host říkal process monitor, ne explorer.
---
Zhruba bez použití filtru. Nespouštěj nic co nepotřebuješ, spusť p. monitor zastav logování a vymaž eventy. Spusť logování a spusť tu aplikaci, čekej do chyby, pak zastav logování.

V logu hledej zhruba toto:
ntvdm, wowexec a název aplikace (jeden z nich) a událost access denied, kdy on se pokouší něco vytvořit (create).

Takže tam v řádku bude napsáno ve stylu(nebo se to tak bude dát interpretovat): aplikace.exe//vytvářím soubor v c:\aaa\eee\//důvod: přístup zamítnut z důvodu oprávnění(jsem na houbách, relaxuji, piju...).

EDITZ// mimochodem, nelze si nevšimnout co ntvdm spouští. Pročti si ještě jednou toto: http://www.indos.cz/katalogsw/a.asp?id=2002000&db= 555 pokud se jedná o ten program. Ale vypadá 32 bitově.