Fråga
Tyvärr fick jag in trojanen Haxdoor med ett e-postmeddelande trots Symantec Internet Security 2005, kanske på grund av att den kom i en zippad fil. Den inaktiverade bland annat virusskyddet och förhindrade att webbläsaren anslöt till virusskyddstillverkarnas hemsidor.
Jag lyckades ändå kontakta F-secures virusscanner för onlinebruk genom att gå direkt till den sidan, utan att börja på hemsidan. Scannern tog bort fyra filer som identifierades som tillhörande trojanen, QO.dll, QO.sys, XDPPTS.sys och XOPPTP.sys.
Sedan funkade allt ok igen, inklusive nämnda tidigare problem. Även efter omstart av datorn verkade allt ok. Efter att nu i dag ha slagit på datorn igen efter att ha haft den av under veckoslutet säger plötsligt Symantec Internet Security till att datorn är infekterad med denna trojan (samma filer). Kan en eventuell ominstallation ha skett via det nätverk som datorn är ansluten till?
Nu uppvisar datorn inga av de tidigare noterade problemen, och samma F-secure onlinescanner hittar inte de nämnda filerna, trots att jag kan se dem i system-mappen med Explorer. Hur kan detta komma sig?
När jag som rekommenderat försöker få bort trojanen genom att starta datorn från installationsskivan (XP Professional) och använda Restore-verktyget så kan jag inte logga in på administratörskontot med rätt login. Kanske beror detta på att jag använder den loginkryptering som systemet erbjuder (syskey)?
Nu undrar jag alltså om maskinen egentligen innehåller trojanen och hur jag i så fall enklast blir av med den? Kan alla maskiner på nätverket ha smittats trots att de inte uppvisar symptom, eller ligger det filer på den nätverksmonterade Linuxservern som kan installeras vid omstart? Varför skedde detta i så fall inte vid den första omstarten?
Om jag låter eländet vara kvar, förhindrar i så fall Symantec Internet Security nu att dessa filer gör sitt jobb, eftersom de tydligen är upptäckta? Glad att du finns, Experten!
Svar
Om dina uppgifter stämmer är det inte den ursprungliga Haxdoor du råkat ut för, utan den senare varianten Haxdoor.P. De fyra filer du hittat är inte alla, utan enligt Symantec tillhör även xopptp.dll, yvprgb.dll och ycsrgb.sys trojanen. Dessutom injiceras kod i explorer.exe och ett antal nycklar läggs till i registret.
Det är troligen med hjälp av dessa trojanen lyckats hålla sig vid liv. Haxdoor skapar också ytterligare ett antal filer som används för att lagra de data den stjäl av dig, som lösenord, tangenttryckningar och annat. Så med största säkerhet har du inte lyckats bli av med den, vilket innebär att din dator är åtkomlig utifrån. Däremot behöver du nog inte bekymra dig för ditt nätverk eller din server, även om du naturligtvis ska kontrollera även övriga datorer.
Borttagningsinstruktioner finns här: http://www.symantec.com/security_response/writeup.jsp?docid=2006-0817121915-99&tabid=3
Om det är dem du har försökt följa, är det alltså Återställningskonsolen (Recovery Console) du inte kommer in i? Syskey-skyddet bör inte hindra dig från att logga in. Däremot kanske du inte är medveten om att det inte är ditt vanliga användarkonto du ska logga in med i konsolen, även om det har administratörsbehörighet. Det konto du ska använda är det specifika kontot Administratör, som har ett eget lösenord.
Om du inte kommer ihåg detta lösenord kan du prova att starta datorn i felsäkert läge med din vanliga behörighet och ändra lösenord för kontot Administratör.