Norton.com > Viren & Risiken > W32.Yaha Removal Tool

W32.Yaha Removal Tool

Entdeckt am:
3 Juli 2002
Aktualisiert:
13 Februar 2007 11:34:02 AM
Typ:
Removal Information

Wie arbeitet das Programm?
Die Version 1.0.4 des W32.Yaha-Entfernungsprogramms kann nun heruntergeladen werden. Dieses Programm entfernt die folgenden Bedrohungen sowie deren Nebeneffekte:

W32.Yaha.E@mm
W32.Yaha.F@mm
W32.Yaha.K@mm
W32.Yaha.L@mm
W32.Yaha.M@mm
W32.Yaha.P@mm
W32.Yaha.Q@mm
W32.Yaha.S@mm
W32.Yaha.T@mm

  1. Es beendet alle Virusprozesse von W32.Yaha.E@mm, W32.Yaha.F@mm, W32.Yaha.K@mm und W32.Yaha.L@mm.
  2. Es löscht die Virusdateien von W32.Yaha.E@mm, W32.Yaha.F@mm, W32.Yaha.K@mm und W32.Yaha.L@mm.
  3. Es stellt die durch den Wurm veränderten Registrierungseinträge wieder her.
    Befehlzeilenparameter für dieses Programm

    Parameter
    Beschreibung
    /HELP, /H, /?Zeigt die Hilfsnachricht an.
    /NOFIXREGDeaktiviert das Reparieren der Registrierung (die Anwendung dieses Parameters wird nicht empfohlen).
    /SILENT, /SDeaktiviert Rückmeldungen.
    /LOG=<Pfadname>Erstellt eine Protokolldatei, wobei der <Pfadname> den Bereich darstellt, in dem das Ergebnis des Programms gespeichert wird. Standardmäßig erstellt dieser Parameter die Protokolldatei FixYaha.log in dem gleichen Ordner, von dem aus das Entfernungsprogramm ausgeführt wurde.
    /MAPPEDPrüft zugeordnete Netzlaufwerke. (die Anwendung dieses Parameters wird nicht empfohlen. Beachten Sie die unten stehenden Hinweise.)
    /STARTErzwingt das unmittelbare Starten des Prüfvorgangs.
    /EXCLUDE=<Pfad>Schließt einen bestimmten <Pfad> von der Prüfung aus. (die Anwendung dieses Parameters wird nicht empfohlen.)



    HINWEIS: Bei der Verwendung des Parameters /MAPPED ist die vollständige Entfernung des Virus vom Remote-Computer aus folgenden Gründen nicht gewährleistet:
    • Die Prüfung zugeordneter Laufwerke betrifft ausschließlich zugeordnete Ordner. Dazu gehören möglicherweise nicht alle Ordner auf dem Remote-Computer, so dass Viren in diesen Ordnern eventuell nicht erkannt werden.
    • Wenn eine Virusdatei auf einem zugeordneten Laufwerk entdeckt wird, kann die Datei nur entfernt werden, wenn kein Programm auf dem Remote-Computer diese Datei verwendet.

      Aus diesen Gründen sollten Sie das Programm auf jedem einzelnen Computer ausführen.

    Bezug und Ausführung des Programms

    WICHTIG: Lesen Sie zuerst die folgenden Hinweise.
    • Sie müssen als Administrator angemeldet sein, um dieses Programm auf Windows NT 4.0, Windows 2000 oder Windows XP auszuführen. Wenn Sie dazu Hilfe benötigen oder wenn Sie nicht über Administratorrechte verfügen, wenden Sie sich an Ihren Netzwerkadministrator oder eine Computerfachkraft.
    • Wenn die W32.Yaha.K@mm- oder W32.Yaha.L@mm-Infektion mit diesem Entfernungsprogramm von einem Wndows XP-Computer entfernt werden soll, müssen Sie das Entfernungsprogramm im abgesicherten Modus durchführen.
    1. Laden Sie die Datei FixYaha.com hier herunter: http://securityresponse.symantec.com/avcenter/FixYaha.com.
    2. Speichern Sie die Datei in einem geeigneten Bereich, z. B. in Ihrem Download-Ordner oder auf dem Windows-Desktop (oder auf Wechselmedien, die nicht infiziert sind).
    3. Um die Echtheit der digitalen Unterschrift zu überprüfen, beachten Sie bitte den Abschnitt Die digitale Unterschrift weiter unten in diesem Dokument.
    4. Beenden Sie vor der Ausführung des Programms alle laufenden Anwendungen.
    5. Wenn Sie in einem Netzwerk arbeiten oder eine ständige Internetverbindung haben, unterbrechen Sie die Verbindungen zum Netzwerk und zum Internet.
    6. Wenn Sie mit Windows Me oder XP arbeiten, deaktivieren Sie die Option "Systemwiederherstellung". Zusätzliche Informationen finden Sie im Abschnitt Systemwiederherstellungsoption in Windows Me/XP weiter unten in diesem Dokument.

      ACHTUNG: Wenn Sie mit Windows Me/XP arbeiten, empfehlen wir Ihnen dringend, diesen Schritt nicht zu überspringen.
    7. Wenn eine W32.Yaha.K@mm- oder W32.Yaha.L@mm-Infektion mit diesem Entfernungsprogramm von einem Wndows XP-Computer entfernt werden soll, müssen Sie den Computer im abgesicherten Modus neu starten. Alle 32-Bit-Windows-Betriebssysteme mit Ausnahme von Windows NT können im abgesicherten Modus neu gestartet werden. Anweisungen hierzu finden Sie im Dokument Wie wird der Computer im abgesicherten Modus gestartet?.
    8. Doppelklicken Sie auf die Datei FixYaha.com, um das Entfernungsprogramm zu starten.
    9. Klicken Sie auf "Start", um den Vorgang zu starten, und führen Sie das Programm aus.
    10. Starten Sie den Computer neu.
    11. Führen Sie das Entfernungsprogramm noch einmal aus, um sicherzugehen, dass das System gesäubert ist.
    12. Wenn Sie mit Windows Me/XP arbeiten, reaktivieren Sie die Option "Systemwiederherstellung".
    13. Führen Sie LiveUpdate aus, um sicherzustellen, dass Sie über die aktuellsten Virusdefinitionen verfügen.
    14. Starten Sie Ihr Symantec AntiVirus-Produkt und führen Sie anschließend eine vollständige Systemprüfung durch.

    HINWEIS: Die Infektion kann möglicherweise nicht entfernt werden, wenn die Systemwiederherstellung in Windows Me/XP nicht wie zuvor empfohlen deaktiviert wurde, da Windows verhindert, dass die Systemwiederherstellung von fremden Programmen geändert wird. Das Entfernungsprogramm könnte aus diesem Grund nicht funktionieren.

    Nach Abschluss des Programms wird Ihnen in einer Meldung mitgeteilt, ob der Computer von W32.Yaha.E@mm, W32.Yaha.F@mm, W32.Yaha.K@mm oder W32.Yaha.L@mm infiziert war oder nicht. Falls der Wurm tatsächlich entfernt wurde, zeigt das Programm folgende Ergebnisse an:
    • Anzahl der insgesamt geprüften Dateien
    • Anzahl der gelöschten Dateien
    • Anzahl der reparierten Dateien
    • Anzahl der beendeten Virusprozesse
    • Anzahl der reparierten Registrierungseinträge

    Die digitale Unterschrift
    FixYaha.com ist mit einer digitalen Unterschrift versehen. Wir empfehlen Ihnen, ausschließlich Kopien von FixYaha.com zu verwenden, die direkt von der Website von Symantec Security Response heruntergeladen wurden. Um die Echtheit der digitalen Unterschrift zu überprüfen, befolgen Sie bitte diese Schritte:
    1. Öffnen Sie die Internetseite http://www.wmsoftware.com/free.htm.
    2. Laden Sie die Datei chktrust.exe herunter und speichern Sie sie im selben Ordner, in dem Sie die Datei FixYaha.com gespeichert haben (z. B. der Ordner C:\Downloads).
    3. Abhängig vom verwendeten Betriebssystem führen Sie einen der folgenden Schritte aus:
      • Klicken Sie auf "Start", zeigen Sie auf "Programme" und klicken Sie auf "MS-DOS-Eingabeaufforderung".
      • Klicken Sie auf "Start", zeigen Sie auf "Programme", klicken Sie auf "Zubehör" und anschließend auf "Eingabeaufforderung".
    4. Wechseln Sie zum Ordner, in dem FixYaha.com und Chktrust.exe gespeichert sind, und geben Sie Folgendes ein:

      chktrust -i FixYaha.com

      Wenn die Datei z. B. im Ordner C:\Downloads gespeichert ist, geben Sie die folgenden Befehle ein:

      cd\
      cd downloads
      chktrust -i FixYaha.com

      Drücken Sie nach jedem Befehl die Eingabetaste. Wenn die digitale Unterschrift gültig ist, sehen Sie folgende Anzeige:

      Installieren und Ausführen von "W32.Yaha Fix Tool", signiert am 01.08.2003 14:46 signiert und herausgegeben von: Symantec Corporation

      HINWEISE:
      • Das Datum und die Uhrzeit im Dialogfeld werden Ihrer Zeitzone angepasst, wenn Ihr Computer nicht auf Pazifikzeit (US) eingestellt ist.
      • Wenn Sie die Sommerzeit eingestellt haben, wird die angezeigte Zeit genau eine Stunde früher sein.
      • Wenn dieses Dialogfeld nicht angezeigt wird, kann dies zwei Gründe haben:
        • Dieses Dienstprogramm ist nicht von Symantec. Sofern Sie nicht absolut sicher sind, dass das Programm echt ist und Sie es von der echten Symantec Website heruntergeladen haben, sollten Sie es nicht ausführen.
        • Dieses Dienstprogramm ist von Symantec und ist echt. Sie haben Ihr Betriebssystem jedoch zuvor angewiesen, Inhalten von Symantec immer zu vertrauen. Informationen hierzu und dazu, wie Sie das Bestätigungsdialogfeld erneut anzeigen können, finden Sie im englischsprachigen Dokument How to restore the Publisher Authenticity confirmation dialog box.
    5. Klicken Sie auf "Ja", um das Dialogfeld zu schließen.
    6. Geben Sie "exit" ein und drücken Sie die Eingabetaste. Die MS-DOS-Sitzung wird damit geschlossen.

    Systemwiederherstellungsoption in Windows Me/XP
    Anwender von Windows Me und Windows XP sollten die Systemwiederherstellung zeitweilig ausschalten. Diese standardmäßig aktivierte Funktion wird in Windows Me und XP verwendet, um auf Ihrem Computer beschädigte Dateien wiederherzustellen. Wenn ein Computer mit einem Virus, Wurm oder Trojaner infiziert ist, kann es möglich sein, dass diese in der Systemwiederherstellung mitgesichert werden. Windows verhindert standardmäßig, dass die Systemwiederherstellung durch fremde Programme verändert wird. Es ist daher möglich, dass Sie eine infizierte Datei versehentlich wiederherstellen oder dass die Onlineprüfung die Infektion in diesem Bereich entdeckt. Bitte beachten Sie die folgenden englischsprachigen Artikel oder Ihre Windows-Dokumentation, um die Systemwiederherstellung zu deaktivieren:
    Weitere Informationen und eine Alternative zur Deaktivierung der Systemwiederherstellung in Windows Me finden Sie im englischsprachigen Microsoft Knowledge Base-Artikel Anti-Virus Tools Cannot Clean Infected Files in the _Restore Folder (Artikel-ID Q263455).

    Ausführung des Programms von einer Diskette
    1. Legen Sie die Diskette mit der Datei FixYaha.com in das Diskettenlaufwerk ein.
    2. Klicken Sie auf "Start" und anschließend auf "Ausführen".
    3. Geben Sie den folgenden Text ein:

      a:\fixyaha.com

      Klicken Sie anschließend auf "OK".

      HINWEISE:
        • In dem Befehl a:\fixyaha.com sind keine Leerzeichen enthalten.
        • Wenn Sie mit Windows Me arbeiten und die Systemwiederherstellung aktiviert ist, erhalten Sie eine Warnmeldung. Sie können wählen, ob Sie das Entfernungsprogramm mit aktivierter Systemwiederherstellung ausführen oder beenden möchten.
    4. Klicken Sie auf "Start", um den Vorgang zu starten, und führen Sie das Programm aus.
    5. Wenn Sie mit Windows Me arbeiten, reaktivieren Sie die Option "Systemwiederherstellung".

    Englische Version dieses Dokuments
    Bitte beachten Sie, dass aufgrund des Zeitbedarfs für die Übersetzung ins Deutsche das englische Originaldokument in der Zwischenzeit möglicherweise aktualisiert wurde, wodurch die deutsche Version inhaltlich abweichen kann.