Sophos が無償提供している Roorkit を検知・削除するツール。
GUI 版(sargui.exe)と CUI 版(sarcli.exe)が含まれている。

使い方は同梱されている pdf を見ればいいので、動かしてみた感想を書いてみる。
GUI 版は検出されたものを選択して削除する事ができるのがいい。
しかし、GUI 機能がとにかく貧弱なのが気になる。せめてソートぐらいはできるようにしようよ。
あと、結果をファイルに落とせないのもちと不便か。

CUI 版は実行するとデフォルトで %TEMP% にログファイルと検出されたファイルの情報を暗号化したファイル(samples.sar)を生成する。
Sophos に分析を依頼する場合にはこれらを送付しろとの事だが、検出された全てのファイルについての情報が入ってしまう所がイマイチ。
というのも、実際に実行してみた所、バックアップツールが作成するバックアップファイルを相当数引っかけてくれちゃってたからである。
このままだと怪しいファイルの情報と一緒に余計な情報も送らなければならなくなる。
samples.sar から指定したファイルの情報だけを抽出するツールがあるといいんじゃないかな。

自分の環境で実行した結果、レジストリから

\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf40
\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf41

というのが検出された。
調べてみるとこれは DAEMON Tools に含まれる SCSI ドライバ関連のエントリなので問題ないらしい。