||||
Symantec.com > Security Response > W32.Yaha Removal Tool

W32.Yaha Removal Tool

Scarica lo strumento di rimozione | Versione per stampante

Rilevato: 3 de Luglio de 2002
Aggiornato: 13 de Febbraio de 2007 11:34:02 AM
Tipo: Removal Information


Cosa fa lo strumento di rimozione
Lo strumento di rimozione per W32.Yaha.E@mm/W32.Yaha.F@mm/W32.Yaha.K@mm/W32.Yaha.L@mm svolge le seguenti operazioni:
  1. Termina tutti i processi virali di W32.Yaha.E@mm, W32.Yaha.F@mm, W32.Yaha.K@mm, e W32.Yaha.L@mm.
  2. Elimina i file virali di W32.Yaha.E@mm, W32.Yaha.F@mm, W32.Yaha.K@mm, e W32.Yaha.L@mm.
  3. Ripara le voci di registro modificate dal worm.
    Opzioni della riga di comando disponibili con lo strumento


    Switch

    Description

    /HELP, /H, /?
    Visualizza il messaggio di guida.

    /NOFIXREG
    Disattiva la riparazione del registro (l’utilizzo di questa opzione è sconsigliato).

    /SILENT, /S
    Attiva la modalità invisibile.

    /LOG=<nome percorso>
    Crea un file di registro in cui <nome percorso> è la posizione su cui memorizzare l’output dello strumento. Per impostazione predefinita, il file di registro FixYaha.log viene creato nella stessa cartella da cui è stato eseguito lo strumento.

    /MAPPED
    Esamina le unità di rete mappate (l’utilizzo di questa opzione è sconsigliato. Vedere le note).

    /START
    Impone allo strumento di avviare immediatamente la scansione.

    /EXCLUDE=<percorso>
    Esclude dalla scansione il <percorso> specificato (l’utilizzo di questa opzione è sconsigliato).


    NOTA: l’opzione /MAPPED non garantisce la completa rimozione del virus sul computer remoto per le seguenti ragioni:
    • La scansione delle unità mappate viene effettuata solo sulle cartelle mappate. Questo potrebbe non comprendere tutte le cartelle presenti sul computer remoto, comportando il rischio del mancato rilevamento di altre infezioni.
    • Se viene rilevato un file del virus sull’unità mappata e il computer remoto lo sta utilizzando, la rimozione non riuscirà.

    Per questi motivi, è opportuno eseguire lo strumento su ciascun computer.

    Come ottenere ed eseguire lo strumento

    IMPORTANTE. Prima di procedere, leggere le note seguenti.
    • Se si esegue lo strumento su Windows NT 4.0, Windows 2000 o Windows XP è necessario collegarsi con privilegi di amministratore. In caso di dubbio sulla procedura da seguire, o se non si dispone di tali diritti, consultare il proprio amministratore di rete o un tecnico informatico.
    • Se si utilizza lo strumento per rimuovere W32.Yaha.K@mm o W32.Yaha.L@mm da un computer con sistema operativo Windows XP, è necessario eseguire tale operazione in Modalità provvisoria.

      1. Scaricare il file FixYaha.com dall'indirizzo: http://securityresponse.symantec.com/avcenter/FixYaha.com.
      2. Salvare il file su un percorso a scelta quale la cartella di download o il desktop di Windows (o un supporto rimovibile di cui si ha la certezza che non è infetto).
      3. Per controllare l'autenticità della firma digitale, fare riferimento alla sezione Firma digitale.
      4. Chiudere tutti programmi prima di eseguire lo strumento.
      5. Se si lavora in ambiente di rete o si dispone di una connessione sempre attiva a Internet disconnettere il computer dalla rete e da Internet.
      6. Se si utilizza Windows Me o Windows XP disattivare Ripristino configurazione di sistema. Per ulteriori informazioni consultare la sezione Opzione Ripristino configurazione di sistema in Windows Me/XP più avanti in questo documento.

      ATTENZIONE: se viene utilizzato Windows Me/XP, si consiglia di non saltare questo passaggio.

      7. Se si utilizza lo strumento per rimuovere W32.Yaha.K@mm o W32.Yaha.L@mm da un computer con sistema operativo Windows XP, è necessario riavviare il computer in Modalità provvisoria. Tutti i sistemi operativi Windows a 32 bit, ad eccezione di Windows NT, possono essere riavviati in Modalità provvisoria. Per istruzioni sulla procedura da seguire, consultare il documento Come avviare il computer in Modalità provvisoria.
      8. Fare doppio clic sul file FixYaha.com per avviare lo strumento di rimozione.
      9. Fare clic su Start per avviare il processo e consentire l'esecuzione dello strumento.
      10. Riavviare il computer.
      11. Eseguire di nuovo lo strumento di rimozione per assicurarsi che il sistema sia privo di infezioni.
      12. Se si utilizza Windows Me/XP, riattivare Ripristino configurazione di sistema.
      13. Eseguire LiveUpdate per assicurarsi di disporre delle definizioni dei virus più recenti.
      14. Avviare il proprio antivirus Symantec ed eseguire una scansione completa del sistema.

    NOTA: la procedura di rimozione potrebbe non riuscire se Ripristino configurazione di sistema di Windows Me/XP non viene disattivata come è stato indicato in precedenza in quanto Windows impedisce la modifica di questa opzione da parte di programmi esterni. Per questa ragione, l'esecuzione dello strumento di rimozione potrebbe non riuscire.

    Quando lo strumento ha terminato l'esecuzione, verrà visualizzato un messaggio per indicare se il computer era infettato da W32.Yaha.E@mm/W32.Yaha.F@mm/W32.Yaha.K@mm/W32.Yaha.L@mm. Nel caso di una rimozione del worm, il programma visualizza i seguenti risultati:
    • Il numero totale dei file esaminati.
    • Il numero di file eliminati.
    • Il numero di file riparati.
    • Il numero di processi virali terminati.
    • Il numero di voci di registro riparate.

    Firma digitale
    FixYaha.com dispone di una firma digitale. Symantec consiglia di utilizzare solo copie di FixYaha.exe che sono state scaricate direttamente dal sito di Symantec Security Response. Per controllare l'autenticità della firma digitale, seguire queste istruzioni:
    1. Accedere all'indirizzo http://www.wmsoftware.com/free.htm.
    2. Scaricare e salvare il file Chktrust.exe nella stessa cartella in cui è stato salvato FixYaha.exe, ad esempio, C:\Download.
    3. A seconda del sistema operativo, svolgere una delle seguenti operazioni:
      • Fare clic su Start, puntare su Programmi, quindi fare clic su Prompt di MS-DOS.
      • Fare clic su Start, puntare su Programmi, fare clic su Accessori, quindi fare clic su Prompt dei comandi.
    4. Selezionare la cartella in cui sono memorizzati FixYaha.exe e Chktrust.exe, quindi digitare:

      chktrust -i FixYaha.com

      Ad esempio, se il file è stato salvato nella cartella C:\Download, i comandi da immettere sarebbero i seguenti:

      cd\
      cd downloads
      chktrust -i FixYaha.com

      Premere Invio dopo avere digitato ciascun comando. Se la firma digitale è valida, verrà visualizzato il seguente messaggio:

      Installare ed eseguire "W32.Yaha Fix Tool" firmato il 1/3/2003 10:51 e distribuito da Symantec Corporation?

      NOTE:
      • La data e l'ora che vengono visualizzate in questa finestra di dialogo saranno regolate sul fuso orario locale.
      • Se è attiva l'ora legale, l'ora visualizzata sarà anticipata esattamente di un'ora.
      • Se questa finestra di dialogo non viene visualizzata, le ragioni possibile sono due:
        • Lo strumento non è di Symantec. A meno che non si abbia la certezza che lo strumento è legittimo ed è stato scaricato dal sito Web ufficiale di Symantec, la sua esecuzione è sconsigliata.
        • Lo strumento è di Symantec ed è legittimo. Tuttavia, il sistema operativo è stato precedentemente istruito di considerare sempre attendibile i contenuti di Symantec. Per informazioni a tal proposito e per visualizzare di nuovo la finestra di dialogo di conferma, consultare il documento in inglese "How to restore the Publisher Authenticity confirmation dialog box".
    5. Fare clic su Sì per chiudere la finestra di dialogo.
    6. Digitare exit quindi premere Invio. La sessione MS-DOS verrà chiusa.

    Opzione Ripristino configurazione di sistema in Windows Me/XP
    Gli utenti di Windows Me e Windows XP devono disattivare temporaneamente l’opzione Ripristino configurazione di sistema. Questa funzionalità, che per impostazione predefinita è attivata, è utilizzata da Windows Me/XP per ripristinare file sul computer in caso vengano danneggiati. Quando un computer viene infettato con un virus, un worm o un Trojan, è possibile che Ripristino configurazione di sistema lo includa nel backup. Per impostazione predefinita, Windows impedisce che Ripristino configurazione di sistema venga modificato da programmi esterni. Esiste quindi la possibilità che il file infetto venga accidentalmente ripristinato o che l’esecuzione di una scansione rilevi la minaccia in quella posizione. Per istruzioni sulla disattivazione di Ripristino configurazione di sistema, consultare la documentazione di Windows o uno dei seguenti articoli:
    Per ulteriori informazioni e un’alternativa alla disattivazione di Ripristino configurazione di sistema in Windows Me, consultare l’articolo del Knowledge Base di Microsoft "Impossibile ripulire i file infetti nella cartella _Restore con lo strumento antivirus" ID articolo: Q263455.

    Come eseguire lo strumento da un disco floppy
    1. Inserire il disco floppy che contiene il file FixYaha.com nell'unità floppy.
    2. Fare clic su Start, quindi su Esegui.
    3. Digitare quanto segue, quindi fare clic su OK:

      a:\fixyaha.com

      NOTE:
      • Il comando a:\fixyaha.exe non contiene spazi.
      • Se si utilizza Windows Me e Ripristino configurazione di sistema rimane attivata, verrà visualizzato un messaggio di avviso. È possibile scegliere di eseguire lo strumento di rimozione con l'opzione Ripristino configurazione di sistema attivata o uscire.
    4. Fare clic su Start per avviare il processo e consentire l'esecuzione dello strumento.
    5. Se si utilizza Windows Me, riattivare Ripristino configurazione di sistema.



    STAMPA QUESTA PAGINA
    Ricerca per nome
    Esempio: W32.Beagle.AG@mm
    Norton 360: Versione 2.0.
    Purchase Client Security
    ©1995 - 2008 Symantec Corporation
    Indice del sito |
    Note legali |
    Trattamento dei dati riservati |
    Contattaci |
    Siti globali |
    Contratti di licenza