Descoberta: July 03, 2002
Atualizado: September 04, 2007 5:09:08 PM
Tipo: Removal Information



O que a ferramenta faz
A versão 1.0.4 da Ferramenta de remoção do W32.Yaha está disponível para download. Essa ferramenta removerá as seguintes ameaças e também seus efeitos colaterais:

W32.Yaha.E@mm
W32.Yaha.F@mm
W32.Yaha.H@mm
W32.Yaha.K@mm
W32.Yaha.L@mm
W32.Yaha.M@mm
W32.Yaha.P@mm
W32.Yaha.Q@mm
W32.Yaha.S@mm
W32.Yaha.T@mm

  1. Extermina os processos virais associados às variantes do W32.Yaha listadas acima.
  2. Exclui arquivos executáveis associados às variantes do W32.Yaha listadas acima.
  3. Corrige as entradas de registro associados às variantes do W32.Yaha listadas acima.
    Parâmetros de linha de comando disponíveis para esta ferramenta


    Alternar

    Descrição

    /HELP, /H, /?

    Exibe a mensagem de ajuda.

    /NOFIXREG

    Desativa o reparo do registro (não recomendamos o uso dessa opção).

    /SILENT, /S

    Ativa o modo silencioso.

    /LOG=[PATH NAME]

    Cria um arquivo de registro no qual [PATH NAME] é o local onde armazenar a saída dos registros da ferramenta. Por padrão, esse parâmetro cria o arquivo de registro FixYaha.log na mesma pasta onde a ferramenta de remoção foi executada.

    /MAPPED

    Verifica os discos de rede mapeados. (não recomendamos o uso dessa opção. Veja as observações abaixo.)

    /START

    Força a ferramenta a iniciar a verificação imediatamente.

    /EXCLUDE=

    Exclui da verificação o [CAMINHO] especificado. (Não recomendamos a utilização desse parâmetro).


    NOTA
    : O uso do parâmetro /MAPPED não garante a remoção completa do vírus no computador remoto, porque:
    • A verificação das unidades mapeadas apenas verifica as pastas mapeadas. É provável que esse processo não inclua todas as pastas do computador remoto, impossibilitando uma detecção completa.
    • Se for detectado um arquivo infectado no disco mapeado, a remoção falhará se o computador remoto estiver usando esse arquivo.

      Por essas razões, a ferramenta deve ser executada separadamente em cada um dos computadores.

    Obtendo e executando a ferramenta

    IMPORTANTE. Leia as observações a seguir antes de começar.
    • Você precisa fazer o login como Administrador para executar essa ferramenta no Windows NT 4.0, Windows 2000 ou Windows XP. Se não tiver certeza de como fazer isso, ou se você não tiver esses direitos, consulte o administrador de sua rede ou um consultor de informática.
    • Se a ferramenta for utilizada para remover a infecção W32.Yaha.K@mm ou W32.Yaha.L@mm de um computador com o Windows XP, você deve executar a ferramenta em Modo de Segurança.
    1. Faça o download do arquivo FixYaha.com em: http://securityresponse.symantec.com/avcenter/FixYaha.com.
    2. Salve o arquivo em um local adequado, como a sua pasta de downloads ou na área de trabalho do Windows (ou em uma mídia removível não infectada).
    3. Para verificar a autenticidade da assinatura digital, consulte a seção Assinatura digital.
    4. Feche todos os programas em execução antes de iniciar a ferramenta.
    5. Se você estiver em uma rede ou tiver uma conexão constante com a Internet, desconecte o computador da rede e/ou da Internet.
    6. Se estiver executando o Me ou XP, desative a Restauração do Sistema. Para mais informações, consulte a seção "Opção de Restauração do sistema no Windows Me/XP" neste documento.

      ATENÇÃO: Se estiver executando o Windows Me/XP, não ignore essas etapas.
    7. Se estiver utilizando a ferramenta para remover uma infecção W32.Yaha.K@mm ou W32.Yaha.L@mm de um computador com o Windows XP, reinicie o computador em Modo de Segurança. Todos os sistemas operacionais Windows de 32 bits, com exceção do Windows NT, podem ser reiniciados em Modo de Segurança. Para mais informações, consulte o documento: "Iniciando o computador em Modo de Segurança".
    8. Clique duas vezes no arquivo FixYaha.com para iniciar a ferramenta de remoção.
    9. Clique em Start (Iniciar) para iniciar o processo, e aguarde a execução da ferramenta.
    10. Reinicie o computador.
    11. Execute a ferramenta de remoção novamente para garantir que o sistema está limpo.
    12. Se estiver executando o Windows Me/XP, reative a Restauração do Sistema.
    13. Execute o LiveUpdate para certificar-se de que possui as definições de vírus mais recentes.
    14. Inicie o seu produto antivírus da Symantec e execute uma verificação completa do sistema.

    NOTA: O processo de remoção pode falhar se a Restauração do sistema do Windows Me/XP não for desativada conforme sugerido anteriormente, pois o Windows impede que programas externos modifiquem a Restauração do sistema. Portanto, a ferramenta de remoção pode falhar.

    Quando a ferramenta terminar sua execução, será exibida uma mensagem indicando se o computador foi infectado pela W32.Yaha.E@mm/W32.Yaha.F@mm/W32.Yaha.K@mm/W32.Yaha.L@mm. No caso da remoção de um worm, o programa exibe os seguintes resultados:
    • Número total de arquivos verificados
    • Número de arquivos excluídos
    • Número de arquivos reparados
    • Número de processos virais encerrados
    • Número de registros de entrada modificados

    Assinatura digital
    O FixYaha.com é assinado digitalmente. Recomendamos que você apenas utilize cópias do FixYaha.com descarregadas diretamente do website do Symantec Security Response. Para verificar a autenticidade da assinatura digital, siga as etapas abaixo:
    1. Acesse http://www.wmsoftware.com/free.htm.
    2. Faça o download e salve o arquivo chktrust.exe na mesma pasta onde salvou o FixYaha.com (por exemplo, C:\Downloads).
    3. Dependendo do seus sistema operacional, proceda de uma das seguintes maneiras:
      • Clique em Iniciar, depois em Programas e por último no prompt do MS-DOS.
      • Clique em Iniciar > Programas > Acessórios > prompt de Comando.
    4. Mude para a pasta onde o FixYaha.com e o Chktrust.exe estão armazenados e digite:

      chktrust -i FixYaha.com

      Por exemplo, se salvou o arquivo na pasta C:\Downloads, deve digitar os seguintes comandos:

      cd\
      cd downloads
      chktrust -i FixYaha.com

      Pressione Enter depois de digitar cada comando. Se a assinatura digital for válida, você verá o seguinte:

      "Deseja instalar e executar a "Ferramenta de correção do W32.Yaha" assinada em 31/07/03 as 10:46 PM e distribuída pela Symantec Corporation?"

      NOTAS
      • A data e a hora exibidas na caixa de diálogo serão ajustadas conforme o seu fuso horário local, caso não utilize o horário do Pacífico em seu computador.
      • Se estiver no horário de verão, a hora exibida será exatamente uma hora mais cedo.
      • Se essa caixa de diálogo não for exibida, pode ter ocorrido uma das seguintes causas:
        • A ferramenta não é da Symantec. A menos que esteja certo de que a ferramenta seja legítima e tenha sido descarregada de um website da Symantec legítimo, não a execute.
        • A ferramenta é da Symantec e legítima; entretanto, o seu sistema operacional foi instruído previamente a sempre confiar em conteúdo da Symantec. Para mais informações sobre isso e como exibir a mensagem de confirmação novamente, consulte o documento "Restaurando a caixa de diálogo de confirmação de Autenticidade de editor".
    5. Clique em Sim para fechar a caixa de diálogo.
    6. Digite exit e pressione Enter. (Isso fechará a sessão do MS-DOS.)

    Opção de Restauração do sistema no Windows Me/XP
    Os usuários do Windows Me e do Windows XP devem desativar temporariamente a Restauração do sistema. Esse recurso, que por padrão está ativo, é utilizado pelo Windows Me/XP para restaurar arquivos no computador, caso eles sejam danificados. Quando o computador estiver infectado por um vírus, worm ou Cavalo de Tróia, a Restauração do sistema pode fazer um backup do vírus, worm ou Cavalo de Tróia. Por padrão, o Windows impede que a Restauração do sistema seja modificada por programas externos. Como resultado, existe a possibilidade de restaurar acidentalmente um arquivo infectado, ou de verificadores on-line detectarem a ameaça nesse local específico. Para mais informações sobre como desativar a Restauração do sistema, consulte a documentação do Windows ou um dos seguintes documentos:
    Para mais informações e uma alternativa para desativar a Restauração do sistema do Windows Me, consulte o seguinte artigo da Base de conhecimento da Microsoft "Anti-Virus Tools Cannot Clean Infected Files in the _Restore Folder ," ID do artigo: Q263455.

    Executando a ferramenta a partir de um disquete
    1. Insira o disquete que contém o arquivo FixYaha.com na unidade de disquete.
    2. Clique em Iniciar > Executar.
    3. Digite o seguinte:

      a:\fixyaha.com

      e clique em OK.

      NOTAS
        • Não deve haver espaços no comando a:\fixyaha.com.
        • Se utilizar o Windows Me e a restauração do sistema permanecer ativada, uma mensagem de aviso será exibida. Você pode optar por executar a ferramenta de remoção com a opção de Restauração do sistema ativada ou sair da ferramenta.
    4. Clique em Start (Iniciar) para iniciar o processo, e aguarde a execução da ferramenta.
    5. Se utilizar o Windows Me, reative a Restauração do sistema.