Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 1 reply
  • Subscribers 3 subscribers
  • Views 858 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Rootkit

leslie7
This is what I see. Why isn't the rootkit being cleaned? I just don't understand any of this but a tech who wanted to charge me to fix it says a rootkit leaves me vulnerable. I don't know how to get it out.[:S][:S]


Warning: rootkit scan failed to open volume "\?\Volume{42d47c0e-4076-11e2-9cab-047d7bf4d419}"
2013-07-11 16:58:04 Could not open C:\hiberfil.sys
2013-07-11 16:59:25 Could not open C:\pagefile.sys
2013-07-11 17:32:17 Could not open C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_20.1.1.2\CmnClnt\_lck\_AVPAPP_{BB639333-810A-4bf8-85F5-C537857F55FC}1
2013-07-11 17:32:17 Could not open C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_20.1.1.2\CmnClnt\_lck\_ICFMGR_{F34173A0-C9EA-45ab-B832-29D35E6D04EC}G
2013-07-11 17:32:17 Could not open C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_20.1.1.2\CmnClnt\_lck\_ISDATAPR_{E8EFD4CD-DE52-4444-9511-EFF3B158724B}1
2013-07-11 17:32:17 Could not open C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_20.1.1.2\CmnClnt\_lck\_ISDATAPR_{FF9AC67A-E394-46ae-B150-B3365343F166}G
2013-07-11 17:32:17 Could not open C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_20.1.1.2\CmnClnt\_lck\_RDRPluginG
2013-07-11 17:32:17 Could not open C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_20.1.1.2\CmnClnt\_lck\_SNDPluginG
2013-07-11 17:32:17 Could not open C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_20.1.1.2\CmnClnt\_lck\_SvcMgr-A2B50D70-5EA1-45a0-A983-0DB9E7101676G
2013-07-11 17:32:17 Could not open C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_20.1.1.2\CmnClnt\_lck\_{4E9CB39A-5F78-4887-A3D6-2790DE9DDE11}1
2013-07-11 17:36:16 Could not open C:\System Volume Information\{3808876b-c176-4e48-b7ae-04046e6cc752}
2013-07-11 17:36:16 Could not open C:\System Volume Information\{54ea7da5-de11-11e2-8df0-047d7bf4d419}{3808876b-c176-4e48-b7ae-04046e6cc752}
2013-07-11 17:36:16 Could not open C:\System Volume Information\{54ea812e-de11-11e2-8df0-047d7bf4d419}{3808876b-c176-4e48-b7ae-04046e6cc752}
2013-07-11 17:36:16 Could not open C:\System Volume Information\{54ea8585-de11-11e2-8df0-047d7bf4d419}{3808876b-c176-4e48-b7ae-04046e6cc752}
2013-07-11 17:36:16 Could not open C:\System Volume Information\{6d9c8712-d592-11e2-b394-047d7bf4d419}{3808876b-c176-4e48-b7ae-04046e6cc752}
2013-07-11 17:36:16 Could not open C:\System Volume Information\{76f2eb76-d3fa-11e2-a67a-047d7bf4d419}{3808876b-c176-4e48-b7ae-04046e6cc752}
2013-07-11 17:36:16 Could not open C:\System Volume Information\{a7758d39-e9fe-11e2-8adb-047d7bf4d419}{3808876b-c176-4e48-b7ae-04046e6cc752}
2013-07-11 17:54:40 Could not open C:\Windows\System32\catroot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb
2013-07-11 17:54:40 Could not open C:\Windows\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb
2013-07-11 22:50:59 Could not open LOGICAL:0010:00000000
2013-07-11 22:50:59 Could not open Q:\


This thread was automatically locked due to age.
Parents
  • 0
    If i find a true rootkit on a machine I don't attempt repair...i slave it to another machine(or boot to a live dvd Linux distro..this is my first choice) and pull their data off.
      
    If you want to try a repair and if the machine is truly rooted then your options are limited:

    Unix admins know you cannot reliably clean a rooted machine from inside the infected operating system:

    get a usb thumbdrive 2 gigs or larger..or a blank cd.  download the microsoft offline security scanner and burn it to a media...DO NOT USE THE INFECTED MACHINE FOR THIS TASK.  then you boot from that usb or cdrom ad scan the machine.  Remove everything it detects.  fire up the machine and see if the rootkit is still there.  if it is pull the drive and slave it inside another, known clean machine(or boot to a live dvd distro like ubuntu) and then dump all important data off the drive.  Reformat the drive(preferably i boot to gparted and nuke all partitions after formatting).  Reload from known good backups or reload the operating system and restore manually.

    You cannot reliably clean any machine from inside the infected operating system.  Depending on the nature of the rootkit the machine is most likely not cleanable at all.
    Windows Security Issues Causing Increasingly Diffulcult Malware Removals | Emmanuel Technology Consulting
    This is Why You Don’t Clean Infected Machines – A Lesson For Windows Admins | Emmanuel Technology Consulting
Reply
  • 0
    If i find a true rootkit on a machine I don't attempt repair...i slave it to another machine(or boot to a live dvd Linux distro..this is my first choice) and pull their data off.
      
    If you want to try a repair and if the machine is truly rooted then your options are limited:

    Unix admins know you cannot reliably clean a rooted machine from inside the infected operating system:

    get a usb thumbdrive 2 gigs or larger..or a blank cd.  download the microsoft offline security scanner and burn it to a media...DO NOT USE THE INFECTED MACHINE FOR THIS TASK.  then you boot from that usb or cdrom ad scan the machine.  Remove everything it detects.  fire up the machine and see if the rootkit is still there.  if it is pull the drive and slave it inside another, known clean machine(or boot to a live dvd distro like ubuntu) and then dump all important data off the drive.  Reformat the drive(preferably i boot to gparted and nuke all partitions after formatting).  Reload from known good backups or reload the operating system and restore manually.

    You cannot reliably clean any machine from inside the infected operating system.  Depending on the nature of the rootkit the machine is most likely not cleanable at all.
    Windows Security Issues Causing Increasingly Diffulcult Malware Removals | Emmanuel Technology Consulting
    This is Why You Don’t Clean Infected Machines – A Lesson For Windows Admins | Emmanuel Technology Consulting
Children
No Data