Как раз-таки API и палится антивирями

Но с использованием API меньше размер будет, так?

API если юзать конечно меньше ведь функции ты не пишеш просто к ним обращаещся а сами функции в виндовых библеотеках находятся... А по поводу трояна почитай на этом форуме http://www.opensc.ws там и исходники есть и вопрос задать можно правдо форум на инглише но русскоязычных там хватает.

попробуй через cmd (REG ADD)

пишешь на VB 6 ? Попробуй скомпилить в P-Code. И попробуй закриптовать ASProtect ом.

Попробуй добавлять сюда.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell


Когда то давно пользовался этим. все прокатывало.

Тоже пишу зловреда, нужно будет удалить ветку безопасного режима и прописать в автозагрузку.
Через system(cmd reg …); безпалевно работать?

Не прокатит. Каспер спалит на раз два.
И все остальные ветки в реестре монитроятся очень хорошо.

А пару месяцев назад REG ADD прокатывал

А еслм reg import blabla.reg или вместо записи winlogon'а загружаться сначала, а потом сам winlogon? В хакере статья про вирь была, там про мусор в inf файлах упоминалось, можно где-нибудь прочитать об этот? Знаю, что можно через autoexec.bat сделать, представив символы системных команд в качестве переменных.

а если просто в автозагрузку скопировать, или то же палится?