Geralmente, vírus / malware são projetados especificamente para não fazer nada que o usuário possa ver, incluindo a geração de arquivos de log e / ou eventos no visualizador de eventos.
Você teria que alterar o visualizador de eventos para registrar / monitorar todos os registros, arquivos e eventos de rede e, em seguida, teria um problema ainda maior. O monitoramento como esse gera 100 entradas por segundo. Seu programa teria que filtrar o fluxo dos eventos bons dos eventos ruins.
Se isso fosse simples, as empresas de antivírus teriam batido em pessoas más há muito tempo e elas teriam desistido de escrever vírus, mas isso é muito complexo.
Eu tenho monitores de configuração como este para diagnosticar programas que não funcionam, mas em minutos você tem mais de 100.000 eventos que você tem que filtrar manualmente.
Depois, há rootkits projetados especificamente para impedir até mesmo esse tipo de monitoramento.
Experimente este programa, mas saiba que você receberá 1.000.000 de eventos rapidamente. link