[Petya V4sechkin]

Цитата vovikrus:

в реестр лазят из вне

Извне параметр NoFileNew никому не нужен (никакого отношения к взлому/получению конфиденциальной информации не имеет).

Цитата vovikrus:

Я в локальной(ых) группах не состою

Локальные группы ни при чем.
apozlevich имел в виду, что изменения вносит программа ("твикер" или вирус) на вашем компьютере (а не извне).

Можно в Process Monitor выставить фильтр:

Код:

Column		Relation	Value		Action
-------------------------------------------------------
Operation	is		RegSetValue	Include
Path		contains	NoFileNew	Include

и отслеживать, какой процесс меняет (в столбце Process Name).
Чтобы лог не рос при долгом мониторинге, в меню Filter включить флажок "Drop Filtered Events".