Hola Beholthe si no has formateado puedes probar Process Hacker como administrador de tareas, revisa las "Propiedades" del proceso y en la pestaña General tienes un boton "Permissions". Ahí tienes todos los permisos aplicados en todas las cuentas.
Si la casilla está bloqueada y no te deja destildar el tipo de permisos, en "Opciones avanzadas" pestaña "Permisos" puedes aplicar cambios, eliminar permisos o cuentas.
Revisando las demás pestañas de las propiedades puedes ver los Servicios, en Enviroment tienes las rutas en disco de los ejecutables implicados, en Modules también. En Token-Advanced también puedes ver/modificar los permisos de las cuentas utilizadas.
No se si es a lo que te refieres.
Ese proceso puede estar controlado por un rootkit. Tools como GMer, SpyDLLRemover, pueden ayudarte a localizarlos.
Tuluka Kernel Inspector y XueTR también muestran muchos datos y tiene bastantes opciones, sobre procesos y servicios.
Saludos.
Pues voy a probarlo, aunque luego lo formatee, pero por curiosidad.
Muchas gracias a todos por vuestras respuestas.