Еще вспомнил, можно мониторить что юзера запускает по механизму Prefetcher. Можно заделать батнег/задание для создания списка из папки
%SYSTEMROOT%\Prefetch\ и отправлять его куда-нибудь или сохранять. Там лежат файлы с именами запускаемых программ, всех достойных внимания ОС в виде
Код:
REGSVR32.EXE-55A4EE79.pf
