installiere Filmon und erstelle einen Filter der den Windows Verzeichnis überprüft.
Solltest sofort raus bekommen, ob diese Datein beschrieben werden.
www.sysinternals.com
Außerdem gibt es sicher wege diese Datein mit Gruppenrichtlinien zu kontorollieren.
Nebenbei: Schon im Abgesicherten Modus versucht? Da laufen k Prozesse.
lg Etienne
Anmerkung: Es gibt RootKids für Windows, und dir verstecken Prozesse vor Taskmanager.