Как отследить создание папки в Windows

[Gloft]

Ситуация следующая.
На файловом сервера в папках подразделений создается папка WIndows, в ней system32.
Кроме этих папок никаких других файлов не создается.
Папки не имеют статуса скрытых. Можно определить владельца создавшего папки (владелец пользователь домена).
Если папки удалить, они пере создаются через некоторое время.
Антивирусами машину пользователя проверял, все пучком, никаких вирусов не нашел.
Может кто предложит варианты как и чем можно отследить процесс на машине пользователя который создает эти файлы.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[paradox]

filespy из утилит windows internal

[mazzay]

еще есть встроенный аудит доступа к объектам

[Burner]

все уже, не надо ничего определять. Надо переустанавливать ОС на машине пользователя.

[Gloft]

filespy найти не смог но наткнулся на ProcessMonitor
Как только запускаю ProcessMonitor создание папки прекращается. Обычно он создавалась практически сразу после удаления, в течении нескольких минут.
Еще варианты?

[paradox]

filespy наверное первая версия
дальше оно переименовалось в filemon

[Gloft]

http://technet.microsoft.com/ru-ru/sysi ... 96642.aspx
Примечание. Программы Filemon и Regmon заменены одной программой Process Monitor в версиях Windows, начиная с Windows 2000 SP4, Windows XP SP2, Windows Server 2003 SP1 и Windows Vista. Однако программы Filemon and Regmon оставлены для поддержки устаревших операционных систем, включая и Windows 9x.

Думаю возможности у Filemon и Process Monitor одни и те же.
Запускал Process Monitor на 4-х машинах имеющих доступ к сетевому ресурсу. Папку предварительно удалил. После примерно часа папка была создана. По владельцу папки определил с какой машины была создана. В логах Process Monitor никакого события по созданию папки нет.

[paradox]

далеко не одно и тоже

Код: Выделить всё

26.04.2007  10:53            80Ъ273 DiskMon.zip
26.04.2007  10:14            59Ъ790 WinObj.zip
24.01.2007  20:43           291Ъ658 DebugView.zip
26.04.2007  10:57           285Ъ554 Filemon.zip
04.10.2005  11:55           371Ъ712 DeviceTree218.exe
21.07.2001  18:31           614Ъ400 DeviceTree26.exe
30.04.2007  22:10           271Ъ346 Regmon.zip
30.04.2007  22:21           980Ъ300 ProcessMonitor.zip
04.05.2007  17:13            97Ъ863 TdiMon.zip
25.02.2007  19:54           881Ъ276 v10n1.pdf
25.02.2007  19:40           170Ъ142 dbgmon_v43.zip
25.02.2007  19:44             5Ъ356 ddkbuild_v610.zip
25.02.2007  19:44             7Ъ796 ddkbuild_v70b5.zip
25.02.2007  19:41           415Ъ393 diskview_v1.zip
25.02.2007  19:50           135Ъ924 FileSpy_V1.zip
25.02.2007  19:46           191Ъ100 IrpTracker_V218_x86.zip
25.02.2007  19:45            13Ъ726 ntstatus_v2.zip
25.02.2007  19:45           150Ъ427 osrloaderv23.zip
25.02.2007  19:50           855Ъ102 usbfx2lk_v1.2.zip
25.02.2007  19:56            23Ъ649 wdfdio30.zip
16.05.2008  16:41         9Ъ224Ъ560 SysinternalsSuite.zip