1. /
  2. Security Response/
  3. W32.Yaha Removal Tool
  • Ajouter

W32.Yaha Removal Tool

Découvert :
3 Juillet 2002
Mis à jour :
13 Février 2007 11:34:01 AM
Type :
Removal Information

Fonctions de l'outil
L'outil de suppression de W32.Yaha.E@mm/W32.Yaha.F@mm/W32.Yaha.K@mm/W32.Yaha.L@mm effectue les opérations suivantes :
  1. Il termine tous les processus des virus W32.Yaha.E@mm, W32.Yaha.F@mm, W32.Yaha.K@mm et W32.Yaha.L@mm.
  2. Il supprime les fichiers infectés par les virus W32.Yaha.E@mm, W32.Yaha.F@mm, W32.Yaha.K@mm et W32.Yaha.L@mm.
  3. Il répare l'entrée de registre modifiée par le ver.
Options de lignes de commande disponibles avec cet outil
Option
Description
/HELP, /H, /?
Affiche le message d'aide.
/NOFIXREG
Désactive la réparation du registre (l'utilisation de cette option n'est pas recommandée).
/SILENT, /S
Active le mode silencieux.
/LOG=<chemin>
Crée un fichier journal. <chemin> représente l'emplacement où le résultat de l'outil doit être stocké. Par défaut, cette option crée le fichier journal FixYaha.log dans le dossier depuis lequel l'outil a été exécuté.
/MAPPED
Analyse les lecteurs réseau mappés (l'utilisation de ce switch n'est pas recommandée. Reportez-vous à la remarque ci-dessous).
/START
Force le démarrage immédiat de l'analyse.
/EXCLUDE=<chemin>
Exclut de l'analyse le <chemin> spécifié (l'utilisation de ce switch n'est pas recommandée).


REMARQUE : L'utilisation de /MAPPED n'assure pas la suppression totale du virus sur l'ordinateur distant, pour les raisons suivantes :
  • L'analyse de lecteurs mappés n'examine que les dossiers mappés. Cela n'inclut pas nécessairement tous les dossiers de l'ordinateur distant et peut entraîner la non-détection de certains éléments infectés.
  • Si un fichier infecté est détecté sur le lecteur mappé, la suppression échoue si ce fichier est utilisé par un programme de l'ordinateur distant.
    Par conséquent, vous devez exécuter l'outil sur chacun des ordinateurs.

Obtention et exécution de l'outil

IMPORTANT. Lisez attentivement les remarques ci-après avant de commencer.
  • Vous devez disposer de droits d'administrateur afin d'exécuter cet outil sous Windows NT 4.0, Windows 2000 ou Windows XP. Si vous ne savez pas comment procéder ou si vous ne disposez pas de ces droits, contactez votre administrateur réseau ou un consultant informatique.
  • Si vous utilisez l'outil pour supprimer l'infection du ver W32.Yaha.K@mm ou W32.Yaha.L@mm sur un poste Windows XP, vous devez exécuter l'outil en Mode sans échec.
  1. Téléchargez le fichier FixYaha.com à partir de :
    http://securityresponse.symantec.com/avcenter/FixYaha.com
  2. Enregistrez le fichier dans un dossier approprié, tel que le dossier de téléchargement ou le bureau Windows (ou sur un support amovible non infecté, si possible).
  3. Pour vérifier l'authenticité de la signature numérique, reportez-vous à la section Signature numérique.
  4. Fermez tous les programmes en cours d'exécution avant d'exécuter l'outil.
  5. Si vous travaillez en réseau ou si vous possédez une connexion Internet permanente, déconnectez l'ordinateur du réseau et d'Internet.
  6. Si vous utilisez Windows Me ou XP, désactivez la fonction Restauration du système. Pour plus d'informations, reportez-vous à la section Option Restauration du système de Windows Me/XP.

    ATTENTION : Si vous utilisez Windows Me/XP, il est vivement recommandé d'appliquer ces consignes.
  7. Si vous utilisez l'outil pour supprimer l'infection du ver W32.Yaha.K@mm ou W32.Yaha.L@mm sur un poste Windows XP, relancez l'ordinateur en mode sans échec. Tous les systèmes d'exploitation 32 bits Windows, sauf Windows NT, peuvent être redémarrés en mode sans échec. Pour des instructions détaillées, consultez le document Comment démarrer l'ordinateur en mode sans échec.
  8. Cliquez deux fois sur le fichier FixYaha.com pour lancer l'outil de suppression.
  9. Cliquez sur Démarrer pour lancer la procédure, puis laissez l'outil travailler.
  10. Redémarrez l'ordinateur.
  11. Exécutez de nouveau l'outil de suppression pour vous assurer que le système est totalement nettoyé.
  12. Si vous utilisez Windows Me ou XP, réactivez Restauration du système.
  13. Exécutez LiveUpdate pour vous assurer que vous possédez les toutes dernières définitions de virus.
  14. Démarrez votre produit anti-virus Symantec puis exécutez une analyse complète du système.
1.
REMARQUE : La procédure de suppression peut échouer sous Windows Me/XP si la fonction Restauration du système n'a pas été désactivée, car Windows empêche la modification de Restauration du système par un programme tiers. Par conséquent, l'outil de suppression risque d'échouer.

Lorsque l'outil a terminé, un message indiquant si l'ordinateur était infecté par W32.Yaha.E@mm/W32.Yaha.F@mm/W32.Yaha.K@mm/W32.Yaha.L@mm apparaît. Si le ver a été supprimé, le programme affiche les résultats suivants :
  • Nombre total de fichiers analysés
  • Nombre de fichiers supprimés
  • Nombre de processus viraux arrêtés
  • Nombre d'entrées de registre corrigées

Signature numérique
FixYaha.com porte une signature numérique. Symantec vous recommande de n'utiliser que les copies de FixYaha.com téléchargées directement depuis le site de Symantec Security Response. Pour vérifier l'authenticité de la signature numérique, suivez ces étapes :
  1. Accédez au site http://www.wmsoftware.com/free.htm.
  2. Téléchargez le fichier Chktrust.exe et enregistrez-le dans le dossier où vous avez enregistré FixYaha.com (par exemple, C:\Downloads).
  3. En fonction de votre système d'exploitation, effectuez l'une des opérations suivantes :
    • Cliquez sur Démarrer, pointez sur Programmes, puis cliquez sur Commandes MS-DOS.
    • Cliquez sur Démarrer, pointez sur Programmes, cliquez sur Accessoires, puis sur Invite de commandes.
  4. Accédez au dossier contenant FixYaha.com et Chktrust.exe, puis saisissez :

    chktrust -i FixYaha.com

    Par exemple, si vous avez enregistré le fichier dans C:\Downloads, entrez les commandes suivantes :

    cd\
    cd downloads
    chktrust -i FixYaha.com


    Appuyez sur Entrée après avoir saisi chaque commande. Si la signature numérique est valide, le message suivant apparaît :

    Souhaitez-vous installer et exécuter "W32.Yaha Fix Tool" signé le 03/07/2002 1:26 PM et distribué par Symantec Corporation ?

    REMARQUES :
    • La date et l'heure affichées dans cette boîte de dialogue sont ajustées en fonction de votre fuseau horaire si votre ordinateur n'utilise pas le fuseau Pacifique.
    • Si vous utilisez l'option Ajuster l'horloge pour l'observation automatique de l'heure d'été, le système indique qu'il est exactement une heure plus tôt.
    • Si cette boîte de dialogue n'apparaît pas, il peut y avoir deux explications :
      • L'outil ne provient pas de Symantec. A moins d'être certain de la légitimité de l'outil et de l'avoir téléchargé à partir du site officiel de Symantec, ne l'exécutez pas.
      • L'outil provient de Symantec et est légitime. Toutefois, votre système d'exploitation avait pour instruction de toujours accepter le contenu provenant de Symantec. Pour plus d'informations sur ce point et sur la manière d'afficher de nouveau la boîte de dialogue de confirmation, reportez-vous au document (en anglais) How to restore the Publisher Authenticity confirmation dialog box.
  5. Cliquez sur Oui pour fermer la boîte de dialogue.
  6. Tapez exit, puis appuyez sur Entrée. Cela ferme la session MS-DOS.

Option Restauration du système de Windows Me/XP
Les utilisateurs de Windows Me et de Windows XP doivent temporairement désactiver l'option Restauration du système. Cette fonction, activée par défaut, sert à Windows Me/XP à restaurer des fichiers sur l'ordinateur s'ils sont endommagés. Lorsqu'un ordinateur est infecté par un virus, un ver ou un cheval de Troie, les éléments infectieux peuvent être sauvegardés par Restauration du système. Par défaut, Windows empêche tout programme externe de modifier la fonction Restauration du système. Par conséquent, vous risquez de restaurer accidentellement un fichier infecté ou les analyseurs Norton AntiVirus en ligne risquent de détecter le virus à cet emplacement. Pour obtenir des instructions sur la désactivation de Restauration du système, reportez-vous à la documentation Windows ou à l'un des articles suivants :
Pour en savoir plus sur cette procédure et savoir comment procéder sans désactiver Restauration du système sous Windows Me, reportez-vous à l'article suivant (en anglais) de la Base de connaissances de Microsoft : Anti-Virus Tools Cannot Clean Infected Files in the _Restore Folder, ID d'article : Q263455.

Exécution de l'outil depuis une disquette
  1. Insérez la disquette contenant le fichier FixYaha.com dans le lecteur.
  2. Cliquez sur Démarrer, puis sur Exécuter.
  3. Entrez ce qui suit :

    a:\fixyaha.com

    puis cliquez sur OK.

    REMARQUES :
      • La commande a:\fixyaha.com ne contient pas d'espace.
      • Si vous utilisez Windows Me et que l'option Restauration du système reste activée, un message d'avertissement apparaît. Vous pouvez choisir d'exécuter l'outil de suppression avec l'option Restauration du système activée ou de quitter l'outil de suppression.
  4. Cliquez sur Démarrer pour lancer la procédure, puis laissez l'outil travailler.
  5. Si vous utilisez Windows Me, réactivez Restauration du système.


Résumé