Firefox Prozess bei Systemstart

    Gestern begann FF 10.0 (WinXP) plötzlich sehr langsam zu werden, dazu hatte ich für mehrere Sekunden keine Kontrolle mehr über die Mouse, die nicht unkontrolliert sondern ganz anständig mein Startmenü offnete und sich umsah...

    Nach einem Rechner-Neustart entdeckte ich im Task Manager einen FF Prozess (System) mit ca 64MB Speichernutzung, ohne FF überhaupt gestartet zu haben. Nach manuellem Beenden des Prozesses startet dieser NICHT mehr von alleine, nur nach einem Systemstart wird er aktiv.

    Avira und SUPERAntiSpyware ;) brachten keine Ergebnisse, obwohl diese eigentlich Poison Trojaner entdecken sollten (das WWW ist voll mit Hinweisen zu Poison bei diesem FF Verhalten).
    Process Explorer und Open Ports Viewer zeigen allerdings, dass die Spur Richtung Poison führt.

    Nach einem Tag testen führte schliesslich das Entfernen folgenden Schlüssels aus der Registry zum Erfolg:

    [HKEY_CLASSES_ROOT\CLSID\{0D68D6D0-D93D-4D08-A30D-F00DD1F45B24}]
    @="PSFactoryBuffer"

    [HKEY_CLASSES_ROOT\CLSID\{0D68D6D0-D93D-4D08-A30D-F00DD1F45B24}\InProcServer32]
    @="C:\\Program Files\\Mozilla Firefox\\AccessibleMarshal.dll"
    "ThreadingModel"="Both"

    FF läuft brav und kein Geister-Prozess firefox.exe mehr aufgetreten.

    Wer hat ähnliche Probleme, wer kann mir sagen ob dieser Registry Eintrag "legal", manipuliert oder hineingeschmuggelt ist?

    Hallo, danke für das Welcome ;) und die prompte Antwort!

    anbei das Log von Anti-Malware (einen Code Button konnte ich nirgends finden...). Immerhin zwei Treffer, das Progi machts :)
    Die beiden Treffer habe ich entfernen lassen, was direkt dazu führte dass der Windows Explorer Prozess neu startete...

    Aus der von Anti-Malware gelöschten Anweisung in der Registry werde ich nicht schlau, doch ich denke es geht hier nur um die Eingabesyntax im regedit.exe
    EuropaSetup_bc7820.exe war schon lange vorher deinstalliert.
    Ob der Eintrag von der EuropaSetup Installation übriggeblieben ist, kann ich nicht beurteilen.

    Was bleibt ist nun die Frage aus meinem ersten Post: was soll ich mit dem manuell gelöschten Registry Eintrag machen? Ich befürchte dass ich ich den ganzen Zirkus von vorne starte wenn ich den Eintrag wieder einfüge...

    Malwarebytes Anti-Malware 1.60.1.1000
    http://www.malwarebytes.org

    Database version: v2012.02.03.07

    Windows XP Service Pack 3 x86 NTFS
    Internet Explorer 8.0.6001.18702
    ##### :: ##### [administrator]

    03.02.2012 19:08:41
    mbam-log-2012-02-03 (19-08-41).txt

    Scan type: Full scan
    Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
    Scan options disabled: P2P
    Objects scanned: 624714
    Time elapsed: 4 hour(s), 1 minute(s), 20 second(s)

    Memory Processes Detected: 0
    (No malicious items detected)

    Memory Modules Detected: 0
    (No malicious items detected)

    Registry Keys Detected: 0
    (No malicious items detected)

    Registry Values Detected: 0
    (No malicious items detected)

    Registry Data Items Detected: 1
    HKCR\regfile\shell\open\command| (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and repaired successfully.

    Folders Detected: 0
    (No malicious items detected)

    Files Detected: 1
    C:\Documents and Settings\#####\My Documents\EuropaSetup_bc7820.exe (PUP.Casino) -> Quarantined and deleted successfully.

    (end)