Localizando o nome do processo que altera o horário do Windows

Executar

tasklist /svc

na linha de comando.

O svchost que hospeda o W32Time é o seu culpado.

Se você suspeitar de um processo em andamento, talvez seja possível verificar o privilégio SE_SYSTEMTIME_NAME. O Process Explorer mostra isso na guia Segurança dos detalhes do processo como SeSystemtimePrivilege, mas você deve verificar isso por processo. Isso pode não ajudar se um processo estiver simplesmente iniciando outro processo para atualizar o horário do sistema.

Você pode conseguir trabalhar com o código neste artigo sobre estouro de pilha: link para executar uma verificação de processos que tenham esse privilégio.

Também digno de nota em servidores Windows, você não deve precisar de softwares de terceiros para sincronização de horário - você deve ser capaz de especificar os servidores NTP aos quais o sistema será automaticamente sincronizado; se o servidor estiver desconectado da Internet, você ainda poderá verificar seus DCs (se estiver em um domínio).

Também de possível interesse é a informação do MSDN sobre a mudança do sistema ou hora local (a partir de link ) ou fuso horário.

O servidor faz parte de um domínio? É um controlador de domínio? Em um domínio do Windows, o emulador de PDC é, por padrão, o servidor de horário autoritativo do domínio; todos os membros do domínio sincronizam com o PDC (através do Serviço de Tempo do Windows). O PDC é geralmente configurado para sincronizar com uma fonte de tempo da Internet, por padrão time.windows.com , o que me parece ser uma fonte de tempo não confiável.

Para saber mais sobre o Serviço de Tempo do Windows, comece aqui: link