Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Virtuelle Festplatte flat.vmdk wegen Virenbefall klonen?

Frage Virtualisierung

Mitglied: Brucki

Brucki (Level 1) - Jetzt verbinden

27.01.2011 um 01:16 Uhr, 6366 Aufrufe, 9 Kommentare

Hi,
Avast hat bei mir angeschlagen und W32:zango-ag in zwei virtuellen Festplatten meiner beiden virtuellen Maschinen gefunden. Eine Suche nach "zango" in der Registry des Hosts brachte zum Glück keine Erfolge und auch eine Dateisuche nach dem Begriff "zango" blieb auf dem Host erfolglos. Spybot hat bzgl. zango nicht angeschlagen, was mich ein wenig verwundert hat. Ich bekomme mit Avast dieses zango-ag nicht aus den vmdks.

Daher meine Idee:
Ich klone, portiere, wie auch immer man das nenne möchte die beiden Festplatten. Also nicht einfach die Dateien kopieren, damit wäre ja nichts gewonnen, sondern deren virtuelle Inhalte irgendwie klonen. Dann ersetze ich die alten mit den neuen, unverseuchten vmdks.

Geht das irgendwie? Ist meine Überlegung durchführbar?

vG
Brucki
Mitglied: Supaman
27.01.2011 um 03:06 Uhr
mach einfach eine kopie der VMs und mounte die virtuellen platten (offline ) AUF DEM HOST als laufwerksbuchstabe. dann kannst du die mit dem virenscanner oder was auch immer bearbeiten.
Bitte warten ..
Mitglied: it-frosch
27.01.2011 um 07:41 Uhr
Hallo Brucki,

wenn du den Virus entfernen willst dann solltest du ihn entweder entfernen (z.B. so http://www.spywareviruscleaner.com/How-to-Remove-Backdoor.Win32.Zango.a ...)
oder die Virtuellen Maschinen neu installieren, um ganz sicher zu gehen.

Ein klonen, sprich kopieren, deiner virtuellen Festplatten bringt gar nichts. Damit bereinigst du auch nichts.
Um deine virt. Festplatte zu bereinigen könntest du sie in eine saubere virtuelle Maschine mit einem aktuellen Virenscanner als zusätzliche Festplatte einhängen und dann scannen.
Die Avast Signatur vom 1.1.2011 - 110101-1 sollte den Virus erkennen und entfernen können. Ansonsten installierst du dir Avira oder AVG zum Prüfen.

Leider hast nicht geschrieben ob die betroffenen virt. Festplatten Systemplatten sind.

grüße vom it-frosch
Bitte warten ..
Mitglied: der-von-der-EDV
27.01.2011 um 10:55 Uhr
Hallo Brucki,
hast du die aktuellen Virendefinitionen vom Avast geladen? Ich vermute fast eine Fehlerkennung, kam bei uns auch schon mehrfach (unterschiedlichste Virenprogramme) vor.
Denn wenn die anderen Anzeichen nicht zutreffen liegt dies nahe. Zur gegen Probe senden wir unsere Datein zum Virenprogrammhersteller, in unserem Fall wird diese dann kostenlos geprüft und wir haben SIcherheit. Bei einer vDisk kann sich das wegen der Größe schwieirg gestalten.

Soweit
Der von der EDV
Bitte warten ..
Mitglied: Brucki
27.01.2011 um 11:13 Uhr
Hi!

danke für die Unterstützung. Ich hätte erstmal noch eine grundsätzliche Frage:
Wenn ich auf dem Host, auf dem die virtuellen Maschinen ausgeführt werden, an oder in der Datei der virtuellen Festplatten einen Virus finde, ist dann die Datei, die die virtuelle Festplatte ist, infiziert, oder eine in ihr bzw. auf der virtuellen Festplatte befindliche Datei?

Der Scan wurde übrigens auf dem Host ausgeführt und nicht in den virtuellen Maschinen. Die laufen seitdem ich diese Entdeckung gemacht habe nicht mehr.

Die beiden Platten sind die Systemplatten der virtuellen Maschinen. Bei den Systemen handelt es sich um
1. W2K8 R2
2. WIndows Vista

Zur Entfernungsanleitung: Das ist ja das Komische, dass ich weder in der Registry noch in dem Dateisystem einen Eintrag namens *zango* finden konnte.

Auffallend ist auch, dass bei einem Startzeit-Scan, also einem Scan, der gem. Avast durchgeführt wird, bevor das System startet, nichts bei entsprechenden Dateien gefunden wird. Auch ein Vollscan heute Nacht blieb erfolglos. Erst ein erneuter Scan heute Vormittag brachte wieder die beiden W32:zango-ag EInträge

Ein Scan mit Avira heute Vormittag brachte wiederum keinen Eintrag.

Was mich auch wundert, dass "nur" zweimal der gleiche Dateityp (*-flat.vmdk) mit exakt der gleichen Malware (PUP (potentially unwanted program)) befallen sein soll?

Ich werde mal die eine VM starten und dort ebenfalls einen Scan durchführen.

vG
Brucki
Bitte warten ..
Mitglied: Brucki
27.01.2011 um 11:16 Uhr
Hi,

so eine Fehlerkennung hatte ich auch schon heimlich vermutet (siehe meine Antwort auf Beitrag von it-frosch). Es würde halt ein wenig Mut dazu gehören, mit dieser Annahme leben zu wollen

Wie ich dem it-frosch auch schon geschrieben habe, werde ich mal eine der beiden VMs starten und dort intern scannen.

vG
Brucki
Bitte warten ..
Mitglied: Brucki
27.01.2011 um 11:21 Uhr
Hu Supaman,

Du meinst also, dass ein Virenfund in einer vmdk-Datei einem Virenfung in ihr gleichkommt? Mein grundsätzliche Frage, die ich auch an it-frosch gestellt habe:
Wenn ich auf dem Host, auf dem die virtuellen Maschinen ausgeführt werden, an oder in der Datei der virtuellen Festplatten einen Virus finde, ist dann die Datei, die die virtuelle Festplatte ist, infiziert, oder eine in ihr bzw. auf der virtuellen Festplatte befindliche Datei?

Hinweis: Genaugenommen handelt es sich bei dem W32:zango-ag um PUP (gem. Avast). Wobei ich nicht verstehe, wie lediglich zwei einzelne Dateien solch eine PUP darstellen können. Dem Link von it-frosch zur Folge, müssten bei mir auf dem System nämlich mehrere Dateien und evtl. auch Registry-Einträge vorhanden sein, die den String "zango" enthielten. Das kommt aber nicht vor.

Ich werde mal eine VM starten und in ihr einen Scan durchführen.

Vielen Dank für Deine Hilfe

Brucki
Bitte warten ..
Mitglied: Brucki
27.01.2011 um 11:53 Uhr
Hi @ all,
ich habe soeben einen vollständigen Avast-Scan IN der Vista-Maschine durchgeführt und es wurde keine W32:zango-ag (PUP) gefunden, auch sonst nichts.

Was bringt mir diese Erkenntnis? Keine Ahnung! Ich wollte Euch nur up tp date halten.

vG
Brucki
Bitte warten ..
Mitglied: it-frosch
27.01.2011 um 20:08 Uhr
Hallo Brucki,

>ich habe soeben einen vollständigen Avast-Scan IN der Vista-Maschine durchgeführt und es wurde keine W32:zango-ag (PUP) gefunden, auch sonst nichts.
Prüfe mal deine Signatur ob die jetzt neuer ist als beim letzten Scan mit der Fehlermeldung.

So wie du das beschreibst tippe ich ganz stark auf einen Fehler in der Signatur. Das passiert immer mal wieder (so im Zeitraum von 1-2 Jahren)
In einem solchen Fall prüfe ich die "infizierte" Datei mit Avira, Kaspersky, AVG und dem einen oder anderen Onlinescanner (z.B. Trendmicro).
Finden diese nichts, warte ich erst einmal die nächsten Signaturen ab die das Problem bisher immer behoben haben. Manchmal hat es auch etwas länger gedauert.

Ich denke du kannst dein Erlebnis in die Kiste Erfahrung packen und weitermachen.

grüße vom it-frosch


PS: Wenn die Anfrage für dich erledigt ist kannst du sie grün abhaken.
Bitte warten ..
Mitglied: Brucki
27.01.2011 um 20:26 Uhr
Hi it-frosch,

ich denke auch, dass ich so "verfahren" werde, wenngleich man wahrscheinlich immer ein mulmiges Gefühl dabei hat, einen "identifizierten Virus bzw. Malware, etc., mal eben zu "ignorieren".

Ich danke Euch, die Ihr mich unterstützt habt und Eure Zeit investiert habt.

vG
Brucki
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
RedHat, CentOS, Fedora
Neue virtuelle Festplatte in CentOS 7 ohne Reboot finden (6)

Tipp von mic.wendt zum Thema RedHat, CentOS, Fedora ...

Windows 7
Gesamte Festplatte klonen auf neue Festplatte (8)

Frage von aif-get zum Thema Windows 7 ...

Windows Server
gelöst Wo ist der Speicherplatz hin? Festplatte voll, aber womit? Windows Server 2012R2 (9)

Frage von Andinistrator1 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...