brucki
Goto Top

Virtuelle Festplatte flat.vmdk wegen Virenbefall klonen?

Hi,
Avast hat bei mir angeschlagen und W32:zango-ag in zwei virtuellen Festplatten meiner beiden virtuellen Maschinen gefunden. Eine Suche nach "zango" in der Registry des Hosts brachte zum Glück keine Erfolge und auch eine Dateisuche nach dem Begriff "zango" blieb auf dem Host erfolglos. Spybot hat bzgl. zango nicht angeschlagen, was mich ein wenig verwundert hat. Ich bekomme mit Avast dieses zango-ag nicht aus den vmdks.

Daher meine Idee:
Ich klone, portiere, wie auch immer man das nenne möchte die beiden Festplatten. Also nicht einfach die Dateien kopieren, damit wäre ja nichts gewonnen, sondern deren virtuelle Inhalte irgendwie klonen. Dann ersetze ich die alten mit den neuen, unverseuchten vmdks.

Geht das irgendwie? Ist meine Überlegung durchführbar?

vG
Brucki

Content-ID: 159523

Url: https://administrator.de/contentid/159523

Ausgedruckt am: 22.11.2024 um 08:11 Uhr

Supaman
Supaman 27.01.2011 um 03:06:27 Uhr
Goto Top
mach einfach eine kopie der VMs und mounte die virtuellen platten (offline ) AUF DEM HOST als laufwerksbuchstabe. dann kannst du die mit dem virenscanner oder was auch immer bearbeiten.
it-frosch
it-frosch 27.01.2011 um 07:41:56 Uhr
Goto Top
Hallo Brucki,

wenn du den Virus entfernen willst dann solltest du ihn entweder entfernen (z.B. so http://www.spywareviruscleaner.com/How-to-Remove-Backdoor.Win32.Zango.a ..)
oder die Virtuellen Maschinen neu installieren, um ganz sicher zu gehen.

Ein klonen, sprich kopieren, deiner virtuellen Festplatten bringt gar nichts. Damit bereinigst du auch nichts.
Um deine virt. Festplatte zu bereinigen könntest du sie in eine saubere virtuelle Maschine mit einem aktuellen Virenscanner als zusätzliche Festplatte einhängen und dann scannen.
Die Avast Signatur vom 1.1.2011 - 110101-1 sollte den Virus erkennen und entfernen können. Ansonsten installierst du dir Avira oder AVG zum Prüfen.

Leider hast nicht geschrieben ob die betroffenen virt. Festplatten Systemplatten sind.

grüße vom it-frosch
der-von-der-EDV
der-von-der-EDV 27.01.2011 um 10:55:14 Uhr
Goto Top
Hallo Brucki,
hast du die aktuellen Virendefinitionen vom Avast geladen? Ich vermute fast eine Fehlerkennung, kam bei uns auch schon mehrfach (unterschiedlichste Virenprogramme) vor.
Denn wenn die anderen Anzeichen nicht zutreffen liegt dies nahe. Zur gegen Probe senden wir unsere Datein zum Virenprogrammhersteller, in unserem Fall wird diese dann kostenlos geprüft und wir haben SIcherheit. Bei einer vDisk kann sich das wegen der Größe schwieirg gestalten.

Soweit
Der von der EDV
Brucki
Brucki 27.01.2011 um 11:13:18 Uhr
Goto Top
Hi!

danke für die Unterstützung. Ich hätte erstmal noch eine grundsätzliche Frage:
Wenn ich auf dem Host, auf dem die virtuellen Maschinen ausgeführt werden, an oder in der Datei der virtuellen Festplatten einen Virus finde, ist dann die Datei, die die virtuelle Festplatte ist, infiziert, oder eine in ihr bzw. auf der virtuellen Festplatte befindliche Datei?

Der Scan wurde übrigens auf dem Host ausgeführt und nicht in den virtuellen Maschinen. Die laufen seitdem ich diese Entdeckung gemacht habe nicht mehr.

Die beiden Platten sind die Systemplatten der virtuellen Maschinen. Bei den Systemen handelt es sich um
1. W2K8 R2
2. WIndows Vista

Zur Entfernungsanleitung: Das ist ja das Komische, dass ich weder in der Registry noch in dem Dateisystem einen Eintrag namens *zango* finden konnte.

Auffallend ist auch, dass bei einem Startzeit-Scan, also einem Scan, der gem. Avast durchgeführt wird, bevor das System startet, nichts bei entsprechenden Dateien gefunden wird. Auch ein Vollscan heute Nacht blieb erfolglos. Erst ein erneuter Scan heute Vormittag brachte wieder die beiden W32:zango-ag EInträge

Ein Scan mit Avira heute Vormittag brachte wiederum keinen Eintrag.

Was mich auch wundert, dass "nur" zweimal der gleiche Dateityp (*-flat.vmdk) mit exakt der gleichen Malware (PUP (potentially unwanted program)) befallen sein soll?

Ich werde mal die eine VM starten und dort ebenfalls einen Scan durchführen.

vG
Brucki
Brucki
Brucki 27.01.2011 um 11:16:14 Uhr
Goto Top
Hi,

so eine Fehlerkennung hatte ich auch schon heimlich vermutet (siehe meine Antwort auf Beitrag von it-frosch). Es würde halt ein wenig Mut dazu gehören, mit dieser Annahme leben zu wollen face-smile

Wie ich dem it-frosch auch schon geschrieben habe, werde ich mal eine der beiden VMs starten und dort intern scannen.

vG
Brucki
Brucki
Brucki 27.01.2011 um 11:21:34 Uhr
Goto Top
Hu Supaman,

Du meinst also, dass ein Virenfund in einer vmdk-Datei einem Virenfung in ihr gleichkommt? Mein grundsätzliche Frage, die ich auch an it-frosch gestellt habe:
Wenn ich auf dem Host, auf dem die virtuellen Maschinen ausgeführt werden, an oder in der Datei der virtuellen Festplatten einen Virus finde, ist dann die Datei, die die virtuelle Festplatte ist, infiziert, oder eine in ihr bzw. auf der virtuellen Festplatte befindliche Datei?

Hinweis: Genaugenommen handelt es sich bei dem W32:zango-ag um PUP (gem. Avast). Wobei ich nicht verstehe, wie lediglich zwei einzelne Dateien solch eine PUP darstellen können. Dem Link von it-frosch zur Folge, müssten bei mir auf dem System nämlich mehrere Dateien und evtl. auch Registry-Einträge vorhanden sein, die den String "zango" enthielten. Das kommt aber nicht vor.

Ich werde mal eine VM starten und in ihr einen Scan durchführen.

Vielen Dank für Deine Hilfe

Brucki
Brucki
Brucki 27.01.2011 um 11:53:42 Uhr
Goto Top
Hi @ all,
ich habe soeben einen vollständigen Avast-Scan IN der Vista-Maschine durchgeführt und es wurde keine W32:zango-ag (PUP) gefunden, auch sonst nichts.

Was bringt mir diese Erkenntnis? Keine Ahnung! Ich wollte Euch nur up tp date halten.

vG
Brucki
it-frosch
it-frosch 27.01.2011 um 20:08:33 Uhr
Goto Top
Hallo Brucki,

ich habe soeben einen vollständigen Avast-Scan IN der Vista-Maschine durchgeführt und es wurde keine W32:zango-ag (PUP) gefunden, auch sonst nichts.
Prüfe mal deine Signatur ob die jetzt neuer ist als beim letzten Scan mit der Fehlermeldung.

So wie du das beschreibst tippe ich ganz stark auf einen Fehler in der Signatur. Das passiert immer mal wieder (so im Zeitraum von 1-2 Jahren) face-wink
In einem solchen Fall prüfe ich die "infizierte" Datei mit Avira, Kaspersky, AVG und dem einen oder anderen Onlinescanner (z.B. Trendmicro).
Finden diese nichts, warte ich erst einmal die nächsten Signaturen ab die das Problem bisher immer behoben haben. Manchmal hat es auch etwas länger gedauert.

Ich denke du kannst dein Erlebnis in die Kiste Erfahrung packen und weitermachen. face-smile

grüße vom it-frosch


PS: Wenn die Anfrage für dich erledigt ist kannst du sie grün abhaken.
Brucki
Brucki 27.01.2011 um 20:26:26 Uhr
Goto Top
Hi it-frosch,

ich denke auch, dass ich so "verfahren" werde, wenngleich man wahrscheinlich immer ein mulmiges Gefühl dabei hat, einen "identifizierten Virus bzw. Malware, etc., mal eben zu "ignorieren".

Ich danke Euch, die Ihr mich unterstützt habt und Eure Zeit investiert habt.

vG
Brucki