ještě mi vrtá hlavou kde se nastavuje pořadí spustit/otevřít

Jaký pořadí?

Jsou privilegované přípony: com, exe, bat
Jsou privilegované cesty : root dir zavaděče, systémáku, windir, sysxx
zbytek se řídí registry (otevřít, otevřít čím)

EDIT// zběžně jsem si pročetl otázku (omlouvám se- nemám čas) a šlo by souhlasit se způsobem napadení zavaděče profilu (userinit) a šachy s relativními cestami - určitě tam bude trčet v "run" explorer.exe na céčku. možnost "asociací" taky nezní špatně - rundll bude chtít spustit cokoliv po infikovaný knihovně (process explorer).

dobrou noc.