ウェブサイトを見ていたら、Jetico Personal Firewall (JPF) が重要なレジストリの変更を検知した。なんでも plugin-container.exe が RunOnce *1 を書き換えたらしい。レジストリの値はこんな感じ：

D:\>reg query HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
    FlashPlayerUpdate    REG_SZ    C:\Windows\system32\Macromed\Flash\FlashUtil10k_Plugin.exe -update plugin

ふむ、なるほど。Flash Player のアップデート画面はこうしてログオン時に出してるわけか。

JPFのルールを作るのは結構面倒くさいな。