W32.HLLW.Loxar

Status
Niet open voor verdere reacties.
Gimli

Gimli

Verenigingslid
Lid geworden
5 aug 2001
Berichten
1.192
Worm virus binnengehaald.

http://www.sarc.com/avcenter/venc/data/w32.hllw.loxar.html

Eerst m'n virus scanner Updated. Daarna de vermelde bestanden uit m'n register verwijderd.

M'n computer start gewoon op. Alleen na het openen van "Deze Computer / C:/ " blijft het systeem vragen "Can't open x3R0.exe"

De rechtermuisknop opent gewoon de map.
De linkermuisknop heeft een nieuwe vermelding, die er eerst nog niet stond. "Automatisch Afspelen".

Ik heb al een paar keer opnieuw opgestart, maar raak het verschijnsel niet kwijt.

Kan ik er niet beter opnieuw Windows98 op zetten?

Groeten, Gimli.
 
Geplaatst door Gimli
Worm virus binnengehaald.

http://www.sarc.com/avcenter/venc/data/w32.hllw.loxar.html

Eerst m'n virus scanner Updated. Daarna de vermelde bestanden uit m'n register verwijderd.

Ik heb al een paar keer opnieuw opgestart, maar raak het verschijnsel niet kwijt.

Kan ik er niet beter opnieuw Windows98 op zetten?
Klik om te vergroten...

Zonde om Windows er opnieuw op te zetten...
Je zegt dat je de vermelde bestanden al uit je register hebt verwijderd, waarschijnlijk is dat niet het geval.

Kijk nog eens onder :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Daar zul je, als het goed is, de key met x3R0X.exe (dus niet x3R0.exe) vinden. Verwijder deze key.

Als dat is gelukt, her-installeer dan ook even je virusscanner.

Ik vraag me nu alleen wel af... welke van de op de pagina van Symantec genoemde bestanden moest je nou zo nodig downloaden?

Auk
 
Laatst bewerkt:
Geplaatst door Gimli
Worm virus binnengehaald.

http://www.sarc.com/avcenter/venc/data/w32.hllw.loxar.html

Eerst m'n virus scanner Updated. Daarna de vermelde bestanden uit m'n register verwijderd.
Klik om te vergroten...

Bij nader inzien...

Ik zie dat je je scanner hebt ge-update en daarna in je register bent gaan kijken.

Dat is niet de juiste methode - zolang het virus actief is, zal het de registry weer aanpassen. Daarnaast schakelt het bepaalde virusscanners uit.

Daarom de vraag : werkte de virusscanner, heb je een full scan uitgevoerd, en ontdekte het de virus-bestanden ?

Auk
 
worm

Bedankt Auk,

Ik hoefde geen bestanden te downloaden.
Het was de eerste site, die er melding van maakte.
HouseCall gaf geen virusmelding, terwijl het virus er toch wel op stond.

Daarna die andere pagina gevonden.Gedaan wat er stond over het register.
Alle bestanden, die er mee te maken hadden verwijderd.
Toen m'n Virus scanner Updated
Er is nu nils meer van te vinden, maar het is een verborgen bestand, dus weet je nooit.

De computer werkt wel goed, alleen ik heb nog nooit van Automatisch Afspelen gehoord.
En waar haal ik die "Can't find xe3Rx.exe" mee uit de toegang van m'n C:/root ?

Groeten, Gimli.
 
Gimli,
Zo kom je van je probleem af:

start op in de veilige modus. Door op F8 te drukken bij het opstarten van de pc.


Ga naar start-uitvoeren-regedit-ok.

En ga naar:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Markeer run en zoek deze bstanden:

x3R0.exe

xerox

En ga daarna naar:

HKEY_LOCAL_MACHINE\SOFTWAR\

En verwijder daar Xerox

Start op in de normale modus. probleem opgelost.
 
Re: worm

Geplaatst door Gimli
Bedankt Auk,

Ik hoefde geen bestanden te downloaden.
Het was de eerste site, die er melding van maakte.
HouseCall gaf geen virusmelding, terwijl het virus er toch wel op stond.

De computer werkt wel goed, alleen ik heb nog nooit van Automatisch Afspelen gehoord.
En waar haal ik die "Can't find xe3Rx.exe" mee uit de toegang van m'n C:/root ?

Groeten, Gimli.
Klik om te vergroten...

Ik bedoelde eigenlijk : wat voor bestand, uit het lijstje dat genoemd is op de pagina van Symantec, wilde je via
Kazaa downloaden...

Begrijp ik goed dat je alleen nog de melding krijg :
"Can't find xe3Rx.exe" als je via Explorer naar C: gaat ?

Heb je nog eens gecontroleerd of die Run-key er nog staat ? Is die echt weg ?

Probeer eens :
- Start Regedit
- Selecteer bovenin "Deze Computer"
- Klik in 't menu "Bewerken" en dan "Zoeken"
- Vul in "xe3Rx.exe"

Laat weten of deze gevonden wordt, en waar.

(NB: Je had het eerst over x3R0.exe, nu over xe3Rx.exe. Controleer de melding nog even, en vul de juiste bestandsnaam in)

Succes,

Auk
 
Worm

Symantec was de eerste pagina, die me een verwijzing gaf, naar dat "x3rox.exe" wat in m'n root terecht was gekomen, nadat ik een bestand van KazaA had gedownload.
Het ziet eruit als een spelletje voor CounterStrike, maar nu ik het verwijderd heb, blijft het opstartbestand er naar vragen.

Daarna begreep ik pas dat het een wormvirus WR32.HLLW.Loxar was.
Verder staat er goed op beschreven, wat het was, waar het vandaan komt, en wat er tegen te doen.

Ik kom die vraag "Can't find x3rox.exe" tegen als ik uitgelogd op m'n computer bezig ben. Het is alleen in de C: partitie, D: en E: hebben er geen last van.
En dan alleen nog als ik m'n linkermuis knop gebruik.
Rechtermuisknop openen gaat wel gewoon.
Ik denk dat ie CounterStrike Automatisch wilt gaan afspelen, maar 't niet kan vinden.

Regedit uitgevoerd, maar die kan niets meer vinden.
Davilex Updated, en die maakt er wel melding van, maar dat is alleen het patroon van de eigen virusherkenning.
Dus in de virus scanner zelf.

Het programma installeert:

X3r0x.com X3rox.exe
X3r0x.exe Xer0x.exe
X3rox.com Xerox.exe en Xex0x.exe

en begint vervolgens alle bestanden door te copiëren naar andere schijven.

Ik geloof dat ik er nu wel vanaf ben, alleen dat Automatisch Afspelen. En "Can't find x3r0x.com"

Groeten, Gimli.
 
Re: Worm

Geplaatst door Gimli
Het ziet eruit als een spelletje voor CounterStrike, maar nu ik het verwijderd heb, blijft het opstartbestand er naar vragen.

Daarna begreep ik pas dat het een wormvirus WR32.HLLW.Loxar was.
Klik om te vergroten...

Interessant... de Loxar bestanden op Kazaa zien er bepaald niet uit als Counterstrike spelletjes (het lijstje vind je op de pagina die je noemde) !

Heb je het virus-bestand nog ergens ? Je zou het eens moeten scannen om te kijken om welk virus het in werkelijkheid gaat. Wellicht is het niet Loxar.

Het Xerom virus lijkt veel op Loxar, is er waarschijnlijk een variant van, maar wordt door AVP anders genoemd :

http://www.avp.ch/avpve/worms/kazaa/xerom.stm

Dit virus verstopt zich echter ook in heel andere bestanden dan Counterstrike spelletjes...

Xerom voegt zich toe aan de autostart-directory.
Kijk eens of je daar iets kunt vinden (zie de pagina van AVP voor meer details).

Auk
 
Het bestand waar 't mee begonnen is, was inderdaad zo'n sexprogramma. Het werkte niet, maar het ondermijnd dus wel.
Later vond ik het in de zoekmachine terug bij CounterStrike, als een soort aanmelding voor een chatbox.

De bestanden heb ik nog wel op een floppy, niet meer op de computer.

Grondig gescand, dus daar kan het niet aan liggen.
Het voegt zich toe aan het autostart-bestand?
Goed, ik zal het nakijken.

Bedankt voor de moeite,

Groeten, Gimli.
 
Geplaatst door Gimli
Het bestand waar 't mee begonnen is, was inderdaad zo'n sexprogramma. Het werkte niet, maar het ondermijnd dus wel.
Later vond ik het in de zoekmachine terug bij CounterStrike, als een soort aanmelding voor een chatbox.

De bestanden heb ik nog wel op een floppy, niet meer op de computer.
Klik om te vergroten...

Ik denk dat Counterstrike er niks mee te maken heeft; volgens mij is dat toeval (er is een team of speler die X3rox heet).

Kun je het bestand op de flop scannen ? Misschien kun je er zo achterkomen welk virus - of welke versie van dit virus - het exact is.

Auk
 
bestand "x3r0x.exe" gescanned met Davilex.
Deze geeft inderdaad als uitslag : W32.HLLW.Loxar.worm c.

Waar vind ik het auto-start bestand?

Groeten, Gimli.
 
Gimli,
Even een vraagje heb je nu al gekeken in de "run" sleutel of daar iets staat bij de progjes die opstarten of niet?

Nogmaals het is dus in de registry editor:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
EN dan moet je dus aan de rechterkant kijken.
 
bij H_KEY_LocalMachine/Software/Microsot/Windows/CurrentVersion/Run niet meer.

bij Run- echter nog wel.
Deze ook verwijderd. Wat kruipt dat ver weg.
Waar zit het autostart-bestand?

Groeten, Gimli
 
Gimli,

Autostart directory zit daar:

start-programma's-opstarten.

In het "opstarten" map kunnen in zeldzame gevallen ook virussen zitten.
 
Nadat ik de extra link in die andere RUN- verwijderd heb, loopt de computer weer normaal.
Ook de verwijzing van "Can't find xeR0x.exe" is gelukkig verdwenen.

In m'n opstartbestand heb ik niets staan.
Bedankt trouwens voor die aanhaling naar dat Regedit.

Ik had wel bij "RUN" gekeken, maar niet bij "RUN-"
Is er zo ook geen manier om de identicatie als Windows opstart uit te zetten?
Ik krijg nou telkens een fout in Explorer nadat ik van Internet ga.
Maar die worm ben ik in elk geval kwijt.

Groeten, Gimli
 
Geplaatst door Gimli
Bedankt trouwens voor die aanhaling naar dat Regedit.Ik had wel bij "RUN" gekeken, maar niet bij "RUN-"
Is er zo ook geen manier om de identicatie als Windows opstart uit te zetten?
Ik krijg nou telkens een fout in Explorer nadat ik van Internet ga.
Maar die worm ben ik in elk geval kwijt.

Groeten, Gimli
Klik om te vergroten...

Graag gedaan. Blij dat je probleem opgelost is.

Wat betreft de explorer foutmelding:

Programma's die met windows opstarten kun je uitvinken door te gaan naar start-uitvoeren-en type msconfig-ok-opstarten en daar kun je in principe alles uitvinken. Het enigste wat je niet moet uitvinken is je firewall en je virus scanner-toepassen-ok en restart de pc.

Mocht je daarna nog een explorer foutmelding krijgen, post dan even de gehele foutmelding zodat we kunnen kijken waar dat aan ligt.
 
Geplaatst door Gimli
Nadat ik de extra link in die andere RUN- verwijderd heb, loopt de computer weer normaal.
Klik om te vergroten...

Eigenaardig. Onder Run- staan juist de bestanden die je via bijv. MSCONFIG hebt uitgeschakeld. Deze bestanden worden dus niet opgestart.

Het lijkt me dus niet dat dit wat met het verschijnsel te maken heeft.

Auk
 
Kan zijn, maar elke verwijzing naar xe3r0x.exe was al voldoende, om rare bijeffekten te creëren.

Het stond er misschien wel uitgeschakeld, maar het hoorde niet in het register thuis.

Groeten, Gimli.
 
Geplaatst door Gimli
Het stond er misschien wel uitgeschakeld, maar het hoorde niet in het register thuis.
Klik om te vergroten...

En daar heb je natuurlijk helemaal gelijk in :)

Auk
 
Status
Niet open voor verdere reacties.
Steun Ons

Nieuwste berichten

Terug
Bovenaan Onderaan