已发现: 2002 年 7 月 3 日
更新: 2007 年 8 月 22 日 1:55:01 AM
类型: Removal Information
此工具的功能
有 1.0.4 版本的 W32.Yaha 杀毒工具可供下载。 本工具将消除下列威胁及其副作用。
W32.Yaha.E@mm
W32.Yaha.F@mm
W32.Yaha.H@mm
W32.Yaha.K@mm
W32.Yaha.L@mm
W32.Yaha.M@mm
W32.Yaha.P@mm
W32.Yaha.Q@mm
W32.Yaha.S@mm
W32.Yaha.T@mm
- 终止那些与上述所列 W32.Yaha 变种相关的病毒进程。
- 删除那些与上述所列 W32.Yaha 变种相关的可执行文件。
- 修复那些与上述所列 W32.Yaha 变种相关的注册表项。
此工具可用的命令行转换参数
转换参数 |
说明 |
/HELP, /H, /? |
显示帮助消息。 |
/NOFIXREG |
禁用注册表修复功能(建议不使用此转换参数)。 |
/SILENT, /S |
启用静默模式。 |
/LOG=[PATH NAME] |
创建日志文件,其中 [PATH NAME] 是存储该工具输出内容的位置。 默认情况下,此参数会在执行该杀毒工具的文件夹内创建日志文件 FixYaha.log。 |
/MAPPED |
扫描映射的网络驱动器。 (建议不使用此转换参数。 请阅读下列注意事项。) |
/START |
强制此工具立即开始扫描。 |
/EXCLUDE=[PATH] |
不扫描指定的 [PATH]。 (建议不使用此转换参数。) |
注意:使用 /MAPPED 转换参数不能保证完全杀除远程计算机上的病毒,原因如下:
- 扫描映射驱动器时扫描的只是映射的文件夹。 此过程可能不包括远程计算机上的所有文件夹,因而漏掉可能会在其中检测到病毒的文件夹。
- 如果在映射驱动器上检测到病毒文件,而远程计算机上的某个程序正在使用该文件,则无法进行杀毒。
基于以上原因,您应该分别在每台计算机上运行此工具。
获得并运行此工具
重要信息。开始操作之前,请先阅读下列注意事项。 - 您必须以管理员身份登录 Windows NT 4.0、Windows 2000 或 Windows XP 才能运行此工具。 如果不知道如何执行此操作,或没有相应的权限,请咨询网络管理员或计算机顾问。
- 如果要使用此工具从操作系统为 Windows XP 的计算机上删除 W32.Yaha.K@mm 或 W32.Yaha.L@mm 感染,则必须在安全模式下运行此工具。
- 从以下位置下载 FixYaha.com 文件: http://securityresponse.symantec.com/avcenter/FixYaha.com。
- 将该文件保存在便于使用的位置,如 downloads 文件夹或 Windows 桌面(或者保存在确认未感染病毒的可移动介质中)。
- 要检查数字签名的可靠性,请参阅本文后面的“数字签名”部分。
- 在运行此工具前,关闭所有正在运行的程序。
- 如果您在网络上或一直与 Internet 保持连接,请将计算机与网络或 Internet 断开。
- 如果运行的是 Windows Me 或 XP,请禁用系统还原功能。 有关详细信息,请参阅本文下面的“Windows Me/XP 中的系统还原选项”。
警告:如果运行的是 Windows Me/XP,强烈建议不要跳过此步骤。
- 如果要使用此工具从操作系统为 Windows XP 的计算机上删除 W32.Yaha.K@mm 或 W32.Yaha.L@mm 感染,则必须在安全模式下重新启动计算机。 除 Windows NT 外,所有的 Windows 32 位操作系统均可以安全模式重新启动。 有关说明,请参阅文档“如何以安全模式启动计算机”。
- 双击 FixYaha.com 文件启动此杀毒工具。
- 单击“开始”启动此进程,然后运行此工具。
- 重新启动计算机。
- 再次运行此杀毒工具以确保系统是干净的。
- 如果运行的是 Windows Me/XP,重新启用系统还原功能。
- 运行 LiveUpdate,确保您使用的病毒定义是最新的。
- 启动 Symantec 防病毒产品并运行完整的系统扫描。
注意:如果不按上述要求禁用 Windows Me/XP 系统还原功能,杀毒过程可能会失败,因为 Windows 不允许外部程序对系统还原功能进行修改。 因此,该杀毒工具可能会杀毒失败。
工具运行结束后,您将看到说明计算机是否感染了 W32.Yaha.E@mm/W32.Yaha.F@mm/W32.Yaha.K@mm/W32.Yaha.L@mm 的消息。 删除蠕虫后,程序将显示下列结果:
- 已扫描的文件总数
- 已删除的文件数
- 已修复的文件数
- 已终止的病毒进程数
- 已修复的注册表项数
数字签名
FixYaha.com 已经过数字签名。 赛门铁克建议您只使用从赛门铁克安全响应中心网站直接下载的 FixYaha.com 副本。 要检查数字签名的可靠性,请执行下列操作:
- 转至 http://www.wmsoftware.com/free.htm。
- 将 chktrust.exe 文件下载并保存到 FixYaha.com 文件所在的文件夹(例如,C:\Downloads)。
- 根据您使用的操作系统,执行下列操作之一:
- 单击“开始”,指向“程序”,然后单击“MS-DOS 方式”。
- 单击“开始”,指向“程序”,再单击“附件”,然后单击“命令提示符”。
- 切换到存储 FixYaha.com 与 Chktrust.exe 的文件夹,然后键入:
chktrust -i FixYaha.com
例如,如果将文件保存在 C:\Downloads 文件夹,则应输入下列命令:
cd\
cd downloads
chktrust -i FixYaha.com
键入每个命令后按 Enter 键。 如果数字签名有效,将显示下列内容:
"Do you want to install and run the "W32.Yaha Fix Tool" signed on 07/31/03 10:46 PM and distributed by Symantec Corporation?"
注意 - 如果您的计算机没有设置为太平洋时区,则显示在此对话框中的日期和时间将要根据您所在的时区进行调整。
- 如果使用的是夏令时,则显示的时间要早整整一个小时。
- 如果未出现此对话框,可能存在两个原因:
- 此工具不是由赛门铁克提供的。 除非确定此工具是从合法赛门铁克网站下载的合法工具,否则不要运行它。
- 此工具是来自赛门铁克的合法工具,但您曾经将操作系统设置为始终信任来自赛门铁克的内容。 有关此问题以及如何再次查看确认对话框的信息,请参阅文档“如何还原‘生产商可靠性’确认对话框”。
- 单击“是”关闭对话框。
- 键入 exit,然后按 Enter 键。 (此操作将关闭 MS-DOS 会话。)
Windows Me/XP 中的系统还原选项
Windows Me 和 Windows XP 用户应当暂时关闭系统还原功能。 此功能默认情况下是启用的,一旦计算机中的文件被破坏,Windows 可使用该功能将其还原。 计算机感染了病毒、蠕虫或特洛伊木马时,系统还原功能可能会备份该病毒、蠕虫或特洛伊木马。 默认情况下,Windows 禁止外部程序对系统还原功能进行修改。 因此,您很有可能会不小心还原受感染的文件,或者联机扫描程序会在该位置检测到威胁。 有关如何关闭系统还原功能的说明,请参阅 Windows 文档或下列文章之一:
有关其他信息,以及禁用 Windows Me 系统还原的其他方法,请参阅 Microsoft 知识库文章“
病毒防护工具无法清除 _Restore 文件夹中受感染的文件”,文章 ID:Q263455。
从软盘运行此工具 - 将包含 FixYaha.com 文件的软盘插入软盘驱动器。
- 单击“开始”,然后单击“运行”。
- 键入下列内容:
a:\fixyaha.com
然后单击“确定”。
注意 - 命令 a:\fixyaha.com 中没有空格。
- 如果使用的是 Windows Me,并且系统还原处于启用状态,将出现警告消息。 您可以选择在启用系统还原选项的情况下运行此杀毒工具,也可以选择退出此杀毒工具。
- 单击“开始”启动此进程,然后运行此工具。
- 如果使用的是 Windows Me,重新启用系统还原。
