Uma maneira seria substituir o processo por um script "wrapper".
# cd /usr/local/cpanel/3rdparty/bin/
# cp -p clamdscan clamdscan.orig
# cat >clamdscan <<eof
#!/bin/bash
echo ==================== >>/tmp/clamscan.log
date >>/tmp/clamscan.log
id >>/tmp/clamscan.log
ps -fp $PPID >>/tmp/clamscan.log
tty >>/tmp/clamscan.log
pstree -Ap >> /tmp/clamscan.log
exec $0.orig $*
eof
Dessa forma, cada chamada de clamscan irá registrar algumas informações. Os comandos são apenas para ilustrar que você pode alterá-lo para sua conveniência. É claro que você não deve deixar que ele seja executado por muito tempo se você não quiser ter um diretório full / tmp.
Para anular simplesmente faça:
# cd /usr/local/cpanel/3rdparty/bin/
# mv clamdscan.orig clamdscan