Primeiro: você está fazendo isso de trás para a frente.
A primeira prioridade é limpar a máquina.
E a única maneira certa de fazer isso é inicializar a partir de um meio de recuperação e digitalizar / limpar a máquina a partir de lá.
Mas às vezes você não tem escolha. Exemplo: Quando você tem uma máquina que usa alguma forma de criptografia de disco, não é possível acessar o disco rígido quando inicializado de outra mídia.
Nesse caso, inicialize-o em "Modo de segurança com prompt de comando".
Em seguida, execute o regedit (há uma GUI, mas não um shell do Explorer em execução nesse momento).
No regedit, vá para HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run.
Adicione seu programa autorun como entrada extra nessa chave.
Alternativamente, você pode usar o comando REG.EXE para fazer o mesmo a partir da linha de comando.
(É uma boa idéia remover TODAS as outras entradas da chave Run enquanto você estiver nela. Uma delas pode fazer parte do malware. Você pode usar a função de exportação do Regedit para salvá-las temporariamente em um arquivo. )
Uma alternativa para isso é alterar o shell de logon do explorer.exe para um gerenciador de arquivos (como TotalCommander ou DirOpus). Às vezes, adicionar entradas de execução automática não funciona, mas o uso de um shell alternativo não funciona. Isso está na chave NT \ CurrentVersion \ WinLogon HKLM \ Software \ Microsoft \ Windows. Você terá que alterar o valor da entrada "Shell" para isso (você pode usar um caminho completo para o executável).
Por favor, note que adicionar um programa extra, que depende da entrada do teclado enquanto o malware está ativo, pode não funcionar. O malware pode facilmente seqüestrar qualquer entrada de teclado, impedindo assim que o seu programa seja ativado.