今日一日あまりに暇なので HELP とかを見ていた次第。
LastWriteTime で、レジストリの最終更新日時(UTC)が取得できることを発見(って、そんな大げさなことではないが)
これってひょっとして、 \HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run の値が追加・更新された時間とか取れるのかなと思い実験。
RunKeyCheck.sql

SELECT
	ComputerName,
	KeyName,
	ValueName,
	ValueType,
	Value,
	LastWriteTime
INTO	RegistryRunKeyCheck.html
FROM	\HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WHERE	KeyName LIKE 'Run'
ORDER BY LastWriteTime DESC

なんてのを書いてみました。
LastWriteTime で取得出来る日時は、キーの更新日時であって値ごとではないようです。
これがもし値ごとに更新日時が取れれば、ウィルスやSpywareなどによって知らないうちに追加されたレジストリ値を検知できるのかなと期待したのですが残念。
スクリプトサンプルをおいておきます。→さんぷる