>>611
>どのタイミングで戻されるのかわからない、イベントログにも特にないような

\Microsoft\Windows\Maintenance
このタスクが勝手に無効としたサービスなどを起動していたはずだ
前回の実行時刻を確認してみな
最終的にはファイル削除までしてしまえばいいのではないかな?

wuauserv
C:\Windows\system32\svchost.exe -k netsvcs -p
起動させる度にPIDが可変で巧妙に仕組まれているって感じだしな
Defender Firewallで発信をブロックするにはどの項目に該当するのかがわからない
俺の知識だとここまでだな