Журналируемые системы изобретены не вчера. Вирус обязан получить доступ к автозагрузке. Ведём журнал приложений, пытающихся получить доступ к автозагрузке, проверяем их по открытым спискам, создать которые не столь сложно, проверяем контрольные суммы, базу которых тоже несложно создать и поддерживать. Если кто-то лезет в автозагрузку, но его право на это не подтверждено - откатываем изменения автоматически, либо запрашиваем подтверждение пользователя.