Use o explorador de processos e não tente examinar os processos de fechamento do navegador. Em vez disso, use o menu e aumente a opção de atraso que destaca os processos recém-gerados. Esse processo (aparentemente um malware) é rápido o suficiente para ser executado. Assim, com o atraso que você introduz no Procexp, você pode realmente ver o novo processo iniciado e finalizado. Ele estará lá mesmo se o processo for executado e terminado em um segundo. Dessa forma, você pode descobrir qual processo está sendo gerado. Duas opções de menu abaixo ajudarão Visualizar > Rolar para novos processos Editar- > duração do destaque da diferença Além disso, existem outras maneiras. Você pode usar o WMI para rastrear. Você usa uma auditoria de segurança (gpedit) para rastrear processos gerados etc. Espero que ajude.