Siguiendo esta entrada:archivos exe que se están eliminando
Pude configurar el monitor de procesos para que se ejecutara desde la línea de comandos y registrara el archivo.
El problema es que el archivo de registro se daña al reiniciar el sistema.
¿Hay alguna manera de detener procmon con gracia?
Respuesta1
Sí. Ejecute procmon /AcceptEula /terminatepara detener con gracia cualquier seguimiento procmon en ejecución.