[WindowsNT]

Сама идея отслеживания запуска неработоспособна. В чём смысл узнавать пост-фактум, что система заражена? Вирусы следует блокировать, не допуская их запуска.

Единственно верное решение вы уже знаете — Software Restriction Policies в режиме "белого списка". Более того — разумеется, эту политику следует настроить для всех компьютеров без исключения. Только так возможно предотвратить заражения с различного рода источников типа флешек, интернетов, скайпов и прочего.

Пример инструкции по настройке одиночой машины смотрите здесь: http://blog.windowsnt.lv/2011/05/30/...h-srp-russian/ . Абсолютно идентично это реализуется сразу для целого OU или домена.

[maxiiim]

А можно ли как то логить все запускаемые программы находящиеся в определенном списке?

[WindowsNT]

Способ не очень красивый, но есть:

1. Нужно включить AppLocker в режиме журналирования;
2. Добавить правила, разрешающие запускать всё;
3. Добавить правила, запрещающие запускать "определённый список";
4. Дальше читать журнал Application and Services Logs -> Microsoft -> Windows -> AppLocker на предмет уведомлений с восклицательным знаком.
5. Можно даже оформить подписку на уведомления такого рода. Они будут собираться со всех контролируемых машин на рабочую станцию администратора, например.

[maxiiim]

Машинки на XP там аплокера вроди нет- а можно как нибудь аудит настроить?

[WindowsNT]

1. Включить аудит Object Access: Success
2. В свойствах требуемой папки настроить аудит Everyone: Success Execute
3. Указать бОльший размер и метод перезаписи журнала Security.

Однако, я бы не стал пользоваться подобным решением из-за большой нагрузки по прочтению журнала. Нужно бы ещё прикрутить какой-нибудь Log Parser, чтобы фильтровать и выдавать алерты по требуемым событиям. В принципе, команда eventtriggers это умеет, но придётся прилично помучаться со скриптованием.