Backdoor.Rbot Lässt sich trotz AVG Anti Spyware nicht löschen !

#1 Hallo! Ich habe ein Problem mit Backdoor.Rbot ! Ich kann ihn einfach nicht löschen ! Ich habe AVG Anti Spyware und jeden Tag wenn ich den pc neu scanne taucht er wieder auf !!
Das AVG meldet : Spuren gefunden C:\Windows\system32\TFTP1468
C:\Windows\system32\config.exe
C:\Windows\system32\mssmpp.exe
Ich weiss nicht weiter ,mir fehlt die nötige Erfahrung ! Ausserdem ist der Rechner unheinlich langsam !!

#2 Arbeite bitte dieses ab und poste die erstellten Reporte: http://board.protecus.de/t23188.htm
__________
MfG Ralf
SEO-Spam Hunter

#3 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:38, on 2007-07-24
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Tanja.STENDER\Desktop\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\OFFICE11\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1182774716326
O17 - HKLM\System\CCS\Services\Tcpip\..\{DF85597C-34D7-4BF8-9F52-F2C4A60171E3}: NameServer = 195.50.140.114 195.50.140.252
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

--
End of file - 2843 bytes

Also ,das mit dem Combofix hat nicht funktioniert !! Bin den aweisungen gefolgt und er macht dann gar nix mehr !! Ich habe allersdings so wenig erfahrung ,das ich nicht weiss ,ob das so okay war !!

.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8885-3AEB

Verzeichnis von C:\WINDOWS\system32

2007-07-24 09:03 0 TFTP960
2007-07-23 13:28 238,080 TFTP1268
2007-07-23 13:27 0 TFTP1228
2007-07-23 11:52 12,980 wpa.dbl
2007-07-22 18:39 279,552 swreg.exe
2007-07-22 11:29 106,496 TFTP1124
2007-07-22 11:28 89,600 TFTP1484
2007-07-22 11:28 0 TFTP1392
2007-07-22 11:28 0 TFTP932
2007-07-19 13:29 0 TFTP1680
2007-07-18 14:35 0 TFTP1888
2007-07-18 10:40 0 TFTP1720
2007-07-13 12:26 0 TFTP1084
2007-07-12 13:05 0 TFTP1172
2007-07-07 20:30 0 ne1.exe
2007-07-07 20:30 60 i
2007-07-02 12:35 900 NiroFile.exe-up.txt
2007-07-02 12:34 0 TFTP1792
2007-06-30 11:41 0 TFTP388
2007-06-29 10:43 0 TFTP172
2007-06-28 17:13 0 TFTP2016
2007-06-26 19:18 110,992 FNTCACHE.DAT
2007-06-05 23:38 15,747,032 MRT.exe
2007-04-24 11:32 1,485,696 LegitCheckControl.dll
2007-04-16 22:47 33,624 wups.dll
2007-04-16 22:47 30,040 wuapi.dll.mui
2007-04-16 22:47 30,040 wuaucpl.cpl.mui
2007-04-16 22:45 1,710,936 wuaueng.dll
2007-04-16 22:45 549,720 wuapi.dll
2007-04-16 22:45 325,976 wucltui.dll
2007-04-16 22:45 216,408 wuaucpl.cpl
2007-04-16 22:45 92,504 cdm.dll
2007-04-16 22:45 53,080 wuauclt.exe
2007-04-16 22:45 43,352 wups2.dll
2007-04-16 22:45 20,824 wuaueng.dll.mui
2007-04-16 22:44 34,136 wucltui.dll.mui
2007-04-16 22:43 203,096 wuweb.dll

.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8885-3AEB

Verzeichnis von C:\DOKUME~1\TANJA~1.STE\LOKALE~1\Temp

2007-07-24 11:42 86,548 datfind.txt
2007-07-24 11:19 16,384 Perflib_Perfdata_550.dat
2 Datei(en) 102,932 Bytes
0 Verzeichnis(se), 8,831,856,640 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8885-3AEB

Verzeichnis von C:\WINDOWS

2007-07-24 09:02 0 0.log
2007-07-24 09:01 1,147,811 WindowsUpdate.log
2007-07-24 08:59 2,048 bootstat.dat
2007-07-23 22:26 32,558 SchedLgU.Txt
2007-07-23 16:23 416,758 setupapi.log
2007-07-21 19:52 116 NeroDigital.ini
2007-07-20 00:47 109,056 catchme.exe
2007-07-13 21:57 216 wiadebug.log
2007-07-13 18:38 50 wiaservc.log
2007-06-27 18:58 230,878 ntbtlog.txt
2007-06-27 17:28 68,641 xpsp1hfm.log
2007-06-27 17:28 21,766 KB828741.log
2007-06-27 17:28 6,854 KB828741Uninst.log
2007-06-26 18:50 28,656 comsetup.log
2007-06-26 18:50 13,585 iis6.log
2007-06-26 18:50 17,388 ntdtcsetup.log
2007-06-26 18:50 1,374 imsins.log
2007-06-26 18:50 32,872 tsoc.log
2007-06-26 18:50 3,284 Q810833.log
2007-06-26 18:50 34,720 ocgen.log
2007-06-26 18:50 2,968 ocmsn.log
2007-06-26 18:50 4,298 msgsocm.log
2007-06-26 18:50 86,555 FaxSetup.log
2007-06-26 18:49 2,759 Q815021.log
2007-06-26 18:49 1,374 imsins.BAK
2007-06-26 18:34 26,770 KB835732.log
2007-06-26 17:41 999 KB884020.log
2007-06-26 17:38 437 Q815021Uninst.log
2007-06-26 17:10 6,307 KB835732Uninst.log
2007-06-26 17:04 1,128 Q329115.log
2007-06-26 16:44 15,382 KB833407.log
2007-06-26 16:43 12,274 Q329834.log
2007-06-26 16:43 13,508 KB823559.log
2007-06-26 16:42 11,930 Q329048.log
2007-06-26 16:41 10,254 Q810577.log
2007-06-26 16:40 12,733 WgaNotify.log
2007-06-26 16:34 7,134 Q811630.log
2007-06-26 16:28 5,696 Q329441.log
2007-06-26 16:26 2,957 Q329170.log
2007-06-26 16:24 1,216 Q329390.log
2007-06-26 16:23 964 Q323255.log
2007-06-25 14:38 7,597 KB892130.log
2007-06-25 14:37 5,856 KB842773.log
2007-06-25 14:37 4,407 setupact.log
2007-06-17 00:11 51,200 nircmd.exe
2007-04-29 18:13 65,536 DUMP99b2.tmp
2007-04-28 18:09 1,140 mozver.dat
2007-04-28 18:00 0 nsreg.dat
2007-03-23 19:47 316,640 WMSysPr9.prx
2007-02-19 18:33 400 ODBC.INI
2007-02-19 18:31 600 win.ini
2007-02-16 19:01 0 SwSys2.bmp
2007-02-16 19:01 0 SwSys1.bmp
2007-02-16 17:48 820 OEWABLog.txt
2007-02-16 17:42 8,192 REGLOCS.OLD
2007-02-16 17:34 0 control.ini
2007-02-16 17:34 299,552 WMSysPrx.prx
2007-02-16 17:33 4,161 ODBCINST.INI
2007-02-16 17:30 749 WindowsShell.Manifest
2007-02-16 17:27 36 vb.ini
2007-02-16 17:27 37 vbaddin.ini
2007-02-16 17:21 0 Sti_Trace.log
2007-02-16 17:16 231 system.ini
2007-02-16 17:15 0 setuperr.log

#4 Dein Windows ist nicht aktuell, daher die Probleme. Ich sehe derzeit keine aktive Malware, zumindest, was man aus einem Hijackthis log sehen kann. Besuche einmal www.windowsupdate.com und installiere alle dort als wichtig eingestuften Updates. Das kann bis zu 2 Std. dauern.
__________
MfG Ralf
SEO-Spam Hunter