Amateur mit Trojaner TR/Agent.131584 |
||
|---|---|---|
| #0
| ||
|
15.11.2006, 01:13
...neu hier
Beiträge: 8 |
||
 
|
|
|
|
15.11.2006, 11:22
Ehrenmitglied
 Beiträge: 29434 |
#2
GUB77
Registry Search Tool http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren Doppelklick:regsrch.vbs reinkopieren: Microsoft SDKb Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) Doppelklick:regsrch.vbs reinkopieren: ms32sgss.exe Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) _________________________________________________________ «« stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html «« Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
15.11.2006, 19:57
...neu hier
Themenstarter Beiträge: 8 |
#3
Hallo Sabina,
vielen Dank zunächst für Deine Hilfe. Hier die Posts: Microsoft SDKb REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "Microsoft SDKb" 15.11.2006 19:30:56 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Microsoft SDKb"="ms32sgss.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "Microsoft SDKb"="ms32sgss.exe" [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "Microsoft SDKb"="ms32sgss.exe" [HKEY_USERS\S-1-5-21-1757981266-839522115-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run] "Microsoft SDKb"="ms32sgss.exe" [HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run] "Microsoft SDKb"="ms32sgss.exe" ms32sgss.exe REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "ms32sgss.exe" 15.11.2006 19:35:23 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Microsoft SDKb"="ms32sgss.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "Microsoft SDKb"="ms32sgss.exe" [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "Microsoft SDKb"="ms32sgss.exe" [HKEY_USERS\S-1-5-21-1757981266-839522115-725345543-1003\Software\Microsoft\Search Assistant\ACMru\5603] "014"="ms32sgss.exe" [HKEY_USERS\S-1-5-21-1757981266-839522115-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run] "Microsoft SDKb"="ms32sgss.exe" [HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run] "Microsoft SDKb"="ms32sgss.exe" Ok. CleanUp hat über 2000 Dateien runtergeschmissen. Hier der Rest: Datentr„ger in Laufwerk C: ist System Volumeseriennummer: 48A4-7102 Verzeichnis von C:\WINDOWS\system32 15.11.2006 19:05 21.961 nvapps.xml 15.11.2006 16:16 81 rundll32.ini 14.11.2006 08:05 2.206 wpa.dbl 03.11.2006 12:09 320.094 perfh007.dat 03.11.2006 12:09 49.174 perfc007.dat 03.11.2006 12:09 314.508 perfh009.dat 03.11.2006 12:09 40.836 perfc009.dat 03.11.2006 12:09 732.342 PerfStringBackup.INI 09.06.2006 10:05 57.384 avsda.dll 24.03.2006 19:08 28.778 klogon.dll Datentr„ger in Laufwerk C: ist System Volumeseriennummer: 48A4-7102 Verzeichnis von C:\DOKUME~1\Robert\LOKALE~1\Temp 15.11.2006 19:30 512 ~DF11E6.tmp 15.11.2006 19:19 4.756 ~WRS0698.tmp 15.11.2006 19:19 16.384 ~WRF0779.tmp 15.11.2006 19:19 512 ~DF5F4.tmp 15.11.2006 19:09 512 ~DF4340.tmp 15.11.2006 19:09 512 ~DF37D5.tmp 6 Datei(en) 23.188 Bytes 0 Verzeichnis(se), 19.714.519.040 Bytes frei Datentr„ger in Laufwerk C: ist System Volumeseriennummer: 48A4-7102 Verzeichnis von C:\WINDOWS\Temp 15.11.2006 19:47 8.192 cch~21c7eb596.htp 15.11.2006 19:47 8.192 cch~21c7eb199.htp 15.11.2006 19:26 528.384 JET3288.tmp 15.11.2006 19:05 16.384 ~DFDB66.tmp 4 Datei(en) 561.152 Bytes 0 Verzeichnis(se), 19.714.502.656 Bytes frei Datentr„ger in Laufwerk C: ist System Volumeseriennummer: 48A4-7102 Verzeichnis von C:\WINDOWS\Downloaded Program Files 08.08.2006 11:45 576 kavwebscan.inf 07.06.2005 13:14 65 desktop.ini 26.05.2005 03:19 291 wuweb.inf 08.12.2003 12:58 3.759 swflash.inf 20.01.2000 14:25 1.162 Microsoft XML Parser for Java.osd 14.10.1997 17:52 697 DirectAnimation Java Classes.osd 6 Datei(en) 6.550 Bytes 0 Verzeichnis(se), 19.714.494.464 Bytes frei Datentr„ger in Laufwerk C: ist System Volumeseriennummer: 48A4-7102 Verzeichnis von C:\WINDOWS 15.11.2006 19:26 522 ODBC.INI 15.11.2006 19:06 0 0.log 15.11.2006 19:06 49 transp.gif 15.11.2006 19:05 2.048 bootstat.dat 15.11.2006 09:14 744.464 setupapi.log 08.11.2006 13:45 116 NeroDigital.ini 08.11.2006 12:06 155 winamp.ini 05.11.2006 17:27 54.156 QTFont.qfn 03.11.2006 02:21 3.145 netcfg.log 03.11.2006 02:21 456 awprotoc.txt 03.11.2006 02:20 61 awerror.txt 01.11.2006 13:33 53.261 wmsetup.log 24.10.2006 00:15 216 wiadebug.log 23.10.2006 10:25 50 wiaservc.log 12.10.2006 20:56 403 nsw.log 26.09.2006 09:18 180.642 setupact.log 25.09.2006 20:38 109 KTEL.INI 20.09.2006 13:09 9.348 DPINST.LOG 07.07.2006 19:15 124.966 ntbtlog.txt Datentr„ger in Laufwerk C: ist System Volumeseriennummer: 48A4-7102 Verzeichnis von C:\ 15.11.2006 19:57 0 sys.txt 15.11.2006 19:57 578 down.txt 15.11.2006 19:57 318 tmp.txt 15.11.2006 19:56 5.341 system.txt 15.11.2006 19:56 531 systemtemp.txt 15.11.2006 19:56 99.896 system32.txt 15.11.2006 19:05 805.306.368 pagefile.sys 22.10.2006 18:53 5.851 acrocrashlog.html 14.03.2006 14:15 192 BcBtRmv.log VG GUB77 |
|
|
|
|
|
|
15.11.2006, 20:10
Ehrenmitglied
Beiträge: 29434 |
#4
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen Zitat REGEDIT4 «« Start > Ausfuehren --> reinschreiben --> cmd und ok. kopiere rein dir /s /a "ms32sgss*.*" > c:\find.txt & start notepad c:\find.txt dir /s /a "rundll32*.*" > c:\find.txt & start notepad c:\find.txt und poste alles, was im Texteditor erscheint __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
15.11.2006, 22:19
...neu hier
Themenstarter Beiträge: 8 |
#5
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 48A4-7102 Das ist alles. Kommt in beiden Fällen identisch... |
|
|
|
|
|
|
15.11.2006, 22:26
Ehrenmitglied
Beiträge: 29434 |
#6
wende noch mal RegSrch. an - zur Ueberpruefung, ob die Eintraege aus der Registry geloescht sind
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
15.11.2006, 22:26
...neu hier
Themenstarter Beiträge: 8 |
#7
Der ganze Spaß begann, als ich EverestPoker starten wollte. Lief vorher monatelang problemlos - jetzt bekomme ich allerdings immer die Trojanerwarnung. Hab mal Kaspersky Anti-Virus 6.0 draufgespielt und danach versucht die EverestPoker-Software neu runterzuladen. Kaspersky verhindert dies schon im Ansatz. Kann es auch an überempfindlichen Einstellungen der Virenscanner liegen und in Wirklichkeit ne harmlose Sache sein?
MfG GUB77 |
|
|
|
|
|
|
15.11.2006, 22:27
Ehrenmitglied
Beiträge: 29434 |
#8
diese ganzen Poker-Sachen bringen nur Probleme, der Kasperky weiss das auch
 aber auf deinem Rechner ist/ware in Backdoor, das ist viel schlimmer.... schau,ob die Eintraege wirklich aus der registry raus sind __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
15.11.2006, 22:31
...neu hier
Themenstarter Beiträge: 8 |
#9
Microsoft SDKb brachte kein Ergebnis.
ms32sgss.exe führte zu Folgendem: REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "ms32sgss.exe" 15.11.2006 22:29:44 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_USERS\S-1-5-21-1757981266-839522115-725345543-1003\Software\Microsoft\Search Assistant\ACMru\5603] "014"="ms32sgss.exe" |
|
|
|
|
|
|
15.11.2006, 22:33
Ehrenmitglied
Beiträge: 29434 |
#10
dann scanne noch mal mit dem kaspersky im abgesicherten Modus, dann sollte es wieder o.k. sein
 __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
15.11.2006, 22:36
...neu hier
Themenstarter Beiträge: 8 |
#11
Neuerdings springt Kaspersky auch an, wenn ich RegSrch.vbs starte.
not-a-virus:AdWare.Win32.Casino.t MfG GUB77 |
|
|
|
|
|
|
15.11.2006, 22:39
Ehrenmitglied
Beiträge: 29434 |
#12
ja, das ist nun nicht in Ordnung, mein feines Reg-Proggie
 aber von dem Pokerzeug lass die Finger, ist besser so __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
16.11.2006, 06:32
...neu hier
Themenstarter Beiträge: 8 |
#13
Guten Morgen,
der Scan im abgesicherten Modus dauerte so lange, dass ich den Rechner über Nacht dafür laufen lies. Bei Microsoft SDKb hatte er wieder nichts zu meckern, dafür kam bei ms32sgss.exe wieder folgende Meldung: REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "ms32sgss.exe" 16.11.2006 06:28:42 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_USERS\S-1-5-21-1757981266-839522115-725345543-1003\Software\Microsoft\Search Assistant\ACMru\5603] "014"="ms32sgss.exe" MfG GUB77 |
|
|
|
|
|
|
16.11.2006, 11:10
Ehrenmitglied
Beiträge: 29434 |
#14
dieser Eintrag ist nicht "boese" , du kannst MRU-Clear anwenden
http://virus-protect.org/mruclear.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
16.11.2006, 21:27
...neu hier
Themenstarter Beiträge: 8 |
#15
Hallo Sabina,
es hat funktioniert! Mein System ist wieder sauber, auch wenn ich keinen Schimmer hab, was Du gemacht hast... :-) Vielen, vielen Dank - ohne Dich wäre mein Ausweg nur eine Neuinstallation gewesen. MfG GUB77 |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
habe seit heute einen unangenehmen Störenfried auf meinem Rechner. Meine laienhaften Versuche, ihn mit AntiVir, Ad-Aware oder Spybot loszuwerden sind leider gescheitert.
Bin alles andere als ein Kenner der Materie, hab hier drin aber gesehen, dass log-files ganz hilfreich sein können. Ich hoffe, Ihr könnt mir helfen...
Vielen Dank im Voraus,
GUB77
Logfile of HijackThis v1.99.1
Scan saved at 00:59:26, on 15.11.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\rundll32.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programme\MSI\Bluetooth Software\BTTray.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\PROGRA~1\MSI\BLUETO~1\BTSTAC~1.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\BUHLDA~1\PCFIRE~1\sfw.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Dokumente und Einstellungen\Robert\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\PROGRA~1\klickTel\EBAYST~1\IEBUTT~2.DLL (file missing)
O2 - BHO: metaspinner media GmbH - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - C:\PROGRA~1\klickTel\KLICKT~2\IEBUTT~2.DLL (file missing)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PC Firewall Professional] C:\PROGRA~1\BUHLDA~1\PCFIRE~1\sfw.exe /waitservice
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Siemens SmartSync - ScheduleSync] C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE
O4 - HKLM\..\Run: [Microsoft SDKb] ms32sgss.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [Microsoft SDKb] ms32sgss.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft SDKb] ms32sgss.exe
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\MSI\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\BUHLDA~1\PCFIRE~1\TRASH.EXE (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\BUHLDA~1\PCFIRE~1\TRASH.EXE (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1151224233843
O17 - HKLM\System\CCS\Services\Tcpip\..\{87DECBC3-CA58-40A2-B018-EACD19937FB8}: NameServer = 213.191.92.87 213.191.74.19
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SFirewall Service (SFirewall) - Unknown owner - C:\PROGRA~1\BUHLDA~1\PCFIRE~1\sfw.exe