Пробовал апи GetUserNameW - все хорошо, но оно выдает имя с учетом языка; т.е. будет "Система" "System" и еще бог знает что. Не вариант.
Это может быть вариантом.
Например - смотрим, кто является юзером svchoct, после чего сравниваем юзеров
подсудимого процесса и svchoct-а. (или всех svchost-ов)
Ещё вариант:
Смотрим PID парента подсудимого процесса.
Если он равен PID-у парента svchoct или равен PID процесса "services",
значит нашли.
Ещё можно пройтись по иерархии парентов процесса - если доберёмся до "services",
значит опять нашли.
---
Возможно решение проблемы иначе - если подсудимый процесс не имеет в своей
иерархии парентов базового родителя "explorer" значит он подозрителен
и должен быть убит.
