Obtenha o ProcessMonitor da SysInternals (É grátis) e inicie a gravação por 5-10 minutos, parando-o logo após ver o programa aparecer e depois desaparecer. Ele terá gravado qualquer chave de registro ou acesso a arquivo feito, e talvez você consiga descobrir isso dessa maneira.
Ou, abra um prompt de comando e execute a lista de tarefas, envie-a repetidamente até ver o programa aparecer - se você executar a lista de tarefas na hora certa, verá o nome do executável.
Ah - outra coisa que pode dar uma pista é o AutoRuns da SysInternals, ver o que está sendo iniciado quando o seu PC inicializa o Windows, e ver se há alguma coisa que você desconfie. Naturalmente, você deve ter cuidado com essas ferramentas para não desabilitar algo de que realmente precisava, etc. (Sério, peça ajuda a alguém.)