我也来发个小问题，让大家练练手

大猫熊

病毒信息地址：http://it.rising.com.cn/Channels/Anti_Virus/Upgrade_Report/2008-03-28/1206672410d46003.shtml
名称：VB蠕虫变种ZPZ

病毒运行后,将自身复制到本地所有磁盘的\recycled\目录中,并运行.这几个进程相互守护.并不断的回写注册表的这几个地方，达到隐藏自己的目的。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
"Userinit" = C:\RECYCLED\SVCHOST.EXE,
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
HideFileExt" = 0X00000001
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
ShowSuperHidden" = 0X00000000

问：如何编写McAfee规则以防御此类病毒？
注：没有标准答案，大家自由发挥，可以利用默认规则，或者新编规则，争取做到最大防御（防止利用这种方式入侵的所有类似病毒）和最小影响（尽量不影响正常程序运行）。

必要插件

磁盘的recycled文件夹不就是回收站文件夹吗
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
"Userinit" = C:\RECYCLED\SVCHOST.EXE
这个原值是C:\Windows\system32\userinit.exe，在登录系统后首先将读取这个键值并执行其中指向的程序，如果被篡改了那登录后首先就执行病毒了。
后面两个注册表内容都是用来隐藏文件用的吧，所以保护这三个注册表值，病毒就没法自动启动并隐藏自己。
另外，病毒名为svchost，这个属于系统进程，默认规则里的禁止伪装widows进程也可防住吧。

下面的同学加油了