Kann mir einer mal genau erklären was hier unten vor sich geht und was zur Hölle ein CreateInprocComServer ist?

Was ist das für ein verfluchter CLSID {0000000...00000... ???

Die Dateien sehen imho verdächtig aus. Hast Du schonmal in Erwägung gezogen, von einem unangetasteten System diese Dateien zu scannen?

Ich weiß, man kann aktive Ports durch Rootkits verstecken, aber poste mal ein Log von tcpview.

Ja, die Idee ist gut, nur sind meine beiden Systeme infiziert und das Teil ist persistent, es überlebt Windows Reinstallationen.

IEXPLORE.EXE:180 UDP 127.0.0.1:1030 *:*
AOLDial.exe:1384 UDP 127.0.0.1:1039 *:*
IEXPLORE.EXE:1476 UDP 127.0.0.1:1222 *:*
IEXPLORE.EXE:1032 UDP 127.0.0.1:1683 *:*
IEXPLORE.EXE:180 TCP 172.xxx.xxx.xxx:1870 66.193.254.46:80 ESTABLISHED
IEXPLORE.EXE:180 TCP 172.xxx.xxx.xxx:1871 66.193.254.46:80 ESTABLISHED
IEXPLORE.EXE:180 TCP 172.xxx.xxx.xxx:1872 66.193.254.46:80 ESTABLISHED
IEXPLORE.EXE:180 TCP 172.xxx.xxx.xxx:1873 66.193.254.46:80 ESTABLISHED
IEXPLORE.EXE:180 TCP 172.xxx.xxx.xxx:1874 66.193.254.46:80 ESTABLISHED
IEXPLORE.EXE:180 TCP 172.xxx.xxx.xxx:1875 66.193.254.46:80 ESTABLISHED
IEXPLORE.EXE:180 TCP 172.xxx.xxx.xxx:1876 66.193.254.46:80 ESTABLISHED
IEXPLORE.EXE:180 TCP 172.xxx.xxx.xxx:1878 66.193.254.46:80 ESTABLISHED
IEXPLORE.EXE:180 TCP 172.xxx.xxx.xxx:1879 66.193.254.46:80 ESTABLISHED

Ich vermute die UDPs sind getunnelt.

Das sieht schon arg übel aus...
Erstell mal von dem verseuchten System ein Logfile mit HijackThis und poste es.
Mach auch einen Check mit escan und poste das "gefilterte" Log davon...um mal zu schauen, WAS da eigentlich an Malware rumeumelt...