[Valeant]

Gold Dragon,
Я так и понял.
Запускаете ProcMonitor на пол экрана, ProcessExplorer так же на пол экрана - для информации по PID и определение момента когда нагружен CPU.
Переходите в ProcMonitor и смотрите, для остановки приема информации в буфер используете "Сtrl+E" (вкл/выкл), очистка буфера для нового приема "Ctrl+X". Добавим информацию в столбцы - пр.кн.мыши на строке где надпись столбца "Process Name" - Select Columns - галки на
Process Name
Image Path
Command Line
Operation
Time of Day
Detail
Result
User Name
Process ID
Thread ID
Названия столбцов можно передвигать влево/право для удобства, с этим разобрались.

Далее когда % загрузки СРU у вас возрастет до значения которое вас не устраивает, ставите текущий указатель мышкой в ProcMonitor на самое нижнее место, не чего не трогая в ПК хотя бы 1мин, потом потихоньку прокручиваете, и наблюдаете за пробегающей информацией, спустя минут 3-5 делаете остановку приема информации в буфер "Сtrl+E" и спокойно его изучаете.
Смотрим по скринам вас интересует Process Name - services, файл ntdll.dll - как я говорил это связка ядра и приложения, TID у вас есть это Thread ID и т.д. ну то есть на все что у вас вызывает подозрения в Process Explorer (файлы, службы и т.д.) и ищите их в ProcMonitor. Ищим приложение которое это все вызывает (т.е. либо само приложение, либо ссылку на файл, а по нему и само приложение можно найти)