Mira, yo utilizo el siguiente método:
Deshabilito la ejecución de cmd.
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]
"DisableCMD"=dword:00000001
Abro Process Monitor, y filtro todo para que solo muestre el trabajo de archivos en el disco duro. (Aunque esto no es tan necesario, quizás para archivos "compilados" con programas personales). Generalmente los archivos "compilados" se extraen en %TEMP% que equivale a Letra:\Document and Settings\NombreUsuarioActual\Configuración local\Temp , esto aplica a bat compilados con quick batch file compiler , bat file compiler, programas como exescript extraen los archivos a Letra:\Win[dows][Nt]\Temp
Y generalmente extraen los archivos con atributos de oculto.
Luego se ve el código, y ya está. Yo no necesito cambiar los atributos porque tengo habilitada en opciones de carpeta ver los archivos ocultos , de sistema y carpetas de sistema.
El código no se alcanza a ejecutar porque ha sido deshabilitada la ejecución de archivos bat. (Hay que asegurarse de que realmente sea un bat "compilado" porque sino puedes ejecutar código malicioso en tu máquina).
Finalmente se activa la ejecuón de cmd.
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]
"DisableCMD"=dword:00000000