Rechner instabil - Spybot S&D sehr langsam - was ist dmaqj.exe?

#1 Hi @All,

ein Bekannter hat mich um Hilfe bei Rechnerproblemen gebeten. Er hatte mit - einer nicht ganz aktuellen Version von - AntiVir Pers. einen Trojaner gefunden und beseitigt (nicht näher von ihm spezifiziert). Ebenso läuft Spybot S&D bei ihm neuerdings auch extrem langsam (ca. 40 Minuten bei einer 80GB-Festplatte).
Leider waren bei ihm Spybot S&D (v1.3) und sein WinXP home SP1 nicht aktuell, sein Adaware war noch Version 6.0 mit Erkennungs-Signaturen von vor einem Jahr.
Da er a) schon mit der Malware-Beseitigung begonnen hatte, b) nur über einen ISDN-Internet-Zugang verfügt und c) nicht direkt bei mir in der Nähe wohnt, habe ich ihm eine CD mit ServicePack2, sowie eine CD mit den neuesten Programm- und Erkennungsversionen der AntiMalware-Proggies und einigen Tools wie HijackThis, einem UpdatePack und Firefox geschickt.
Außerdem riet ich ihm bis zur vollständigen Beseitigung der Malware und Installation der Updates/Patches nicht ins Internet zu gehn (entspr. Kabel ist abgezogen).

Das aktualisierte Spybot S&Dv1.4 hatte noch einiges gefunden, AdawareSE1.06 danach nur noch das Alexa-Teil (beide im abgesicherten Modus).
CWShredder konnte nichts finden und auch AntiVir fand danach nichts mehr.

Der Versuch das ServicePack2 aufzuspielen scheiterte (obwohl die CD eine Copy der Heise-CD war und ich beide per MD5 verglichen hatte) - eine "tcptest.exe" konnte nicht gefunden werden.
Mein Bekannter hat mir nun ein HijackThis-Log geschickt, bei welchem mir zwei Dinge gleich auffallen. Seht ihr darin noch ein "faules Ei" - neben den von mir dunkelrot markierten?

Logfile of HijackThis v1.99.1
Scan saved at 03:19:31, on 27.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\0190WA~1\w0svc.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\CyberLink\PowerVCRII\Agent.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\AntiMalware\SpecialTools\hijackthis1_99_1\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de7.hpwis.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de7.hpwis.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Agent] C:\Programme\CyberLink\PowerVCRII\Agent.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [dmaqj.exe] C:\WINDOWS\System32\dmaqj.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: VR-NetWorld Auftragsprüfung.lnk = ?
O14 - IERESET.INF: START_PAGE_URL=http://de7.hpwis.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094500096812
O17 - HKLM\System\CCS\Services\Tcpip\..\{63D71D6D-E873-4D0A-9A0F-22D28C9FBC99}: NameServer = 85.255.113.147,85.255.112.24
O17 - HKLM\System\CCS\Services\Tcpip\..\{CAABA8D6-828D-4098-861F-910E7B1137FA}: NameServer = 85.255.113.147,85.255.112.24
O17 - HKLM\System\CCS\Services\Tcpip\..\{DAA19820-A892-4549-950C-8757C1C749D2}: NameServer = 85.255.113.147,85.255.112.24
O17 - HKLM\System\CCS\Services\Tcpip\..\{E6075BC5-5DC0-43A3-9723-5B00BC648430}: NameServer = 85.255.113.147,85.255.112.24
O17 - HKLM\System\CCS\Services\Tcpip\..\{F033EA98-5379-4E68-9BD0-A18CEC6901FB}: NameServer = 85.255.113.147,85.255.112.24
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\PROGRA~1\0190WA~1\w0svc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Die IPs bei den 017er Einträgen gehören wohl (laut dnsstuff.com) zu einem Weißrussich-Ukrainischen Hoster. Über die Datei "dmagj.exe" fand ich per Google rein garnichts.
Reicht es die Einträge zu fixen und diese seltsame dmagj.exe zu löschen? Oder sind noch weitere Schritte - natürlich neben dem immernoch fälligen Update mit SP2 & Co. - notwendig?

Danke schon mal im Voraus

Gruß
RollaCoasta


PS: Ich bin mir nicht ganz sicher, ob die Instabilität nicht auch aus unterdimensioniertem Arbeitsspeicher herrührt (laut dem Bekannten gerade mal 224MB). Wenn da Windows XP, AntiVir, der 0190-Warner und Zonealarm laufen, dürfte der Rechner doch schon ohne weitere Anwendungen ordentlich gefordert sein, oder?
__________
U can get it if u really want! (J.Cliff)

#2 Wider mal ein interessanter Wert: 224 MB Arbeitsspeicher. Ich schätze, er meint 256 MB, was aber für Windows XP ausreichend ist (ich empfehle allerdings 512 MB). Wenn er tatsächlich nur 224 MB anzeigt, könnte der Arbeitsspeicher beschädigt sein.

Du hast alle problematischen Einträge entdeckt. Ich sehe da auch nichts mehr, was noch böse sein könnte. Also die Einträge fixen und die dmaqj.exe löschen. Ich würde allerdings noch nen Scan mit eScanCheck vorschlagen: sicher ist sicher
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#3 Das mit dem Speiher koennte shon passen, wenn er eine interne Grafikkarte nutzt, die den Speicher vom Hauptspeicher abzwackt.
BTW: In der Zeit haette man die Kiste 5 mal neu aufsetzen koennen, haette so wohl auch das SP2 installiert bekommen und der Rechner wuerde wohl stabiler und schneller laufen!
__________
MfG Ralf
SEO-Spam Hunter

#4 Hi Managor und Raman,

thx für eure schnelle Antwort.
Ich fand das mit den 224 MB auch seltsam, werde meinem Bekannten mal noch eine CD mit Memtest86+ 1.60 schicken.
Jo Raman, ich hatte ihm auch geraten den Rechner neu aufzusetzen, aber er ist ziemlich unsicher am Rechner, bei den Versions-Wechseln von Spybot S&D und Adaware hat er das erste Mal in seinem Leben überhaupt ein Programm selbst deinstalliert und installiert (dank Telefon-Flatrate konnte ich ihn entsprechend anleiten, er wohnt leider nicht "um die Ecke"). Er wollte auch erstmal den Säuberungsweg versuchen.
Na mal schauen, er kommt erst nächste Woche zurück.

Nochmals Danke und ein schönes Wochenende

Gruß
RollaCoasta
__________
U can get it if u really want! (J.Cliff)