pixel24
Sep 20, 2019, updated at 12:00:12 (UTC)
view1381
view5
0
Goto Top

Hyper-V VM mittels Rescue nach Schädlingen scannen

GermanQuestionHyper-VVirtualization
Hallo zusammen,

auf unserem Hyper-V (Windows Server 2012 R2) einen VM (Hostname: STTS01 / Windows Server 2012 R2) welche im Verdacht steht einen Schädling zu enthalten. Die VM läuft als Gen.2 und damit schaffe ich es nicht mittels virtuellem DVD (ISO-File von ESET-Rescue) zu booten. Auch wenn ich den sicheren Start deaktiviere. Ich will dies ohnehin im ersten Lauf nicht mit dem Original machen (also nur als Zusatzinfo).

Ich möchte die virtuelle HD im heruntergefahren Zustand kopieren und eine neue VM mit Gen.1 erstellen und HD dort einbinden. Hier tauchen Fragen auf:

In den Einstellungen der VM -> SCSI-Controller -> Festplatte ist als File ausgewählt:
E:\Hyper-V\Virtual Hard Disks\STTS01_3E1D0BAC-C084-402C-AAA7-297A3E42D55F.avhdx
Daneben gibt es noch:
STTS01_ED46DA61-C7BF-4652-A0B2-A6DD2FE3336D.avhdx
STTS01.vhdx

Das File "STTS01.vhdx" ist doch das eigentliche HD-Device und die .avhdx die Snapshots (bei Windows Prüfpunkte), richtig?

Die Prüfkette die mit im Hyper-V Manager angezeigt wird korrespondiert auch mit Änderungs-Datum der Files:
Installations-Zeitpunkt: File: STTS01.vhdx Datum: 24.05.17
1. Prüfpunkt: File: STTS01_ED46DA61-C7BF-4652-A0B2-A6DD2FE3336D.avhdx Datum: 26.05.17
Jetzt: File: STTS01_3E1D0BAC-C084-402C-AAA7-297A3E42D55F.avhdx Datum: jetzt

Wenn ich diese drei Files nun in in ein neues Verzeichnis kopiere und eine neue Gen.1 VM mit dem ESET-Rescue ISO erstelle. Welches der Files muss ich als HD angeben?

Die geplante Vorgehensweise kommt vom KVM-Server, funktioniert das auf dem Hyper-V überhaupt so?

Viele Grüße
pixel24
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 496735

Url: https://administrator.de/contentid/496735

Printed on: April 26, 2024 at 23:04 o'clock

5 Comments
Latest comment
Goto Top
Member: Dani
Dani Sep 20, 2019 at 08:38:02 (UTC)
Goto Top
Moin,
Das File "STTS01.vhdx" ist doch das eigentliche HD-Device und die .avhdx die Snapshots (bei Windows Prüfpunkte), richtig?
Ja, der einfachhalber beide Datein kopieren.

Wenn ich diese drei Files nun in in ein neues Verzeichnis kopiere und eine neue Gen.1 VM mit dem ESET-Rescue ISO erstelle. Welches der Files muss ich als HD angeben?
Die selbe Datein ,wie du es in der Orginal-VM unter Einstellungen siehst. face-smile


Die geplante Vorgehensweise kommt vom KVM-Server, funktioniert das auf dem Hyper-V überhaupt so?
Weiß ich leider nicht. Wir stellen bei sowas die VM aus der Datensicherung wiederher.


Gruß,
Dani
Member: falscher-sperrstatus
falscher-sperrstatus Sep 20, 2019 at 08:38:13 (UTC)
Goto Top
Das dürfte so, wenn überhaupt, mehr schlecht als Recht funktionieren.
Member: rzlbrnft
rzlbrnft Sep 20, 2019 updated at 08:44:34 (UTC)
Goto Top
"Once a virtual machine is created, you cannot change it's generation" ist eine Meldung, die immer beim erstellen einer VM kommt.
Und Microsoft meint das auch so. Deine Boot HDD ist in Gen 1 noch eine IDE Emulation, in Gen 2 ist es SCSI, also ganz anders strukturiert, anderer Bootsektor(UEFI) usw.

Es gibt manche Backup Tools, die das so wiederherstellen können, aber was soll das bei einem Schädling bringen? Neuinstallation geht wahrscheinlich erheblich schneller.
Wie kommst du denn eigentlich auf den Verdacht? Bootet die Kiste nicht mehr?
Member: pixel24
pixel24 Sep 20, 2019 at 09:47:16 (UTC)
Goto Top
Zitat von @rzlbrnft:

"Once a virtual machine is created, you cannot change it's generation" ist eine Meldung, die immer beim erstellen einer VM kommt.
Und Microsoft meint das auch so. Deine Boot HDD ist in Gen 1 noch eine IDE Emulation, in Gen 2 ist es SCSI, also ganz anders strukturiert, anderer Bootsektor(UEFI) usw.

Ja, das habe ich gesehen bzw. weiß ich. Ich möchte ja eine neue Gen.1 VM erstellen welche vom CD-ISO bootet und dort die virtuelle Platte zusätzlich einbinden um sie zu scannen. Die gesäuberte Platte kommt anschließend wieder in ihre orginal Gen.2 VM

Es gibt manche Backup Tools, die das so wiederherstellen können, aber was soll das bei einem Schädling bringen? Neuinstallation geht wahrscheinlich erheblich schneller.
Wie kommst du denn eigentlich auf den Verdacht? Bootet die Kiste nicht mehr?

Doch er bootet. Der Server versendet schadhafte Mails und der Kollege bei dem der Server steht hat mir gesagt dass der Windows-Defender den Schädling EMOTET gemeldet hat, diesen aber nicht entfernen kann.
Member: erikro
erikro Sep 20, 2019 at 10:40:39 (UTC)
Goto Top
Moin,

Zitat von @pixel24:
Doch er bootet. Der Server versendet schadhafte Mails und der Kollege bei dem der Server steht hat mir gesagt dass der Windows-Defender den Schädling EMOTET gemeldet hat, diesen aber nicht entfernen kann.

Dann gibt es eigentlich nur eins, was Du tun kannst: Platt machen, neu machen, da Du höchstwahrscheinlich auch andere evtl. nicht erkannte oder erkennbare Schädlinge auf dem System hast. Siehe z. B. hier:
https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/A ...

Liebe Grüße

Erik
GermanQuestionHyper-VVirtualization