Você pode ativar a auditoria de arquivos, permitindo somente excluir a exibição de "Todos" nesse arquivo em particular. Você pode descobrir pelo menos a conta responsável e o nome do processo. Você também pode tentar bloquear as permissões de exclusão ntfs nesse arquivo para permitir que apenas sua própria conta de administrador faça essa alteração.
Eu ainda gostaria que um problema de verificação de vírus não fosse relatado - ou talvez a verificação de "software mal-intencionado" do Windows aumente de alguma forma. Como o netcat para manter os buracos de rede abertos, o blat.exe é usado por spammers em hosts infectados.
Filemon seria um exagero e só é bom se você estiver procurando por algo que esteja acontecendo quando puder controlá-lo ou parecer saber como acioná-lo. Parece que você já sabe que é uma abordagem pesada.
O svchost é realmente apenas um host de serviço genérico e pode ajudar no lançamento de aparentemente centenas de coisas diferentes (o Windows Update obtém seus pedidos por meio de "C: \ Windows \ system32 \ svchost.exe -k netsvcs"). seu fornecedor não fez muito dever de casa.
Isso vai ser complicado, espero que pelo menos você tenha dado algumas dicas sobre aonde ir ...