
83890311
发表于 2007-8-3 14:05:54 | 显示全部楼层
二楼的。。。。
他在想什么呢?
麦迪时刻c
头像被屏蔽
 楼主| 发表于 2007-8-3 14:34:03 | 显示全部楼层
......有人知道吗?....一天了....搞得要捉狂了.
yashoo
头像被屏蔽
发表于 2007-8-3 16:03:37 | 显示全部楼层
我是用reg workshop看的,导出来的格式就是楼主那种。。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 01:50 , Processed in 0.129709 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表