Se um programa está iniciando no login, ele deve ser iniciado por alguns meios configuráveis. Use autoruns
ou similar para identificar o mecanismo de início.
Depois de identificado, remova todas as configurações globais e use a política de grupo para que o início automático se aplique somente aos usuários com acesso ao programa.
Exemplo:
Exclua o autostart do HKLM para todos os usuários
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
SomeAutoStart=C:\Program Files\foo\bar.exe
E substitua-o por uma política de grupo que o crie em
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
SomeAutoStart=C:\Program Files\foo\bar.exe
Nota: eu menti um pouco quando disse "tem que ser [...] configurável". Existe pelo menos um caminho que não possui configuração. É um dos favoritos dos drivers de impressora que usa um processo em execução com o SeTcbPrivilege
para iniciar um processo em uma sessão de usuários. Mas geralmente minha afirmação é verdadeira.