gerry1208
Goto Top

Hyper-V-Netzwerkadapter ohne Feature

Seit einigen Wochen haben wir in unserer Domäne auf fast allen Notebooks Hyper-V-Netzwerkadapter. Wir haben das Hyper-V-Feature deaktiviert. Diese aktivieren sich automatisch kurz nach Starten des Systems und lassen sich für den Moment deaktivieren, sind aber nach einem Neustart des OS wieder aktiv. Auch wenn wir diese versuchen hart zu löschen, kommen diese immer wieder.
Ich habe bereits auch mal versucht, ein Notebook zurückzusetzen, allerdings kommen die immer wieder.
Auffällig ist auch, dass das System nach dem Start sehr viel Leistung in den Prozess vmmem.exe steckt. Als würde eine versteckte VM auf den Notebooks laufen.
Es handelt sich um Fujitsu Lifebooks auf denen Software läuft wie ein VPN-Client von der Firma Barracuda, dem Citrix Workspace sowie dem Office Paket.

Hat jemand eine Idee, woher diese Netzwerkadapter kommen oder kann man in einem Log schauen, welche Anwendung/Richtlinie diese installiert?
Es scheint so, als hätte jeder physikalischer Netzwerkadapter sein Hyper-V-Pendant.
netzwerkadapter
features-vmmem

Content-ID: 11415742057

Url: https://administrator.de/forum/hyper-v-netzwerkadapter-ohne-feature-11415742057.html

Ausgedruckt am: 25.12.2024 um 01:12 Uhr

NordicMike
NordicMike 20.03.2024 aktualisiert um 08:21:46 Uhr
Goto Top
Haben die evtl Docker oder Oracle VirtualBox drauf (nicht unbedingt gestartet aber installiert)?
WSL verwendet auch vmmem.exe, aber ich denke nicht, dass es gleich einen vEthernet Adapter braucht.
Gerry1208
Gerry1208 20.03.2024 um 08:24:25 Uhr
Goto Top
Nein, es sind keine anderen Virtualisierungs-Produkte installiert.
NordicMike
NordicMike 20.03.2024 um 08:25:48 Uhr
Goto Top
Mach mal eine komplett frische Installation und lasse alle Updates laufen. Kommt es dann auch wieder zum Vorschein?
Th0mKa
Lösung Th0mKa 20.03.2024 um 08:34:48 Uhr
Goto Top
Zitat von @Gerry1208:

Nein, es sind keine anderen Virtualisierungs-Produkte installiert.

Moin,

benutzt ihr Microsoft Defender Application Guard oder etwas in die Richtung?

/Thomas
Gerry1208
Gerry1208 20.03.2024 um 10:29:51 Uhr
Goto Top
Wir nutzen den Microsoft Endpoint Manager (MDM, zur Verwaltung der mobilen Geräte) und statt externer AV-Produkte nutzen wir den Microsoft Defender. Ob wir das Produkt "Application Guard" nutzen, müsste ich mit unserem Dienstleister klären.
Gerry1208
Gerry1208 20.03.2024 um 10:31:03 Uhr
Goto Top
Ich habe das Notebook einmal damals neu installiert. Die Adapter kamen einige Tage nachdem wir dieses mit der Domäne verbunden haben, daher gehe ich mal davon aus dass es hier kein Problem vom NB selbst, sondern eher aus der Domäne/Azure stammt.
NordicMike
NordicMike 20.03.2024 aktualisiert um 10:44:51 Uhr
Goto Top
Na hoffentlich ist das kein Virus, das sich eine verborgene VM installiert hat face-smile

https://www.zdnet.com/article/ransomware-deploys-virtual-machines-to-hid ...

Mach mal Wireshark...
Gerry1208
Gerry1208 22.11.2024 um 09:49:50 Uhr
Goto Top
Genau das war es, danke vielmals!
Sobald man den Microsoft Defender Application Guard deaktiviert werden die Hyper-V Adapter entfernt.