Ich tippe auch auf Shell-Extensions. Überprüfen kannst du die mit dem neuen AutoRuns von Sysinternals. Ansonsten könnte es ein Ansatz sein über die o.g. Adresse herauszufinden in welchem Modul (DLL) sich der Übeltäter befindet und dann eine aktuellere Version einzuspielen oder was auch immer.