Как правило, вирусы / вредоносные программы специально предназначены для того, чтобы ничего не делать, что может видеть пользователь, включая создание файлов журнала и / или событий в средстве просмотра событий.
Вам придется изменить средство просмотра событий, чтобы регистрировать / отслеживать все события реестра, файлов и сети, и тогда у вас возникнет еще большая проблема. Мониторинг, подобный этому, генерирует 100 записей в секунду. Тогда ваша программа должна будет отсеять поток событий от плохих событий.
Если бы это было просто, антивирусные компании давным-давно победили бы плохих парней, и они бы отказались от написания вирусов, но это очень сложно.
У меня есть такие мониторы для диагностики программ с ошибками, но за считанные минуты у вас есть более 100 000 событий, которые вы должны просеять вручную.
Кроме того, существуют руткиты, специально предназначенные для предотвращения даже такого рода мониторинга.
Попробуйте эту программу, но помните, что вы быстро получите 1 000 000 событий.
https://technet.microsoft.com/en-us/sysinternals/bb896645.aspx