So, ich hatte jetzt gerade den Fall. Im Anhang ist es zu sehen. Aber was muss ich jetzt weiterhin machen ? Naiv wie ich bin bin ich auf den ersten Eintrag gegangen und habe mir den Stack angesehen. Da kann ich nichts raus erkennen.

Mal im Taskplaner nachgeschaut?

Im ProcessExplorer kann man sich (ähnlich zum Taskmanager) alle laufenden Prozesse anzeigen lassen.

Die Anzeige der laufenden Prozesse ist in einer Baumansicht möglich und in der kann man sehen, welcher Prozess von welchem anderen Prozess gestartet wurde.

Wenn Du weißt, dass die PowerShell alle 25 Minuten gestartet werden soll, kannst Du im ProzessExplorer ja mal die passende Zeit abwarten und schauen, ob Du da was sehen kannst.

Dort The Spirit of Delphi / Process list findest Du eine Klasse, die Prozesse auflisten kann, u. a. kann sie auch die ProzessID des Aufrufers ermitteln.

Eventuell kannst Du Dir ja daraus (mit wenig Aufwand?) ein Programm bauen, dass jede Sekunde (oder so) mal die Prozessliste erstellt, nach der PowerShell sucht und dann die ProzessID des Aufrufers ausgibt. Eigentlich müsstest Du dann mit der so gefundenen ProzessID in der Liste direkt nach dem Aufrufer suchen können und Dir dann diesen ausgeben lassen.

Was fertiges, das einfach nach der PowerShell sucht und dann den Aufrufer ausgibt, hab' ich nicht finden können (was nicht heißt, dass es das nicht soch schon irgendwo gibt).

IM Taskplaner habe ich nachgeschaut. Da steht nichts drin. Allerdings ist jetzt seit ca. 90 Minuten Ruhe. Heute ist mir zu warm, morgen frag ich noch mal bei der EDV nach ob die was gefunden haben.
In Processmonitor gibt es ein Parent PID. Nach der wollte ich mal suchen wenn der Fall beim nächsten mal auftritt.
Erst einmal vielen Dank für die Tipps

im processmonitor nicht den processnamen powershell.exe nehmen, sondern den filter auf path containing powershell setzen, dann sollte das aufrufende programm auch mit drin sein

Hab ich gemacht. Das sieht sehr interessant aus. Ich sehe zum Beispiel Visual Studio ruft die bei mir auf. Mal schauen was da kommt. Danke

Ist da was "verdächtiges" bei visual studio powershell, das Dir die Suche erleichtert?

Genau so dachte ich mir das. Hätte ich evtl. dazuschreiben sollen.

Letztendlich habe ich jetzt über den Processmonitor den Übeltäter gefunden. Es war doch eine geplante Aufgabe. Und zwar wurde die UninstallSMB1ServerTask regelmäßig gestartet die die Powershell benutzt. Ich habe keine Ahnung warum das auf meinem Rechner aktiv war geschweige denn wofür das überhaupt gut ist.
Vielen Dank an alle