Kurze Anmerkung: moderne "Schutzsoftware" ist schon länger in 2 Teile aufgespalten:deswegen stand es auch nicht in den Prozessen.
Treiber/Dienste (das was man sonst unter Prozessen nicht sieht) und GUI/Konfiguration/Kommunikation mit Benutzer (DAS ist i.R das, was man in der Prozessliste erkennt).
AVs bringen i.R Treiber mit und hooken Betriebssystemfunktionen auf Kernelebene (sie ersetzen die Funktion mit einer eigenen, die erst AV-Code ausführt und dann die "richtige" Funktion aufruft) - z.B Funktionen, die Dateien öffnen/lesen oder starten. Nur damit kann man überhaupt sicherstellen, dass der AV alle "Programmstarts" die vom Benutzer gemacht werden, mitbekommt. Und das heißt wiederum - es reicht nicht aus, die Teile zu löschen oder nicht zu starten - denn der Treiber und entsprechende "Backgrounddienste" sind dann immer noch aktiv. Nur dass dann der "Benutzerkommunikationsteil" i.R nicht läuft und man von den AV-Aktionen nichts mitbekommt .