Credo che il visualizzatore eventi possa essere impostato per rilevare qualunque modifica intervenuta nel PC, ma si tratta comunque di uno strumento adatto ad un uso professionale, perchè richiede una certa preparazione per l'interpretazione dei dati.
Un metodo più rozzo per avere almeno un'idea di ciò che viene manomesso, potrebbe essere quello di eseguire una scansione del profilo personale (C:\Users\<nome utente>) con un software per il calcolo del checksum (ce ne sono svariati gratuiti, io utilizzo HashMyFiles della Nirsoft http://www.nirsoft.net/utils/hash_my_files.html), esportare il risultato su un supporto esterno rimovibile da conservare in un luogo sicuro e poi ripetere l'operazione al successivo accesso e confrontare i risultati tra i due report con un software per il confronto dei file (per esempio WinMerge, http://winmerge.org/, ma anche qui esistono molte alternative).
Lo stesso dovresti fare con la chiave del registro di sistema HKEY_CURRENT_USER, esportandola, con Regedit, in un file di testo.
Un po' laborioso....