关于查看咖啡规则包的工具显示问题?

麦迪时刻c

请问要有如下的显示怎么显示?.......我用记事本打开了注册表,去除了\和空格,然后用acii码转换..但转换有的转得出来..有的是乱码?..请问..怎么做?....
下面是小邪邪的规则显示:(没有乱码)
AccessProtection {
UserString UR0 "A1 禁止在WINDOWS目录中新建任何文件"
UserEnforce UR0 1
UserReport UR0 1
UserProcess UR0 {Include *;Exclude ACDSee*.exe FireSvc.exe FrameworkService.exe McScript_InUse.exe mmc.exe QQ.exe services.exe svchost.exe WMIADAP.EXE}
UserRule UR0 G_User {File C { Include C:\\WINDOWS\\** }
}

为什么我的显示是乱码:
AccessProtection {
UserString UR0 "A1 绂佹?鍦WINDOWSㄧ洰褰曚腑鏂板缓浠讳綍鏂囦欢"
UserEnforce UR0 1
UserReport UR0 1
UserProcess UR0 {Include *;Exclude FireSvc.exe FrameworkService.exe McScript_InUse.exe mmc.exe services.exe svchost.exe WMIADAP.EXE}
UserRule UR0 G_User {File C { Include C:\\WINDOWS\\** }
}

有网友说是麦咖啡是用utf-8写入的..但我转为unicode和ascii码都不能正常显示了?.为什么......有人知道吗?谢谢..

[ 本帖最后由 麦迪时刻c 于 2007-8-3 12:55 编辑 ]

327935796

是木马.
上次我的QQ丢了就是因为它.
现在马上断开网络,进入安全模式杀毒吧.

是一个病毒！
病毒名称：Trojan/PSW.QQpass.br
中 文 名：“QQ大盗”
病毒类型：木马
危害等级：★★
影响平台：Win 9x/2000/XP/NT/Me/2003
“QQ大盗”病毒可以利用IE浏览器mht漏洞，通过利用该漏洞编写的恶意网页代码，自动下载一个网上的chm文件， “QQ大盗”病毒即内嵌其中并开始自动运行。
1、 该木马程序运行后，将在系统文件夹生成：%SystemDir%\NTdhcp.exe，28400字节。并添加注册表项：[HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run]“NTdhcp” = %SystemDir%\NTdhcp.exe这样，在Windows启动时，木马得以自动运行。
2、 “QQ大盗”病毒（Trojan/PSW.QQpass.br）的盗取目标是用户的QQ号、密码和详细的QQ资料信息。

“QQ大盗”病毒防范措施：

未感染病毒用户：升级杀毒软件（如江民杀毒软件KV2005）病毒库到最新病毒库，开启病毒实监控。将系统打上MHT文件下载执行漏洞补丁程序。

微软官方补丁网址：

http://www.microsoft.com/technet/security/bulletin/MS04-013.mspx

已感染病毒的用户：首先需安装正版杀毒软件并升级最新病毒库，对电脑进行全盘查杀。运行REGEDIT注册表编辑器，定位到[HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run]，将RUN下面的键值“NTdhcp” = %SystemDir%\NTdhcp.exe删除。

手工清除办法：

首先运行任务管理器，查找并结束掉NTdhcp.exe进程

按照病毒文件所在位置System\NTdhcp.exe找到系统目录下的病毒文件，手工删除，。运行REGEDIT注册表编辑器，定位到[HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run]，将RUN下面的键值“NTdhcp” = %SystemDir%\NTdhcp.exe删除。
系统加固办法：
1、使用WINDOWS UPDATE功能自动更新系统补丁。
2、下载安装MHT文件下载执行漏洞补丁。
MHT漏洞官方补丁下载地址： http://www.microsoft.com/technet/security/bulletin/MS04-013.mspx
参考资料：http://it.people.com.cn/GB/42891/42894/3376970.html





QQ大盗木马(Trojan/PSW.Qqpass.br)。利用IE浏览器MHT漏洞，通过利用该漏洞编写的恶意网页代码，自动下载一个网上的CHM文件，该木马即内嵌其中并开始自动运行。该木马表面上号称能刷Q币，而暗中将自己改名为“NTdhcp.exe”，复制自己到System32系统目录，再删除原始文件，运行副本。它将不停的搜集反病毒软件信息，关闭众多的常见反病毒软件进程，删除反病毒的启动项，闭反病毒服务，甚至卸载某些反病毒软件，使得用户机器的安全性能大大下降。它还会在注册表[HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run]项中添加启动信息"NTdhcp"= System32\NTdhcp.exe。该木马的盗取目标是用户的QQ号、密码和详细的QQ资料信息。手动删除时要先结束NTdhcp.exe进程，再到System32下删除NTdhcp.exe文件。要注意，该文件采取了保护措施，需要在“文件夹选项-查看”里去掉“隐藏受保护的操作系统文件(推荐)”的勾选，并设置为“显示所有文件和文件夹”才能看到它。最后将它在注册表中的相关启动项删除即可。清除后可能还要重新修复可能被它破坏掉的杀毒软件与防火墙软件。为了预防，请用户即时更新杀毒软件，并打上官方的“MHT文件下载执行漏洞补丁”(www.microsoft.com/technet/安全等级/bulletin/MS04-013.mspx)。




病毒名称：Trojan/PSW.QQpass.br

中 文 名：“QQ大盗”

病毒类型：木马

危害等级：★★

影响平台：Win 9x/2000/XP/NT/Me/2003

“QQ大盗”病毒可以利用IE浏览器mht漏洞，通过利用该漏洞编写的恶意网页代码，自动下载一个网上的chm文件， “QQ大盗”病毒即内嵌其中并开始自动运行。

1、 该木马程序运行后，将在系统文件夹生成：%SystemDir%\NTdhcp.exe，28400字节。



（图一）

并添加注册表项：[HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run]“NTdhcp” = %SystemDir%\NTdhcp.exe这样，在Windows启动时，木马得以自动运行。



（图二）

2、 “QQ大盗”病毒（Trojan/PSW.QQpass.br）的盗取目标是用户的QQ号、密码和详细的QQ资料信息。

“QQ大盗”病毒防范措施：

未感染病毒用户：升级杀毒软件（如江民杀毒软件KV2005）病毒库到最新病毒库，开启病毒实监控。将系统打上MHT文件下载执行漏洞补丁程序。

微软官方补丁网址：

http://www.microsoft.com/technet/security/bulletin/MS04-013.mspx

已感染病毒的用户：首先需安装正版杀毒软件并升级最新病毒库，对电脑进行全盘查杀。运行REGEDIT注册表编辑器，定位到[HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run]，将RUN下面的键值“NTdhcp” = %SystemDir%\NTdhcp.exe删除。

手工清除办法：

首先运行任务管理器，查找并结束掉NTdhcp.exe进程

按照病毒文件所在位置System\NTdhcp.exe找到系统目录下的病毒文件，手工删除，。运行REGEDIT注册表编辑器，定位到[HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run]，将RUN下面的键值“NTdhcp” = %SystemDir%\NTdhcp.exe删除。

系统加固办法：

1、使用WINDOWS UPDATE功能自动更新系统补丁。

2、下载安装MHT文件下载执行漏洞补丁。

MHT漏洞官方补丁下载地址：

http://www.microsoft.com/technet/security/bulletin/MS04-013.mspx

wowoexec.exe似乎是同时出现的文件，删除为好

NTdhcp.exe - ntdhcp.exe - 进程信息
进程文件：ntdhcp 或者 ntdhcp.exe
进程名称： Trojan-PSW.Win32.QQRob.218

推荐先用超级兔子清理系统垃圾以及流氓垃圾软件

超级兔子魔法设置 v7.58 正式版
http://www.crsky.com/soft/2924.html
Windows流氓软件清理大师 2.3
http://dl.pconline.com.cn/html_2/1/62/id=11111&pn=0.html


然后推荐你用最强的杀木马软件Ewido进行全盘杀毒！卡巴不能解决的问题它都能解决,最好先用优化软件清楚系统垃圾!

在安全模式下保证解决问题

ewido3.5版官方下载地址：

http://download.ewido.net/ewido-setup.exe

注册码：6617-EBE8-D1FD-FEA2

接着关掉自动更新，每次升级后得再次输入注册码.

安装后先升级病毒库,再运行杀毒!

最好进入安全模式杀毒

coppola

mcafee 8.5i 规则在注册表中是以utf-8编码存放的
如果你的规则都是以128个ascii码(可以简单为数字和英文, 编码为一个字节)命名的, 那么你可以通过ascii码转是可以看到的
如果你的规则同时又有汉字(编码为两个字节), 那么你就不能直接通过ascii码转换看到
所以要看到mcafee的规则需要了解下面几个字符编码
utf-8 <=> unicode <=> gb2312(gbk)
这方面的知识网上都有一堆的介绍
LZ可以去看看

麦迪时刻c

原帖由 coppola 于 2007-8-3 08:55 发表
mcafee 8.5i 规则在注册表中是以utf-8编码存放的
如果你的规则都是以128个ascii码(可以简单为数字和英文, 编码为一个字节)命名的, 那么你可以通过ascii码转是可以看到的
如果你的规则同时又有汉字(编码为两 ...

谢谢提供方向

麦迪时刻c

二楼的水不是这样灌的吧...晕哦..

[ 本帖最后由 麦迪时刻c 于 2007-8-3 12:58 编辑 ]

jiuding

原帖由 麦迪时刻c 于 2007-8-3 11:11 发表
二楼的水不是这样灌的吧...晕哦..

呵呵，我开始也被搞晕了

83890311

二楼的。。。。
他在想什么呢？

麦迪时刻c

......有人知道吗?....一天了....搞得要捉狂了.

yashoo

我是用reg workshop看的，导出来的格式就是楼主那种。。