Логирую все программы, которые запускаются на компьютере.
Внезапно - в логах увидел процесс pdf24-creator-7.9.0.tmp
Но... как файл TMP вдруг стал исполняемым файлом ?

Судя по логу это установка программы PDF24 , причем дистрибутив взят из теминального под ключения (RDP) - на это указывает \\tsclient
"2016-09-06 15:15:45";"R";"2016-09-06 15:15:43";"2564" ;"2728" ;" pdf24-creator-7.9.0.exe ";"2016-09-06 15:19:22";"2016-09-06 15:19:26";"16826944" ;"\\tsclient\D\Distrib\soft\pdf24\pdf24-creator-7.9.0.exe" ;"Администратор" ;"COMP" ;"""\\tsclient\D\Distrib\soft\pdf24\pdf24-creator-7.9.0.exe"" "
"2016-09-06 15:15:45";"R";"2016-09-06 15:15:44";"3816" ;"2564" ;" pdf24-creator-7.9.0.tmp ";"2016-09-06 15:15:44";"2016-09-06 15:15:44";"1289216" ;"C:\Users\836D~1\AppData\Local\Temp\2\is-AJHHE.tmp\pdf24-creator-7.9.0.tmp" ;"Администратор" ;"COMP" ;"""C:\Users\836D~1\AppData\Local\Temp\2\is-AJHHE.tmp\pdf24-creator-7.9.0.tmp"" /SL5=""$340284,16269902,230912,\\tsclient\D\Distrib\soft\pdf24\pdf24-creator-7.9.0.exe"" "
Получаю список процессов так:




Ну, то есть суть вопроса:
1 - я чего-то не занаю о том, какие файлы в винде могут быть исполняемыми ?
2 - особенность винды, именно при работе установщика программ через RDP ?
3 - странность/глюк реализации WMI провайдера?
4 - я не правильно понял смысл свойств Name и ExecutablePath и ожидаю от них не то?

Наверно, ответ где-то здесь .
Пока писал вопрос, решил, что придется вывести все поля в лог и повторить установку PDF24 через RDP,
чтобы исключить пункт 4.

Кстати, если обратить внимание на идентификаторы - процесса и родительского процесса,
то видно, что pdf24-creator-7.9.0.exe имеет идентификатор "2564",
а у процесса pdf24-creator-7.9.0.tmp родительский идентификатор "2564".
Возможно, это подсказка к разгадке.