Всем доброго времени суток!
Возникла такая проблема, от которой уже мозг взрывается. Недавно один из наших серверов подвергся атаке, в результате которой на него установили шпионскую прогу от Mipko и еще парочку мелких вредителей. Я это быстро обнаружил и всех шпионов посносил. Обновил систему, антивурус и закрыл к серваку доступ с внешки. Но одна мелкая проблема осталась. Какая-то пакость по-прежнему отключает в реестре диспетчер задач. Я уже весь реестр обшарил, ну нет ничего подозрительного в автозапуске. Проверил все системные задания, тоже ничего не обнаружил. В процессах тоже ничего подозрительного не висит (проверял через AnVir Task Manager). И тут я уже просто зашел в тупик. Что-то ведь его отключает Оо. Причем это происходит не в момент загрузки системы, и даже не в момент логина. Такое впечатление, что это происходит по какому-то таймеру. Но как выцепить "гада"?

Причем это происходит не в момент загрузки системы, и даже не в момент логина. Такое впечатление, что это происходит по какому-то таймеру. »
Может быть, по таймеру применения групповых политик? :)
Что показывает rsop.msc?

1) Запустите procmon из пакета sysinternalsuite
2) Настройте фильтр событий - изменение нужного ключа реестра
3) ...
4) PROFIT!!!!


P.S.
Многие антивирусы (тот же Касперский), имеют "активную защиту", которая позволяет контролировать обращение к разделам реестра.
Пропишите правило контроля данного раздела и настройте отправку уведомлений на электронную почту.

Может быть, по таймеру применения групповых политик? »
Не исключаю.
1) Запустите procmon из пакета sysinternalsuite
2) Настройте фильтр событий - изменение нужного ключа реестра
3) ...
4) PROFIT!!!! »
Спасибо за совет :) Уже пробую. Только не понятно как настроить procmon именно на мониторинг события по изменению ключа DisableTaskMgr. Он по-любому мониторит все возможные события, коих там просто гора
Что показывает rsop.msc? »
Опа! А это уже интереснее. Есть пункт "удалить диспетчер задача" - включено.
Только как убрать? Кнопки не доступны

Все, разобрался ) Это я туплю. Надо же было через gpedit. Отключил эту фигню.
El Scorpio огромное спасибо за помощь! :)

Только не понятно как настроить procmon именно на мониторинг события по изменению ключа DisableTaskMgr. Он по-любому мониторит все возможные события, коих там просто гора »
Капитан Очевидность говорит, что для фильтрации отображаемых событий нужно использовать функцию "фильтр". Так то! :)

Фильтры можно задавать на сокрытие лишних событий и на показ только конкретных событий.
Условия можно придумывать любые - по PID процеса, по имени программы, по тексту значения (имя файла или ключа реестра), по типу операции (чтение, изменение).
В вашем случае нужно мониторить запросы на изменение данного ключа реестра.

Капитан Очевидность говорит, что для фильтрации отображаемых событий нужно использовать функцию "фильтр". Так то! »
Да это-то понятно. Но, PID процесса отпадает. Я же не знаю какой процесс мне нужен, имя программы так же. А вот как там выбрать мониторинг именно ключа реестра, ума не приложу. Указать тип фильтра Path?

Указать тип фильтра Path? »
Угу.
Или указать полный путь, или "заканчивается на" имя нужного ключа.