Existem vários processos que são iniciados com um PID falso (PID inexistente). Um exemplo disso é um processo csrss.exe. Ele é inicializado e o PID do processo pai atribuído não existe. Se você procurar em procexp.exe, "Parent" está listado como "(524)" (524 é o PID pai aleatório e inexistente neste caso). Por que eles são atribuídos?
Responder1
O Subsistema de Tempo de Execução Cliente/Servidor (CSRSS ou csrss.exe) é gerado pelo Subsistema do Gerenciador de Sessão (SMSS ou smss.exe). O SMSS é gerado pelo Sistema (que sempre tem um PID 4) na Sessão 0 para serviços do SO. Além disso, o SMSS é gerado na Sessão 1 (a sessão do usuário) com a única tarefa de iniciar o CSRSS e o WinLogon. Assim que esses dois forem iniciados, o SMSS da Sessão 1 termina.
Portanto, o ID pai fantasma que você está vendo é o PID do processo SMSS da Sessão 1 que já foi encerrado.