5
Hyper-V VM mittels Rescue nach Schädlingen scannen
Hallo zusammen,
auf unserem Hyper-V (Windows Server 2012 R2) einen VM (Hostname: STTS01 / Windows Server 2012 R2) welche im Verdacht steht einen Schädling zu enthalten. Die VM läuft als Gen.2 und damit schaffe ich es nicht mittels virtuellem DVD (ISO-File von ESET-Rescue) zu booten. Auch wenn ich den sicheren Start deaktiviere. Ich will dies ohnehin im ersten Lauf nicht mit dem Original machen (also nur als Zusatzinfo).
Ich möchte die virtuelle HD im heruntergefahren Zustand kopieren und eine neue VM mit Gen.1 erstellen und HD dort einbinden. Hier tauchen Fragen auf:
In den Einstellungen der VM -> SCSI-Controller -> Festplatte ist als File ausgewählt:
Daneben gibt es noch:
Das File "STTS01.vhdx" ist doch das eigentliche HD-Device und die .avhdx die Snapshots (bei Windows Prüfpunkte), richtig?
Die Prüfkette die mit im Hyper-V Manager angezeigt wird korrespondiert auch mit Änderungs-Datum der Files:
Wenn ich diese drei Files nun in in ein neues Verzeichnis kopiere und eine neue Gen.1 VM mit dem ESET-Rescue ISO erstelle. Welches der Files muss ich als HD angeben?
Die geplante Vorgehensweise kommt vom KVM-Server, funktioniert das auf dem Hyper-V überhaupt so?
Viele Grüße
pixel24
auf unserem Hyper-V (Windows Server 2012 R2) einen VM (Hostname: STTS01 / Windows Server 2012 R2) welche im Verdacht steht einen Schädling zu enthalten. Die VM läuft als Gen.2 und damit schaffe ich es nicht mittels virtuellem DVD (ISO-File von ESET-Rescue) zu booten. Auch wenn ich den sicheren Start deaktiviere. Ich will dies ohnehin im ersten Lauf nicht mit dem Original machen (also nur als Zusatzinfo).
Ich möchte die virtuelle HD im heruntergefahren Zustand kopieren und eine neue VM mit Gen.1 erstellen und HD dort einbinden. Hier tauchen Fragen auf:
In den Einstellungen der VM -> SCSI-Controller -> Festplatte ist als File ausgewählt:
E:\Hyper-V\Virtual Hard Disks\STTS01_3E1D0BAC-C084-402C-AAA7-297A3E42D55F.avhdxSTTS01_ED46DA61-C7BF-4652-A0B2-A6DD2FE3336D.avhdx
STTS01.vhdxDas File "STTS01.vhdx" ist doch das eigentliche HD-Device und die .avhdx die Snapshots (bei Windows Prüfpunkte), richtig?
Die Prüfkette die mit im Hyper-V Manager angezeigt wird korrespondiert auch mit Änderungs-Datum der Files:
Installations-Zeitpunkt: File: STTS01.vhdx Datum: 24.05.17
1. Prüfpunkt: File: STTS01_ED46DA61-C7BF-4652-A0B2-A6DD2FE3336D.avhdx Datum: 26.05.17
Jetzt: File: STTS01_3E1D0BAC-C084-402C-AAA7-297A3E42D55F.avhdx Datum: jetztWenn ich diese drei Files nun in in ein neues Verzeichnis kopiere und eine neue Gen.1 VM mit dem ESET-Rescue ISO erstelle. Welches der Files muss ich als HD angeben?
Die geplante Vorgehensweise kommt vom KVM-Server, funktioniert das auf dem Hyper-V überhaupt so?
Viele Grüße
pixel24
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 496735
Url: https://administrator.de/forum/hyper-v-vm-mittels-rescue-nach-schaedlingen-scannen-496735.html
Ausgedruckt am: 08.04.2025 um 19:04 Uhr
5 Kommentare
Neuester Kommentar
Moin,
Gruß,
Dani
Das File "STTS01.vhdx" ist doch das eigentliche HD-Device und die .avhdx die Snapshots (bei Windows Prüfpunkte), richtig?
Ja, der einfachhalber beide Datein kopieren.Wenn ich diese drei Files nun in in ein neues Verzeichnis kopiere und eine neue Gen.1 VM mit dem ESET-Rescue ISO erstelle. Welches der Files muss ich als HD angeben?
Die selbe Datein ,wie du es in der Orginal-VM unter Einstellungen siehst. Die geplante Vorgehensweise kommt vom KVM-Server, funktioniert das auf dem Hyper-V überhaupt so?
Weiß ich leider nicht. Wir stellen bei sowas die VM aus der Datensicherung wiederher.Gruß,
Dani
Das dürfte so, wenn überhaupt, mehr schlecht als Recht funktionieren.
"Once a virtual machine is created, you cannot change it's generation" ist eine Meldung, die immer beim erstellen einer VM kommt.
Und Microsoft meint das auch so. Deine Boot HDD ist in Gen 1 noch eine IDE Emulation, in Gen 2 ist es SCSI, also ganz anders strukturiert, anderer Bootsektor(UEFI) usw.
Es gibt manche Backup Tools, die das so wiederherstellen können, aber was soll das bei einem Schädling bringen? Neuinstallation geht wahrscheinlich erheblich schneller.
Wie kommst du denn eigentlich auf den Verdacht? Bootet die Kiste nicht mehr?
Und Microsoft meint das auch so. Deine Boot HDD ist in Gen 1 noch eine IDE Emulation, in Gen 2 ist es SCSI, also ganz anders strukturiert, anderer Bootsektor(UEFI) usw.
Es gibt manche Backup Tools, die das so wiederherstellen können, aber was soll das bei einem Schädling bringen? Neuinstallation geht wahrscheinlich erheblich schneller.
Wie kommst du denn eigentlich auf den Verdacht? Bootet die Kiste nicht mehr?
Zitat von @rzlbrnft:
"Once a virtual machine is created, you cannot change it's generation" ist eine Meldung, die immer beim erstellen einer VM kommt.
Und Microsoft meint das auch so. Deine Boot HDD ist in Gen 1 noch eine IDE Emulation, in Gen 2 ist es SCSI, also ganz anders strukturiert, anderer Bootsektor(UEFI) usw.
Ja, das habe ich gesehen bzw. weiß ich. Ich möchte ja eine neue Gen.1 VM erstellen welche vom CD-ISO bootet und dort die virtuelle Platte zusätzlich einbinden um sie zu scannen. Die gesäuberte Platte kommt anschließend wieder in ihre orginal Gen.2 VM"Once a virtual machine is created, you cannot change it's generation" ist eine Meldung, die immer beim erstellen einer VM kommt.
Und Microsoft meint das auch so. Deine Boot HDD ist in Gen 1 noch eine IDE Emulation, in Gen 2 ist es SCSI, also ganz anders strukturiert, anderer Bootsektor(UEFI) usw.
Es gibt manche Backup Tools, die das so wiederherstellen können, aber was soll das bei einem Schädling bringen? Neuinstallation geht wahrscheinlich erheblich schneller.
Wie kommst du denn eigentlich auf den Verdacht? Bootet die Kiste nicht mehr?
Wie kommst du denn eigentlich auf den Verdacht? Bootet die Kiste nicht mehr?
Doch er bootet. Der Server versendet schadhafte Mails und der Kollege bei dem der Server steht hat mir gesagt dass der Windows-Defender den Schädling EMOTET gemeldet hat, diesen aber nicht entfernen kann.
Moin,
Dann gibt es eigentlich nur eins, was Du tun kannst: Platt machen, neu machen, da Du höchstwahrscheinlich auch andere evtl. nicht erkannte oder erkennbare Schädlinge auf dem System hast. Siehe z. B. hier:
https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/A ...
Liebe Grüße
Erik
Zitat von @pixel24:
Doch er bootet. Der Server versendet schadhafte Mails und der Kollege bei dem der Server steht hat mir gesagt dass der Windows-Defender den Schädling EMOTET gemeldet hat, diesen aber nicht entfernen kann.
Doch er bootet. Der Server versendet schadhafte Mails und der Kollege bei dem der Server steht hat mir gesagt dass der Windows-Defender den Schädling EMOTET gemeldet hat, diesen aber nicht entfernen kann.
Dann gibt es eigentlich nur eins, was Du tun kannst: Platt machen, neu machen, da Du höchstwahrscheinlich auch andere evtl. nicht erkannte oder erkennbare Schädlinge auf dem System hast. Siehe z. B. hier:
https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/A ...
Liebe Grüße
Erik
