Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Hyper-V VM mittels Rescue nach Schädlingen scannen

Mitglied: pixel24

pixel24 (Level 1) - Jetzt verbinden

20.09.2019, aktualisiert 14:00 Uhr, 505 Aufrufe, 5 Kommentare

Hallo zusammen,

auf unserem Hyper-V (Windows Server 2012 R2) einen VM (Hostname: STTS01 / Windows Server 2012 R2) welche im Verdacht steht einen Schädling zu enthalten. Die VM läuft als Gen.2 und damit schaffe ich es nicht mittels virtuellem DVD (ISO-File von ESET-Rescue) zu booten. Auch wenn ich den sicheren Start deaktiviere. Ich will dies ohnehin im ersten Lauf nicht mit dem Original machen (also nur als Zusatzinfo).

Ich möchte die virtuelle HD im heruntergefahren Zustand kopieren und eine neue VM mit Gen.1 erstellen und HD dort einbinden. Hier tauchen Fragen auf:

In den Einstellungen der VM -> SCSI-Controller -> Festplatte ist als File ausgewählt:
01.
E:\Hyper-V\Virtual Hard Disks\STTS01_3E1D0BAC-C084-402C-AAA7-297A3E42D55F.avhdx
Daneben gibt es noch:
01.
STTS01_ED46DA61-C7BF-4652-A0B2-A6DD2FE3336D.avhdx
02.
STTS01.vhdx
Das File "STTS01.vhdx" ist doch das eigentliche HD-Device und die .avhdx die Snapshots (bei Windows Prüfpunkte), richtig?

Die Prüfkette die mit im Hyper-V Manager angezeigt wird korrespondiert auch mit Änderungs-Datum der Files:
01.
Installations-Zeitpunkt: File: STTS01.vhdx Datum: 24.05.17
02.
1. Prüfpunkt: File: STTS01_ED46DA61-C7BF-4652-A0B2-A6DD2FE3336D.avhdx Datum: 26.05.17
03.
Jetzt: File: STTS01_3E1D0BAC-C084-402C-AAA7-297A3E42D55F.avhdx Datum: jetzt
Wenn ich diese drei Files nun in in ein neues Verzeichnis kopiere und eine neue Gen.1 VM mit dem ESET-Rescue ISO erstelle. Welches der Files muss ich als HD angeben?

Die geplante Vorgehensweise kommt vom KVM-Server, funktioniert das auf dem Hyper-V überhaupt so?

Viele Grüße
pixel24
Mitglied: Dani
20.09.2019 um 10:38 Uhr
Moin,
Das File "STTS01.vhdx" ist doch das eigentliche HD-Device und die .avhdx die Snapshots (bei Windows Prüfpunkte), richtig?
Ja, der einfachhalber beide Datein kopieren.

Wenn ich diese drei Files nun in in ein neues Verzeichnis kopiere und eine neue Gen.1 VM mit dem ESET-Rescue ISO erstelle. Welches der Files muss ich als HD angeben?
Die selbe Datein ,wie du es in der Orginal-VM unter Einstellungen siehst.


Die geplante Vorgehensweise kommt vom KVM-Server, funktioniert das auf dem Hyper-V überhaupt so?
Weiß ich leider nicht. Wir stellen bei sowas die VM aus der Datensicherung wiederher.


Gruß,
Dani
Bitte warten ..
Mitglied: certifiedit.net
20.09.2019 um 10:38 Uhr
Das dürfte so, wenn überhaupt, mehr schlecht als Recht funktionieren.
Bitte warten ..
Mitglied: rzlbrnft
20.09.2019, aktualisiert um 10:44 Uhr
"Once a virtual machine is created, you cannot change it's generation" ist eine Meldung, die immer beim erstellen einer VM kommt.
Und Microsoft meint das auch so. Deine Boot HDD ist in Gen 1 noch eine IDE Emulation, in Gen 2 ist es SCSI, also ganz anders strukturiert, anderer Bootsektor(UEFI) usw.

Es gibt manche Backup Tools, die das so wiederherstellen können, aber was soll das bei einem Schädling bringen? Neuinstallation geht wahrscheinlich erheblich schneller.
Wie kommst du denn eigentlich auf den Verdacht? Bootet die Kiste nicht mehr?
Bitte warten ..
Mitglied: pixel24
20.09.2019 um 11:47 Uhr
Zitat von rzlbrnft:

"Once a virtual machine is created, you cannot change it's generation" ist eine Meldung, die immer beim erstellen einer VM kommt.
Und Microsoft meint das auch so. Deine Boot HDD ist in Gen 1 noch eine IDE Emulation, in Gen 2 ist es SCSI, also ganz anders strukturiert, anderer Bootsektor(UEFI) usw.

Ja, das habe ich gesehen bzw. weiß ich. Ich möchte ja eine neue Gen.1 VM erstellen welche vom CD-ISO bootet und dort die virtuelle Platte zusätzlich einbinden um sie zu scannen. Die gesäuberte Platte kommt anschließend wieder in ihre orginal Gen.2 VM

Es gibt manche Backup Tools, die das so wiederherstellen können, aber was soll das bei einem Schädling bringen? Neuinstallation geht wahrscheinlich erheblich schneller.
Wie kommst du denn eigentlich auf den Verdacht? Bootet die Kiste nicht mehr?

Doch er bootet. Der Server versendet schadhafte Mails und der Kollege bei dem der Server steht hat mir gesagt dass der Windows-Defender den Schädling EMOTET gemeldet hat, diesen aber nicht entfernen kann.
Bitte warten ..
Mitglied: erikro
20.09.2019 um 12:40 Uhr
Moin,

Zitat von pixel24:
Doch er bootet. Der Server versendet schadhafte Mails und der Kollege bei dem der Server steht hat mir gesagt dass der Windows-Defender den Schädling EMOTET gemeldet hat, diesen aber nicht entfernen kann.

Dann gibt es eigentlich nur eins, was Du tun kannst: Platt machen, neu machen, da Du höchstwahrscheinlich auch andere evtl. nicht erkannte oder erkennbare Schädlinge auf dem System hast. Siehe z. B. hier:
https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/A ...

Liebe Grüße

Erik
Bitte warten ..
Ähnliche Inhalte
Hyper-V
Hyper V VM verkleinern
gelöst Frage von bytetixHyper-V2 Kommentare

Hallo zusammen, einer unserer Hyper V Hostserver hat nur noch 150 GB freien Space, daher wollte ich von einer ...

Hyper-V
Hyper-V VM Umzug
Frage von BytedreherHyper-V3 Kommentare

Hallo zusammen, ich möchte meinen virtuellen DC (Server2012) von aktuell Hyper-V Host (Server2012) auf meinen neuen Hyper-V Host (Server2012R2) ...

Hyper-V
Hyper-V Einstellungen Arbeitsspeicher VM
gelöst Frage von MartyMcFlurry90Hyper-V4 Kommentare

Hallo alle zusammen! Ich sitze gerade vor dem Hyper-V und stelle mir eine Frage bei der ich in TechNet ...

Hyper-V
Netzwerkaussetzer in Hyper-V VM
gelöst Frage von SnuffchenHyper-V8 Kommentare

Hallo zusammen, ich habe hier eine Testmaschine mit Intel Xeon E5 2620 v2 auf einem Supermicro X9SRRH-7F/7TF Mainboard. Netzwerkkarte ...

Neue Wissensbeiträge
Erkennung und -Abwehr
Emotet mit Rspamd und Oletools bekämpfen
Tipp von Dani vor 12 StundenErkennung und -Abwehr1 Kommentar

Moin, Um oletools während der Annahme einer E-Mail die bereits angehängten Office-Dateien analysieren lassen zu können, haben wir für ...

Viren und Trojaner

Gratis-Entschlüsselungstool für STOP-Ransomware verfügbar

Information von AnkhMorpork vor 19 StundenViren und Trojaner

Der Sicherheitsanbieter Emisoft hat ein kostenloses Tool veröffentlicht, mit dem sich Dateien entschlüsseln lassen, die die Ransomware STOP unbrauchbar ...

Off Topic
8 zoll disketten
Information von brammer vor 1 TagOff Topic5 Kommentare

Hallo, ob das so gut ist brammer

Off Topic
Noch mehr was ich nicht brauche
Information von brammer vor 4 TagenOff Topic6 Kommentare

Hallo, WOFÜR? WARUM? brammer

Heiß diskutierte Inhalte
Windows 7
Alter PC abgebrannt - Festplatte im neuen PC führt zum Bluescreen
gelöst Frage von CAT404Windows 725 Kommentare

Moin ich habe seit heute mittag einen PC aufm Tisch stehen, total verzweifelter Eigentümer. Der Rechner ist so ein ...

Server-Hardware
Welches Betriebssystem für DL380p Gen8 für den Heimgebrauch
Frage von peter91gServer-Hardware17 Kommentare

Hallo zusammen, betreibe Zuhause einen Dl380p G8 derzeit mit ESXI in der Testversion. Es läuft je nach Bedarf Ubuntu ...

Windows Server
Powershell Skript kann nicht geladen werden
Frage von renatus85Windows Server14 Kommentare

Hallo, ich habe folgendes Anliegen: In unserer Organisation setzen wir AlwaysOn VPN ein. Das funktioniert soweit auch ohne Probleme. ...

Router & Routing
ARCHER C7 als Open VPN-Server im Netwerk einer Fritzbox 6490
Frage von thburkhartRouter & Routing14 Kommentare

Guten Tag, ich habe bei UnityMedia eine Fritzbox 6490, die die Verbindung zur WAN-Seite herstellt. Einen VPN-Zugriff realisiere über ...