Korrekt, zumindest wenn man die Funktion des Session-Managers (SM) benutzt (MOVEFILE_DELAY_UNTIL_REBOOT tut das).

Siehe auch Schlüsselname: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Session Manager\FileRenameOperations

Das würde ja am Ziel meilenweit vorbeigehen. Das Problem ist ja gerade, daß solche Löschungen stattfinden bevor Winlogon überhaupt startet. Damit hat man einen deutlichen Vorteil wenn es darum geht "benutzte" Dateien zu löschen. Ein gutes Beispiel sind bestimmte Spyware-DLLs welche gleichzeitig als Winlogon-Benachrichtigungspakete und BHOs laufen und sich gegenseitig beschützen. Wenn sowas clever implementiert ist, hat man keine Chance es zu löschen. Allerdings geht umbenennen üblicherweise (hilft aber auch nicht gegen clevere Implementationen).

Die Lösung wäre ein Programm zu schreiben welches bereits vom SM augerufen werden kann, sprich eines ohne Subsystem. Man nennt sowas auch native Programme. Kann nur davon abraten es in Delphi zu machen, aber prinzipiell ist auch das nicht vollkommen unmöglich. Mein DDKWizard ermöglicht es solche nativen Programme zu erstellen, dazu benötigt man ein DDK oder eben das WDK.

Achtung, wenn man außerhalb des Win32-Subsystems arbeitet, sind DLLs wie Kernel32, User32 usw. tabu. Außerdem gibt es nur einen einzigen Rootschlüssel in der Registry von dem aus alle anderen verzweigen, überhaupt ist die Registrystruktur ein wenig anders.