Sim. O Process Monitor e o Process Explorer da Microsoft Sysinternals oferecem um "tempo de vida" para cada processo, que rastreia quando um processo foi iniciado em relação a outros processos, para que você possa ver quais processos foram iniciados versus aqueles que estão em execução há muito tempo tempo.
Semousodeferramentasexternas,vocêtambémpodesimplesmentehabilitaraAuditoriadecontroledeprocessoscomDiretivadeGrupo(ousecpol.msc/DiretivadeSegurançaLocal).EelaregistraránologdeeventosdeSegurançasemprequeumprocessoforiniciadoouencerrado.sistemainteiro.
Se o processo em questão estiver dentro de um processo de hospedagem de serviço svchost.exe, no entanto, é um pouco mais complicado. Você precisaria descobrir qual instância do svchost.exe hospeda o processo e dividir o serviço em processos individuais usando sc config servicename Type= own como visto aqui e aqui .