Ist zwar schon ein weilchen her, dass dieser Thread aktuell war, aber ich will euch meinen Fund nicht vorenthalten!

Das ganze funktioniert über die WMI Event Cass "Win32_ProcessStartTrace"
MSDN-Link: http://msdn.microsoft.com/library/de...starttrace.asp

Funktioniert übrigens (entgegen dem MSDN) nicht nur auf XP sondern mindestens auch auf 2kProf (sonst würde es bei mir nicht funktionieren! )!