—Hent Sophos’ værktøj til at fjerne Sony-rootkittet:
http://www.sophos.com/support/cleaners/rkprfgui.com
Kør programmet, klik på Accept. Klik på Go.

Når programmet er færdig med at scanne, vil der ligge en logfil her: C:\resolve.log
Indholdet af denne fil må du gerne lægge herind til gennemsyn.

—Gå så ned på bunden af denne side, og download Rootkitrevealer
http://www.microsoft.com/technet/sysinternals/utilities/RootkitRevealer.mspx

Pak filen ud til en mappe på skrivebordet. Tag netstikket ud af computeren, og luk alle åbne vinduer. Åbn rootkitrevealer-mappen, og dobbeltklik på rootkitrevealer.exe
Klik på Options, og sørg for, at der er flueben ud for “Hide standard NTFS Metadata files”. Klik så på Scan, nederst til højre. Imens programmet scanner må du ikke bruge computeren til andre ting. Når scanningen er færdig, klik på File igen, vælg Save og gem logfilen. Kopier RootkitReveal.txt herind.

Ved ikke hvor stor en succes det har været men her er diverse logs:

RESOLVE Version 1.07
Copyright (c) 2004, Sophos Plc, http://www.sophos.com

System disinfection for Troj/RKProc-Fam

Data Version 1.01

System scan started at 14:44 on 24 April 2007

Checking services

Checking for files affected by Troj/RKProc-Fam

Scanning C:

Error opening file C:\hiberfil.sys

Error opening file C:\pagefile.sys

Checking for Troj/RKProc-Fam in memory

Scanning C:

Checking for registry keys affected by Troj/RKProc-Fam

System scan finished at 14:52 on 24 April 2007

Processes found               : 0
Processes terminated           : 0
Services found               : 0
Services removed             : 0
Registry keys affected         : 0
Registry keys changed           : 0
Files found                 : 0
Files deleted               : 0

HKU\S-1-5-21-1113741417-1492197737-4087692409-1006\Software\Microsoft\Keyboard\Native Media Players\QuickTime Player\ExePath 1-04-2007 19:13 43 bytes Data mismatch between Windows API and raw hive data.
HKLM\SECURITY\Policy\Secrets\SAC* 26-11-2002 22:51 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 26-11-2002 22:51 0 bytes Key name contains embedded nulls (*)

********************************* ROOTCHK-(20-04-07)-LOG, by ejvindh
24-04-2007 15:44:14,94

Driver $sys$aries (hidden) is present. A rootkit scan is recommended.

********************************* ROOTCHK-LOG-end

catchme 0.3.657 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-04-24 15:44:16
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Jacob

Der er noget, der tyder på, at det er en falsk positiv. Der er i hvert fald ingen af de sidste værktøjer, der finder noget heller.

Kan jeg få dig til at prøve følgende: Tag netstikket ud af din computer. Deaktiver alle funktioner i Panda. Kør så rootchk, og se om den stadig finder $sys$aries. Aktiver herefter Panda igen, og sæt herefter netstikket i igen.

Det ser - for en amatør som mig - ud som om, at en falsk positiv er forklaringen.

********************************* ROOTCHK-(20-04-07)-LOG, by ejvindh
25-04-2007 20:55:50,50

The rootkits that are detected by this tool were not found.

********************************* ROOTCHK-LOG-end

catchme 0.3.657 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-04-25 20:55:51
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Hvis alt er som det skal være nu, så mange tak for hjælpen
Jacob

Ja, det ser ud til at Panda narrede rootchk til at tro, at der var et skjult rootkit på computeren. Det var en falsk alarm. Jeg beklager [:I].

Jeg lukker så her. Du er velkommen en anden gang