AutoRuns, Process Explorer und Process Monitor sind hier sehr hilfreich, alle zu finden unter www.sysinternals.com. [Ergänzung] Im Process Explorer sieht man einen Prozessbaum und damit ist auch ablesbar, wer den fraglichen Prozess gestartet hat (allerdings nur, wenn der Vaterprozess sich nicht selbst beendet hat).[/Ergänzung]

MfG Dalai