Сама идея отслеживания запуска неработоспособна. В чём смысл узнавать пост-фактум, что система заражена? Вирусы следует блокировать, не допуская их запуска.
Единственно верное решение вы уже знаете —
Software Restriction Policies в режиме "белого списка". Более того — разумеется, эту политику следует настроить для всех компьютеров без исключения. Только так возможно предотвратить заражения с различного рода источников типа флешек, интернетов, скайпов и прочего.
Пример инструкции по настройке одиночой машины смотрите здесь:
http://blog.windowsnt.lv/2011/05/30/...h-srp-russian/ . Абсолютно идентично это реализуется сразу для целого OU или домена.
