Userinit parameters
 

проблема вот в чём: я не знал кто стартует один процесс. Process Explorer мне сказал что "папа" userinit.exe. откуда userinit "знает", что ему надо стартовать? в autotun'e нету ничего похожего на нужный мне процесс(использовал Autoruns от sysinternals)

Win XP Pro

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ Explorer\Run] - при этом программы из этого списка не отображаются в списке программ, доступных для отключения в msconfig.exe, а также определяются не всеми менеджерами автозагрузки

В разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] также содержится ряд строковых параметров, отвечающих за автозапуск различных приложений при входе пользователя в систему

Userinit - определяет список программ, запускаемых процессом WinLogon в контексте пользователя при его регистрации в системе. По умолчанию это userinit.exe, nddeagnt.exe для Windows NT и userinit.exe для Windows 2000 / XP

покопался дальше:
в ключе Userinit стоит не дефолтная программа, а другой скрипт, который в свою очередь запускает ещё кучу скриптов. как определить из какого конкретно скрипта запустили нужный мне процесс? v Process Explorer в у него в отцах стоит Userinit

Чей процесс тебе надо вычеслить? Имя процесса?
Бери Regmon от Winternals, настраивай фильтр и вперёд. Если процесс присутствует в системе, предварительно его заверши и запусти после старта Regmon, что логично.

мне нужно имя *.bat или *.vbs скрипта из которого запустили нужный мне процесс. *.bat врядли, потому что по ним я уже поиск запускал, а *.vbs зашифрованны. причём нужный мне процесс делает всю свою работу ещё до старта explorer'a