Após esta entrada:arquivos exe sendo excluídos
Consegui configurar o monitor do processo para ser executado a partir da linha de comando e registrar no arquivo.
O problema é que o arquivo de log é corrompido na reinicialização do sistema.
Existe uma maneira de parar o procmon normalmente?
Responder1
Sim. Execute procmon /AcceptEula /terminatepara interromper normalmente qualquer rastreamento de procmon em execução.