ještě mi vrtá hlavou kde se nastavuje pořadí spustit/otevřít
Jaký pořadí?
Jsou privilegované přípony: com, exe, bat
Jsou privilegované cesty : root dir zavaděče, systémáku, windir, sysxx
zbytek se řídí registry (otevřít, otevřít čím)
EDIT// zběžně jsem si pročetl otázku (omlouvám se- nemám čas) a šlo by souhlasit se způsobem napadení zavaděče profilu (userinit) a šachy s relativními cestami - určitě tam bude trčet v "run" explorer.exe na céčku. možnost "asociací" taky nezní špatně - rundll bude chtít spustit cokoliv po infikovaný knihovně (process explorer).
dobrou noc.