Tay không bắt giặc

Hic, dạo này lên mạng là một loạt tin nhắn Yahoo gửi tới, toàn bị Virus cả. Không hiểu gần đây bọn nào rỗi hơi hay thích thể hiện mà tạo ra nhiều con baby-virus thế không biết. Mấy lần mình tìn cách "bắt" một con chơi mà không được. Hôm này ngồi tìm cách down một con về xem bọn rỗi hơi đó làm cái trò gì.

Đâu tiên là ViewSource cái trang web mà virus câu mình vào, thì đó là một đoạn JavaScript chỉ làm công việc âm thầm down một chương trình Exe về máy mình và thực thi nó. (Nếu ai dùng Firefox thì chẳng bị sao cả). Tiếp đó chạy file Exe đó thì nó làm những công việc bẩn thỉu sau:
+ Disable Taskbar Manager -> Để mình không thể tắt chương trình đang thực hiện của con Virus
+ Disable Regedit -> Để mình không thể loại bỏ việc khởi động máy cùng con Virus dớ dẩn đó
+ Công việc cuối cùng là gửi Message vào toàn bộ danh sách bạn bè của mình trong Yahoo Messager những nội dung đến link trang web chứa con Virus đó.

Nếu mà chỉ có vậy thì công việc loại bỏ con này cũng đơn giản thôi...
Bước đầu tiên là Enable Regedit:
+ Search trên mang chương trình này cũng có, nhưng mình tìm được Code trong VB nên tư mình viết một cái tool để Enable Regedit.

Thứ 2 là loại con Virus lúc khởi động máy:
+ Cách 1: Vào Run gõ msconfig, rồi vào phần StartUp tìm dòng có YMBEST.exe thì Uncheck. Và khởi động lại.
+ Cách 2: Sau khi Enable Regedit, vào Run gõ regedit, rồi vào HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, tìm khóa có chứa YMBEST.exe thì DELETE đi. Và Khởi động lại.

Sau khi khởi động máy xong thì làm những việc sau:
+ Vào thư mục Windows, tìm file YMBEST.exe, xóa đi.
+ Enable Taskmanager bằng cách xếp đoạn code sau ra một file a.reg, rồi chạy nó

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:00000000

Tóm lại: Là mọi người nên sử dụng FIREFOX thay cho IE

PS: Sau khi post xong bài này, mới phát hiện ra bọn virus này còn bẩn hơn nữa khi thay đổi cấu hình của Iexplore của mình. Để xóa nó triệt để, mọi người nên vào regedit rồi Find "YMBEST", gặp cái nào xóa cái đó..