Jak odstranit automaticky otvírané okno http://tags.bluekai.com?

Zdravím vespolek,
při každém spuštění PC se otevře prázdné okno Internet Exploreru s adresou 13939... a nemůžu se ho zbavit.

Zkoušel jsem SuperAntiSpyware, Malwarebytes Anti-Malware, Autoruns, ručně prohledat registry a procesy, ani Googlem jsem nenašel nějaké relevantní informace na odstranění.

Setkal jste se s tím někdo a víte, jak tu potvoru odstranit?

OS: Windows 7 Home Premium SP1 + Microsoft Security Essentials

Děkuji za případné rady.

bluekai.png 18.45 KiB

Předmět	Autor	Datum
hosts jsi kontroloval na podezřelé záznamy? proměnná shell a userinit v registrech je ok? HKEY_LOCA… lední brtník 28.04.2013 11:00	lední brtník	28.04.2013 11:00
Díky za reakci. Hosts je OK, je tam jenom přesměrování pro localhost. A jestli se nepletu, hosts sl… host 28.04.2013 11:26	host	28.04.2013 11:26
hosts a přesměrování - jo. ale říkáš že jsi spouštěcí záznam v registrech nenašel, a v hosts mohl bý… lední brtník 28.04.2013 11:52	lední brtník	28.04.2013 11:52
Nesystémový pokus: Zkusil bych v celém registru najít řetězec "bluekai", třeba to něco ukáže. Další… L-Core 28.04.2013 11:32	L-Core	28.04.2013 11:32
Hledat v registru řetězec "bluekai", to jsem zkusil jako první. Samozřejmě tam nic takového nemám. :… host 28.04.2013 11:48	host	28.04.2013 11:48
V těch souborech mám adresu bluekai.com taky. Zlatokop: Malware možná bere informaci o části adresy… L-Core 28.04.2013 12:15	L-Core	28.04.2013 12:15
No, moc se mi nechce parchanta studovat, spíš bych jej rovnou vykopl z počítače. :-) host 28.04.2013 12:30	host	28.04.2013 12:30
Zkus na to poštvat - http://www.techmixer.com/portable-drweb-cureit-por table-free-anti-virus/ poslední M-Pol 28.04.2013 12:45	M-Pol	28.04.2013 12:45
malware remove pme 28.04.2013 11:59	pme	28.04.2013 11:59

hosts jsi kontroloval na podezřelé záznamy?
proměnná shell a userinit v registrech je ok?

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

klíče pro jednorázové spuštění (runonce) jsou prázdné, plánovač úloh, start/stop skripty?

C:\WINDOWS\system32\GroupPolicy\User\Scripts
C:\WINDOWS\system32\GroupPolicy\Machine\Scripts

všechno "po spuštění" jsi zkusil cvičně vypnout?
v nouzovém režimu (se sítí/bez) to vyskakuje taky?
pro masochisty je k počtení log combofix, ještě o něco delší než hijackthis.

Díky za reakci.

Hosts je OK, je tam jenom přesměrování pro localhost. A jestli se nepletu, hosts slouží jen k přesměrování adres, nemá vliv na samovolné otevření okna IE po startu, ne?

Shell = explorer.exe
Userinit = C:\Windows\system32\userinit.exe,

Adresář GroupPolicy je prázdný...

Plánovač úloh se zdá OK. Klíče RunOnce jsou prázdné v HKLM i HKCU.

V nouzovém režimu okno nevyskakuje.

hosts a přesměrování - jo. ale říkáš že jsi spouštěcí záznam v registrech nenašel, a v hosts mohl být jeho překlad.
samozřejmě to v registrech může být uvedeno náhradními znaky, nebo rovnou v těle nějakého .exe:

V nouzovém režimu okno nevyskakuje.

probrat jeden startup záznam po druhém.

Nesystémový pokus:

Zkusil bych v celém registru najít řetězec "bluekai", třeba to něco ukáže.
Další pokud, hledat tento řetězec v *.* souborech na systémovém disku (nejdříve jako plaintext)

Hledat v registru řetězec "bluekai", to jsem zkusil jako první. Samozřejmě tam nic takového nemám.

Při hledání na disku najde řetězec "bluekai" v těch souborech, ale nevypadá, že to má souvislost.

c:\Windows\System32\cs-CZ\ie4uinit.exe.mui
c:\Windows\System32\en-US\ie4uinit.exe.mui
c:\Windows\SysWOW64\cs-CZ\ie4uinit.exe.mui
c:\Windows\SysWOW64\en-US\ie4uinit.exe.mui
c:\Windows\winsxs\amd64_microsoft-windows-i..p-support.resources_31bf3856ad364e35_9.4.8112.16421_cs-cz_d0591e393d6382c2\ie4uinit.exe.mui
c:\Windows\winsxs\amd64_microsoft-windows-i..p-support.resources_31bf3856ad364e35_9.4.8112.16421_en-us_13af6995245ddf20\ie4uinit.exe.mui
c:\Windows\winsxs\x86_microsoft-windows-i..p-support.resources_31bf3856ad364e35_9.4.8112.16421_cs-cz_743a82b58506118c\ie4uinit.exe.mui
c:\Windows\winsxs\x86_microsoft-windows-i..p-support.resources_31bf3856ad364e35_9.4.8112.16421_en-us_b790ce116c006dea\ie4uinit.exe.mui

V těch souborech mám adresu bluekai.com taky.

Zlatokop: Malware možná bere informaci o části adresy z těch souborů. Jako fanda hokus-pokusů bych je někam zazálohoval a v hexaeditoru změnil třeba na "bluegai". Velice nesystémové, jen pro studium práce toho parchanta.