У меня вообще есть хорошая идея. Перебрать все! возможные ветки реестра и пути автозапуска файла. Написать kernel-драйвер который будет в при запуске восстанавливать все значения в исходные. Если была установлена программа требующая автозапуска то эта ветка руками или по кнопке юзермодной части программы добавляет в список этот параметр. Попробуйте заразить меня при таком раскладе. Разве что трой успеет украсть все до ребута. Но шансов мало при юзании связки авер+фаер которые уже установили свои драйвера мониторинга за системой. Патент я еще не получил :-) Можете пользоваться :-)

В основе метода в принципе лежит ShadowUser или DefenceWall но они по-моему восстанавливают все что происходило в системе. А нам нужно только критические ветки способные привести к автозапуску. То-есть мониторинг системных библиотек, ядра, драйверов, ActiveX компонентов, ключей реестра (можно и MBR)....