pokud jsi schopný nakopírovat/spustit ze sítě program starter (http://CodeStuff.mirrorz.com) řekne ti jména výrobců (a jejich rodná čísla:) všech utilit co se spouští po startu / právě běží v paměti / spouštěné jako služby.
to že není vidět plocha používáme třeba u nás jako zabezpečení proti faking users (operátorům ve výrobě), m.j. se jim killne explorer.exe - asi proto ta přídavná batka od nějakého vola, co ho znovu startuje.
v registrech jde o klíč (možná různý podle verze wirdows): "...nt\curevversion\winlogon\userinit" - tam může být killovací skript
nebo spyware si nahradil "shell"=explorer.exe
teoreticky ještě v HLM\sw\m$\wir\CV\AppPaths\ jsou spouštěcí cesty pro programy co neleží rovnou na %path%, i tam může být "přeasociace" na jiný shell