EXP/JS.Expaxk.BA
 

was ist das und wie werde ich es zuverlässig los? VG von Uschi

Hallo und :hallo:

Mit so einer dürftigen Beschreibung kannst du keine vernünftigen Antworten erwarten, das is viel zu wenig in Infos!

http://www.trojaner-board.de/images/icons/icon4.gif Bitte beachten! => http://www.trojaner-board.de/69886-a...tml#post412358

Hallo,

also gestern schlug mein virenscanner von avira an und spuckte den o.g. Virus/Trojaner aus. ich weiß nichtmal ob es sowas ist deshalb wende ich mich an euch.das logfile von malware kann ich dir schon mal geben.

Ich hab dir extra alles verlinkt! Du musst auch schon lesen was du machen musst damit wir eine vernünftige Informationsbasis haben und in etwas wissen wie es um deinen Rechner bestellt ist und dann entscheiden können welche Maßnahmen getroffen werden!

Wenn du weiterhin diese Ein- oder Zweizeiler OHNE Logfiles postest werd ich diesen Thread nicht mehr weiter beachten!

Bei Hilfe über ein Forum bist du selbst gefordert alle notwendigen Infos uns zur Verfügung zu stellen! Wenn du das nicht willst oder kannst bist du hier leider falsch und man müsste dir raten, dich an einen kostenpflichtigen Vor-Ort-Service oder eine Computerwerkstatt zu wenden! :kloppen:

Hallo cosinus,

also hier mal mein Logfile damit als Punkt 1 der Fehlersuche bzw. um zu sehen das allles i.o. ist?

Malwarebytes Anti-Malware (Test) 1.65.1.1000
Malwarebytes : Free anti-malware download

Datenbank Version: v2012.11.22.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Nutzer :: ARBEIT [Administrator]

Schutz: Aktiviert


22.11.2012 13:24:52
mbam-log-2012-11-22 (13-24-52).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 302854
Laufzeit: 2 Stunde(n), 11 Minute(n), 12 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)


ich kann dir auch den quarantäne eintrag kopieren falls du den brauchst. Bitte sag mir was ich tun kann um dir licht ins dunkel zu bringen was dieser EXP/JS.Expaxk.BA ist und ob/was ich dagegen tun muss.Danke.

Ist das rein zufällig ein Büro-/Firmen-PC? Oder ein Uni-Rechner?

Arbeit heisst er deshalb weil ich dort meine Pflegedokumente für Arbeit drauf schreibe, bin angelte Pflegekraft :-)

Und wie beantwortet das meine Frage? Eigentlich garnicht.
Was jetzt, reiner Privatrechner oder Firmenrechner?`

sorry, das macht mal wieder deutlich das mann und frau anders denken. es ist ein privatrechner.

Wo bitte ist das Log dazu? Und alle anderen Logs mit Funden musst du ebenfalls posten => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Scans machen! Nur schon vorhandene Logs posten!

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Dienstag, 27. November 2012 11:20

Es wird nach 4449537 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista (TM) Home Premium
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : Uschi
Computername : Uschis-PC

Versionsinformationen:
BUILD.DAT : 12.1.9.1236 40872 Bytes 11.10.2012 15:29:00
AVSCAN.EXE : 12.3.0.48 468256 Bytes 15.11.2012 15:26:24
AVSCAN.DLL : 12.3.0.15 66256 Bytes 09.05.2012 04:50:03
LUKE.DLL : 12.3.0.15 68304 Bytes 09.05.2012 04:50:03
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 09.05.2012 04:50:04
AVREG.DLL : 12.3.0.17 232200 Bytes 10.05.2012 19:37:44
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 09:49:21
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 06:56:15
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 06:56:21
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 19:17:56
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 03:49:15
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 04:48:09
VBASE006.VDF : 7.11.41.250 4902400 Bytes 06.09.2012 18:26:24
VBASE007.VDF : 7.11.50.230 3904512 Bytes 22.11.2012 15:12:16
VBASE008.VDF : 7.11.50.231 2048 Bytes 22.11.2012 15:12:50
VBASE009.VDF : 7.11.50.232 2048 Bytes 22.11.2012 15:12:51
VBASE010.VDF : 7.11.50.233 2048 Bytes 22.11.2012 15:12:51
VBASE011.VDF : 7.11.50.234 2048 Bytes 22.11.2012 15:12:51
VBASE012.VDF : 7.11.50.235 2048 Bytes 22.11.2012 15:12:52
VBASE013.VDF : 7.11.50.236 2048 Bytes 22.11.2012 15:12:52
VBASE014.VDF : 7.11.51.27 133632 Bytes 23.11.2012 19:13:04
VBASE015.VDF : 7.11.51.95 140288 Bytes 26.11.2012 19:12:18
VBASE016.VDF : 7.11.51.96 2048 Bytes 26.11.2012 19:12:18
VBASE017.VDF : 7.11.51.97 2048 Bytes 26.11.2012 19:12:18
VBASE018.VDF : 7.11.51.98 2048 Bytes 26.11.2012 19:12:18
VBASE019.VDF : 7.11.51.99 2048 Bytes 26.11.2012 19:12:18
VBASE020.VDF : 7.11.51.100 2048 Bytes 26.11.2012 19:12:18
VBASE021.VDF : 7.11.51.101 2048 Bytes 26.11.2012 19:12:18
VBASE022.VDF : 7.11.51.102 2048 Bytes 26.11.2012 19:12:18
VBASE023.VDF : 7.11.51.103 2048 Bytes 26.11.2012 19:12:18
VBASE024.VDF : 7.11.51.104 2048 Bytes 26.11.2012 19:12:18
VBASE025.VDF : 7.11.51.105 2048 Bytes 26.11.2012 19:12:18
VBASE026.VDF : 7.11.51.106 2048 Bytes 26.11.2012 19:12:18
VBASE027.VDF : 7.11.51.107 2048 Bytes 26.11.2012 19:12:18
VBASE028.VDF : 7.11.51.108 2048 Bytes 26.11.2012 19:12:18
VBASE029.VDF : 7.11.51.109 2048 Bytes 26.11.2012 19:12:18
VBASE030.VDF : 7.11.51.110 2048 Bytes 26.11.2012 19:12:18
VBASE031.VDF : 7.11.51.122 31232 Bytes 26.11.2012 19:12:19
Engineversion : 8.2.10.204
AEVDF.DLL : 8.1.2.10 102772 Bytes 11.07.2012 05:12:51
AESCRIPT.DLL : 8.1.4.68 467324 Bytes 22.11.2012 15:14:47
AESCN.DLL : 8.1.9.4 131445 Bytes 15.11.2012 15:26:23
AESBX.DLL : 8.2.5.12 606578 Bytes 14.06.2012 17:23:41
AERDL.DLL : 8.2.0.74 643445 Bytes 08.11.2012 06:32:00
AEPACK.DLL : 8.3.0.40 815479 Bytes 12.11.2012 16:44:44
AEOFFICE.DLL : 8.1.2.50 201084 Bytes 05.11.2012 19:37:40
AEHEUR.DLL : 8.1.4.142 5566841 Bytes 22.11.2012 15:14:44
AEHELP.DLL : 8.1.25.2 258423 Bytes 12.10.2012 05:02:01
AEGEN.DLL : 8.1.6.10 438646 Bytes 15.11.2012 15:26:09
AEEXP.DLL : 8.2.0.12 119158 Bytes 22.11.2012 15:14:51
AEEMU.DLL : 8.1.3.2 393587 Bytes 11.07.2012 05:12:50
AECORE.DLL : 8.1.29.2 201079 Bytes 08.11.2012 06:31:57
AEBB.DLL : 8.1.1.4 53619 Bytes 05.11.2012 19:37:38
AVWINLL.DLL : 12.3.0.15 27344 Bytes 09.05.2012 04:50:02
AVPREF.DLL : 12.3.0.32 50720 Bytes 15.11.2012 15:26:24
AVREP.DLL : 12.3.0.15 179208 Bytes 09.05.2012 04:50:04
AVARKT.DLL : 12.3.0.33 209696 Bytes 15.11.2012 15:26:23
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 09.05.2012 04:50:03
SQLITE3.DLL : 3.7.0.1 398288 Bytes 09.05.2012 04:50:04
AVSMTP.DLL : 12.3.0.32 63480 Bytes 08.08.2012 07:26:15
NETNT.DLL : 12.3.0.15 17104 Bytes 09.05.2012 04:50:04
RCIMAGE.DLL : 12.3.0.31 4444408 Bytes 08.08.2012 07:26:11
RCTEXT.DLL : 12.3.0.32 98848 Bytes 15.11.2012 15:26:07

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Suche nach Rootkits und aktiver Malware
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\PROFILES\rootkit.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Optimierter Suchlauf..................: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: aus
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Dienstag, 27. November 2012 11:21

Der Suchlauf nach versteckten Objekten wird begonnen.
Versteckter Treiber
[HINWEIS] Eine Speicherveränderung wurde entdeckt, die möglicherweise zur versteckten Dateizugriffen missbraucht werden könnte.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'FlashPlayerPlugin_11_5_502_110.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_5_502_110.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '116' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '149' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAANTMon.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'EvtEng.exe' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'spd.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmsvc.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLANExt.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '95' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '146' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '102' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1669' Dateien ).



Ende des Suchlaufs: Dienstag, 27. November 2012 12:10
Benötigte Zeit: 49:42 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
4373 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
4373 Dateien ohne Befall
5 Archive wurden durchsucht
0 Warnungen
1 Hinweise
537920 Objekte wurden beim Rootkitscan durchsucht
1 Versteckte Objekte wurden gefunden

beo fund unter anztivir zeigt er nichts mehr an (wahrschienlich weil nach 30 tagen gelöscht wird), nur unter pukt quarantäne sind funde, ich kopier sie dir mal.




Typ: Datei
Quelle: C:\Users\Uschi\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\23\599cce57-78cb0566
Status: Infiziert
Quarantäne-Objekt: 52d10426.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows XP/VISTA Workstation/Windows 7
Suchengine: 8.02.10.28
Virendefinitionsdatei: 7.11.25.250
Meldung: EXP/2011-3544.EB
Datum/Uhrzeit: 25.03.2012, 22:52


Typ: Datei
Quelle: C:\Users\Uschi\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60\3543a7fc-6084b64a
Status: Infiziert
Quarantäne-Objekt: 4a4d2b9d.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows XP/VISTA Workstation/Windows 7
Suchengine: 8.02.10.28
Virendefinitionsdatei: 7.11.25.250
Meldung: EXP/2011-3544.EB
Datum/Uhrzeit: 25.03.2012, 22:52

Was soll das?!
Du solltest vorhandene Logs mit Funden posten und nicht ein neues erstellen!

habe das problem sowohl auf meine hauptrechner wie auch auf laptop: poste dir erstmal alles zum laptop

logfile von malware folgt gleich vom laptop

ich weiß ehrlich gesagt nicht genau was du meinst, ich erstell dir aktuelle logs denn alte habe ich nicht mehr und nur der fund in der quarantäne zeugt von einem log was es sicherlich dazu mal gegeben hat aber bei antivir nach 30 tagen gelöscht wird.

Nein!
Für jeden Rechner bitte einen Strang aufmachen!
Es führst ins Chaos wenn du Logs von verschiedenen Rechnern zusammen in einen Strang packst!

das ist alles vom laptop, vom pc schicke ich dir gar nichts mehr damit wir den laptop erstmal bereinigen. also der letzte beitrag mit logfile ist aktuell vom laptop und die fundebeschreibung auch vom laptop.malware läuft gerade noch .

alwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.11.26.03

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Uschi :: Uschis-PC [Administrator]

27.11.2012 12:14:33
mbam-log-2012-11-27 (13-44-38).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 157668
Laufzeit: 1 Stunde(n), 29 Minute(n), 15 Sekunde(n) [Abgebrochen]

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Users\Uschi\Downloads\setup(1).exe (PUP.BundleInstaller.VG) -> Keine Aktion durchgeführt.
C:\Users\Uschi\Downloads\SoftonicDownloader_fuer_cfos-speed.exe (PUP.OfferBundler.ST) -> Keine Aktion durchgeführt.

(Ende)

soll ich dir noch was erledigen?

soll mich dir noch was erledigen?

soll ich dir noch was erledigen?

was soll ich nun tun?