[Windows XP-32 bit] ddad.dll - DCOM - System wird heruntergefahren... - Paules-PC-Forum.de

peacock · 18.10.2011, 13:52

Seit kurzem passiert folgendes: Nach dem Booten erscheinen im system32 die DLLs ddldr64.dll, ddldr32.dll und ddad.dll. Mal mit Größe 0 mal mit Größe > 0.
Wenn die DLLs sofort nach boot gelöscht werden, erscheinen sie später wieder.
Dies führt dann zum zwangsweise zum Herunterfahren von XP (SP3).

Woher stammen diese DLLs ??? Beim Booten aus dem Internet ? Wie kann ich das analysieren.

Die ganze "Schweinerei" ist in beigefügtem Bild dargestellt.

**AHT** · 18.10.2011, 16:37

Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
Danach die PPFScan.exe starten.
Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
Wähle im Untermenü Script laden und ausführen.
Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mitJa.
Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.

peacock · 18.10.2011, 19:01

sorry, aber PPFScanner lief über 1 h und hängt nun seit ca. 30 min mit
der Nachrichte neben dem roten Punkt: "Scanne C:\Programme\Zone Labs\ZoneAlarm\repair". Scheint nicht weiter zu kommen. Das Verzeichnis ...\repair enthält nur 5 kleine Dateien (vsmon.exe + 4 DLLs.

**AHT** · 18.10.2011, 19:06

Warten, das geht weiter. Der ordnet jetzt Dateien.
Scan dauert lange.

peacock · 18.10.2011, 20:29

**AHT** · 19.10.2011, 08:31

Scheint mit deinem virtuellen Laufwerk zu tun zu haben. Deaktiviere mal testweise den Dienst "Virtual Disk Driver Dienst" - wenn du den findest. Der kann auch anders heißen. Findest du den nicht, müssen wir noch mal nach dem Namen suchen....

peacock · 19.10.2011, 10:59

Habe den "Virtual Disc Service" deaktiviert.
Habe meine RAMDisk (L

entfernt und die Funktion deaktiviert.
Zur Zeit erscheinen dir fraglichen DLLs nicht und damit auch nicht die Problematik
Habe allerdings erst 3x gebootet. Erst heute nachmittag kann ich weiter testen; erst nach einiger Zeit läßt sich ja wohl sagen, ob der Fehler damit beseitigt ist. Dann war's ja wohl kein Virus.

Gibt es denn konkrete Anhaltspunkte, die auf den "Virtual Disc Service" oder die RAMDisk deuten ???

Danke erstmal, ich werde mich auf jeden Fall wieder melden mit Statusbericht.

**AHT** · 19.10.2011, 14:54

Ja, sonst wäre ich ein Hellseher.

peacock · 20.10.2011, 15:55

Bisher läuft es gut (L

.
Die große Frage bleibt, woher die ddad.dll überhaupt stammt. Zu welcher software gehört sie (und ddldr32.dll)? Tatsächlich zum VDS? Wie konnte sie sporadisch mit der Größe 0 erscheinen?

Aber das sind wohl Fragen für ein anderes (Unter)Forum.
Jedenfalls erstmal: thanks-a-lot

**AHT** · 20.10.2011, 16:50

Ich nehme mir noch ein bischen Zeit und erkläre dir, wie ich zu dem Ergebnis gekommen bin.

Wie du selbst bereits gehen hast, startet ein SVCHOST Prozess diese DLL über RUNDLL32.exe von Windows. SVCHOST und RUNDLL32 sind Programme von Microsoft, die es ermöglichen, eine DLL innerhalb dieser Prozesse quasi als Programm laufen zu lassen. RUNDLL32 ist dabei für den Kontext des angemeldeten User vorgesehen, während SVCHOST in der Regel mit den Rechten und im Kontext des lokalen Systemaccounts läuft (hat im Prinzip mehr Zugriffsrechte als jeder Administratoraccount - in diesem Kontext laufen in der Regel die Dienste).
In der Datei Modules.TXT vom PPFScanner siehst du da folgendes:

Code:

Module in svchost.exe (1020)
Dateiname                                                                                                Adresse      Größe (Speicher)   Dateibeschreibung                          Firmenname                               Produktname                                 Produktversion       Dateiversion         Signatur                             
======================================================================================================== ============ ================== ========================================== ======================================== =========================================== ==================== ==================== ==================================== 
c:\windows\system32\virtualdisk.dll                                                                      268435456    167936             Virtual Disk Driver Dienst                 Digital Dynamic                          Virtual Disk Driver Dienst                  1.1.0.0              1.1.0.0                                                   
c:\windows\system32\ddldr32.dll                                                                          11796480     94208

Ein SCHHOST Prozess lädt dort eine von dir besagte DLL zusammen mit der virtualdisk.dll.
Welche DLLs in welche SVCHOST Prozesse geladen werden sollen, steht bei den Diensten in der Registry. In der Datei PPREGISTRY.TXT sind diese DLLs unter der Rubrik Von SVCHOST geladene Module gelistet. Hier findest du zwar die Datei virtualdisk.dll, nicht aber die Datei ddldr32.dll.
Die einzige "vernünftige" Erklärung (es gibt auch noch eine "unvernünftige") für das Fehlen dieses Eintrages für die DLL ist eigentlich, dass virtualdisk.dll sie nach dem Laden selbst nachlädt, weil sie sie im Prozess braucht.
In der MD5.TXT findet man die MD5-Prüfsummme der DLL, die ist f428cc089de788fbc0b88f3189145f95.
Gibt man diese MD5 bei http://www.virustotal.com/search.html ein, kommt man zu folgendem Ergebnis: http://www.virustotal.com/file-scan/...628-1318427097

Klickt man in dem Ergebnis auf Show all, ist folgender Bereich interessant:

Zitat:

sigcheck:
publisher....: Digital Dynamic
copyright....: Copyright (C) 2011
product......: Virtual Disk Driver Dienst
description..: Virtual Disk Driver Dienst
original name: virtualdisk.dll
internal name: Virtual Disk Driver Dienst
file version.: 1.1.0.0
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Der Virtual Disk Driver Dienst verursacht also dein Problem, deswegen solltest du den deaktivieren.
Die "unvernünftige" Erklärung wäre so wahrscheinlich, wie ein sechser im Lotto - habe deshalb schon damit gerechnet, dass die DLLs nicht mehr geladen werden.

Ich hoffe, dir hilft meine Erklärung dabei, den Grund für das Laden der DLLs und dieses komische Verhalten herauszufinden. Das du nicht auf den Kopf gefallen bist, sehe ich schon daran, wie du den ProcessExplorer nutzt.

18.10.2011, 13:52	#1 (Direktlink)
peacock Erfolgreich angemeldet Registriert seit: 18.10.2011 Beiträge: 5	ddad.dll - DCOM - System wird heruntergefahren... Seit kurzem passiert folgendes: Nach dem Booten erscheinen im system32 die DLLs ddldr64.dll, ddldr32.dll und ddad.dll. Mal mit Größe 0 mal mit Größe > 0. Wenn die DLLs sofort nach boot gelöscht werden, erscheinen sie später wieder. Dies führt dann zum zwangsweise zum Herunterfahren von XP (SP3). Woher stammen diese DLLs ??? Beim Booten aus dem Internet ? Wie kann ich das analysieren. Die ganze "Schweinerei" ist in beigefügtem Bild dargestellt.

18.10.2011, 16:37	#2 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS). Danach die PPFScan.exe starten. Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü. Wähle im Untermenü Script laden und ausführen. Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mitJa. Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

18.10.2011, 19:01	#3 (Direktlink)
peacock Erfolgreich angemeldet Registriert seit: 18.10.2011 Beiträge: 5	PPFScan hängt sorry, aber PPFScanner lief über 1 h und hängt nun seit ca. 30 min mit der Nachrichte neben dem roten Punkt: "Scanne C:\Programme\Zone Labs\ZoneAlarm\repair". Scheint nicht weiter zu kommen. Das Verzeichnis ...\repair enthält nur 5 kleine Dateien (vsmon.exe + 4 DLLs.

18.10.2011, 19:06	#4 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Warten, das geht weiter. Der ordnet jetzt Dateien. Scan dauert lange. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

18.10.2011, 20:29	#5 (Direktlink)
peacock Erfolgreich angemeldet Registriert seit: 18.10.2011 Beiträge: 5	PPFScan done (14 files) 14 PPF files uploaded: File-Upload.net - Drivers.txt File-Upload.net - Eventlog.txt File-Upload.net - Files.txt File-Upload.net - Firewall.txt File-Upload.net - Hidden.txt File-Upload.net - MD5.txt File-Upload.net - Modules.txt File-Upload.net - ppFiles.txt File-Upload.net - ppRegistry.txt File-Upload.net - Processes.txt File-Upload.net - Scripting.txt File-Upload.net - Services.txt File-Upload.net - Threads.txt File-Upload.net - Warnings.txt Anmerkungen: System war mit Avira 12 (mit "schärfsten" Optionen) geprüft + bereinigt worden. DCOM über registry ausgeschaltet. L: ist eine RAM-disk (für FireFox- und Opera-cache). Nach dem letzten boot ist ddad.dll nicht leer (360K). "DenkDran" und "LBoot" sind selbstgeschriebene Programme.

19.10.2011, 08:31	#6 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Scheint mit deinem virtuellen Laufwerk zu tun zu haben. Deaktiviere mal testweise den Dienst "Virtual Disk Driver Dienst" - wenn du den findest. Der kann auch anders heißen. Findest du den nicht, müssen wir noch mal nach dem Namen suchen.... __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

19.10.2011, 10:59	#7 (Direktlink)
peacock Erfolgreich angemeldet Registriert seit: 18.10.2011 Beiträge: 5	Habe den "Virtual Disc Service" deaktiviert. Habe meine RAMDisk (L entfernt und die Funktion deaktiviert. Zur Zeit erscheinen dir fraglichen DLLs nicht und damit auch nicht die Problematik Habe allerdings erst 3x gebootet. Erst heute nachmittag kann ich weiter testen; erst nach einiger Zeit läßt sich ja wohl sagen, ob der Fehler damit beseitigt ist. Dann war's ja wohl kein Virus. Gibt es denn konkrete Anhaltspunkte, die auf den "Virtual Disc Service" oder die RAMDisk deuten ??? Danke erstmal, ich werde mich auf jeden Fall wieder melden mit Statusbericht.

19.10.2011, 14:54	#8 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Ja, sonst wäre ich ein Hellseher. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

20.10.2011, 15:55	#9 (Direktlink)
peacock Erfolgreich angemeldet Registriert seit: 18.10.2011 Beiträge: 5	Bisher läuft es gut (L . Die große Frage bleibt, woher die ddad.dll überhaupt stammt. Zu welcher software gehört sie (und ddldr32.dll)? Tatsächlich zum VDS? Wie konnte sie sporadisch mit der Größe 0 erscheinen? Aber das sind wohl Fragen für ein anderes (Unter)Forum. Jedenfalls erstmal: thanks-a-lot

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
System wird von selbst heruntergefahren	Davem	Viren-Forum	1	24.04.2007 23:11
XP wird nach 45 heruntergefahren!	Serki	Windows XP	5	19.03.2004 13:50
RPC: Das System wird Heruntergefahren	Petra Anfänger	Windows XP	2	12.08.2003 14:52
XP wird sofort wieder heruntergefahren	pfupfi	Windows XP	1	16.07.2003 21:14