Il file batch che ho appena visto usa come eseguibile un file di windows che si chaima tracerpt.exe.
Questo scrive nei file presenti nella stessa cartella:
rem define variables for parameters to be passed to tracerpt
set TRACEDIR=%WINDIR%\system32\msdtc\trace
set TRACEFILE1=%TRACEDIR%\dtctrace.log
set TRACEFILE2=%TRACEDIR%\tracetx.log
set MOFFILE=%TRACEDIR%\msdtctr.mof
set ERRORFILE=%TRACEDIR%\errortrace.txt
set OUTPUTFILE=%TRACEDIR%\trace

Purtroppo dalla analisi di hijackthis tracerpt.exe non è attivo. Quindi se c'è qualcosa non è lui.
Per renderti conto di cosa può fare l'amministratore con gli strumenti di Windows vai nel pannello di controllo, Strumenti di amministrazione, Visualizzatore eventi.
Ti ricordo che con il tasto destro puoi cancellare qualsiasi evento.

Se ti connetti ad internet in una rete con un modem-router, ti ricordo che esiste la possibilità del log anche da parte di questo con tutti gli ip che si connettono, quando lo fanno e per quanto tempo. Il file viene salvato nella memoria del router.