Eu estive em uma situação semelhante. Tente isso.
Dois programas que eu uso são: Windows Process Explorer , e Online Armor Free da Emsisoft. O Windows Process Explorer é um programa autônomo que fornece informações detalhadas sobre a execução de processos em segundo plano. O Online Armor é um pacote de segurança (30 dias de teste; mas depois permite que você escolha a versão completa ou o modo freeware limitado) que tem pouco uso de memória para mim e não reduz muito a inicialização, mas requer algum treinamento se você quiser usar todos os recursos recursos de segurança. Eu sugiro pegar os dois.
O Windows Process Explorer mostra-me o processo pai e qualquer processo filho associado ao autor da violação automática para que eu saiba o que procurar na guia Autoruns do Online Armor Free. A guia Autoruns listará vários dll's, drv's, sys e exe associados a programas e serviços de inicialização. Lá, você pode obter mais informações sobre o arquivo para localizar as chaves do registro, se desejar, mas as chaves do Registro podem ser recuperadas às vezes. Tudo o que você realmente precisa fazer é bloquear o processo pai ou o processo filho, dependendo de qual deles faz exatamente o que você quer.
Por exemplo, no Windows Process Explorer, o processo pai do TeamViewer é TeamViewer_Service.exe e um de seus processos filhos é o TeamViewer.exe. Se eu for para a aba Autoruns no Online Armor Free, ele mostrará TeamViewer_Service.exe e eu posso configurá-lo para Block. Então, ele não será executado automaticamente na inicialização, mesmo que outro arquivo ou serviço tente reativá-lo na execução automática.
O Online Armor lida com autoruns indesejados bloqueando a execução automática em si; ele não atua como um interruptor de ligar / desligar para autoruns (ao contrário de alguns programas lá fora). Garantir que, se a execução automática for reativada na reinicialização, a execução automática ainda não fará nada, a menos que a execução automática ocorra com um nome diferente; mas até isso pode ser tratado de outra maneira. Isso me poupou problemas, mesmo com programas que reativam a execução automática, se eu executar manualmente o programa (se precisar usá-lo). E funcionou até mesmo em serviços de inicialização teimosos que quase nada funcionou.