Stellen, die mir so einfallen:

Registry
(Für alle Benutzer prüfen, nicht nur den konkret betroffenen.)
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunServices
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es

Verzeichnisse
AutoStart des Users
AutoStart für "Alle"
AutoStart der User, die normalerweise nicht sichtbar sind (Localservice, Networkservice, ...)

Dort überall unbedingt auch verstecke Dateien überprüfen.

Wo liegt die Software?

Hat da eventuell (oder auch sonstwo) einer 'ne AutoRun.inf hingelegt, die das Programm startet.
Die AutoRun.Inf funktioniert nicht zur für CD-Laufwerke.

Der Prozess-Explorer hat mir bisher immer die Quelle jeglicher Software und den "Verursacher" des Aufrufes verraten können. Man muss sich halt ggfls. mal durch alle seine Optionen durchklicken.

Wenn man im Prozess-Explorer in der "Titelzeile" des Listview auf Process klickt, wird sortiert: Aufsteigend und absteigend nach Namen, sowie Prozess mit "untergeordneten" Prozessen, das ist eine Baumansicht, in der man ggfls. durch Klicken auf das + vor einem Prozess die von ihm aufgerufenen Prozesse sichtbar machen kann.

Zeugs, dass aus der Registry gestartet wurde, solltes Du eher unterhalb von System finden, Autostart und Konsorten eher unter explorer.exe.

Steht Dein Programm unter einem anderen Prozess, so ist dieser (höchstwahrscheinlich) der "Verbrecher".

Hilft alles nix:

Per Virenscanner prüfen, ob Dein Programm auf diesem Rechner irgendwie zu 'nem Zombie mutiert (worden) ist.
(Programm gegen neue Version (frische Exe) austauschen - wenn Windows den Zugriff, trotz laufendem Prozess - was eher unwahrscheinlich ist - zulässt.)
Geht das, prüfen, ob es die Exe auch noch "Andernorts" gibt.

Dass das Programm im Benutzerkontext läuft, heißt nicht zwingend was. Es könnte auch sein, dass ein anderer Benutzer die Software mit den Benutzerangaben des angemeldeten Benutzers startet.

Gibt es auf dem Rechner mehrere Benutzer?

Wenn ja, wird die Software bei den Anderen auch automatisch gestartet?
Bei allen? (Eher ein benutzerunabhängiges Problem.)

Wenn nein, dann dürfte das ein "Benutzerproblem" sein.

Im Zweifelsfalle das Programm an eine andere Stelle verschieben (soweit möglich) und prüfen, ob der "Autostart" dann weg ist.
In der Ereignisanzeige prüfen, ob da Meldungen bezüglich des Programmes zu finden sind.

An allen oben genannten Stellen alles entfernen (Verzeichnisse bzw. Registryeinträge umbenennen) um auszuschließen, dass da irgendein "indirekter" Aufruf stattfinden kann.
Startet das Programm dann immer noch?

Bist Du sicher, dass es sich um Dein Programm an der Dir bekannten Stelle (auf welchem Laufwerk auch immer) handelt oder nicht eventuell um eine Kopie von anderer Stelle? (Die ggfls. aufgrund von fehlenden "Abhängigkeiten" (DLLs oder so) nicht richtig starten kann.)

Gibt es auf diesem Rechner oder für diesen Benutzer weitere "Auffälligkeiten", die nichts mit Deiner Software zu tuen haben und von denen Du (bisher) nichts weißt?
Es könnte ja durchaus ein anderes Problem geben, von dem halt Deine Software zufällig auch betroffen ist.

Wenn alle Stricke reißen, dann sowas benutzen:
Autostart-Manager
AutoRuns (gehört, wie der Prozessexplorer, zur Sysinternals Suite)

Manche meiner Vorschläge mögen absurd klingen, aber im Zweifelsfalle, wenn keine "vernünftige" Ursache zu finden ist, halt trotzdem mal nachschauen.

es ist zum Haare raufen. das "Geisterprogramm" ist nicht mehr da. kein gestarteter Prozess mehr, Anwendung läuft wie gewünscht. Schon gestern mehrfach den Rechner neu gestartet und immer hing der Prozess da rum...

Die Autostarts habe ich geprüft, nix gefunden... Sorry, dass ich keine Lösung präsentieren kann...

Zum Programm ist die ProzessID des Starters hinterlegt, allerdings kann der bereits wieder beendet sein, wenn du später danach suchen willst.

Du könntest aber direkt beim Programmstart das auslesen und den Namen in eine Logdatei schreiben.
http://www.delphipraxis.net/218-lauf...auflisten.html
PROCESSENTRY32 > th32ParentProcessID

Die Toolhelp-Snapshots führen aber zu einer deutlich spürbaren Verzögerung; die Parent-ID kann man auch direkt rausfinden, etwa so, und damit dann einfach ein GetProcessFilenameW.