嘿，这种莫名弹出的管理员权限PowerShell窗口确实挺闹心的！既然你已经检查过Windows服务了，那咱们可以从其他几个常见方向入手排查，试试下面这些方法：

• 检查任务计划程序：这是最容易藏自动触发任务的地方。按Win+R输入taskschd.msc打开任务计划程序，左侧展开「任务计划库」，可以按「上次运行时间」排序，重点看最近新增或修改过的任务。点开任务看「操作」选项卡，有没有调用powershell.exe的配置；再看「安全选项」，是不是勾了「使用最高权限运行」——这就是它以管理员模式启动的关键。

• 排查启动项：有些程序会把PowerShell脚本塞进开机启动里。按Win+X打开「任务管理器」，切换到「启动」标签页，看看有没有陌生的、关联PowerShell的启动项。另外，直接在文件管理器地址栏输入shell:startup和shell:common startup，打开这两个启动文件夹，检查里面有没有可疑的PS脚本或快捷方式，尤其注意右键快捷方式看属性，「高级」选项里有没有勾「以管理员身份运行」。

• 查看系统事件日志：Windows日志能帮我们定位触发源。按Win+R输入eventvwr.msc打开事件查看器，依次展开「Windows日志」→「应用程序」和「系统」，按时间筛选窗口弹出的时段，搜索和PowerShell、进程启动相关的日志条目，里面会记录触发PowerShell的父进程或任务名称，能帮你找到根因。

• 检查注册表启动项：有些隐蔽的启动项不会出现在任务管理器里，得查注册表。按Win+R输入regedit打开注册表编辑器，导航到这几个路径逐一检查：

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
    要是看到指向powershell.exe的陌生键值，先备份注册表再删除，看看问题会不会消失。

• 用PowerShell自身溯源：手动打开一个管理员权限的PowerShell，运行这条命令：

  Get-WinEvent -FilterHashtable @{LogName='Windows PowerShell'; Id=400} | Select-Object TimeCreated, Message
  

  这条命令会列出所有PowerShell的启动日志，里面包含每次启动的命令行参数和触发上下文，说不定能直接找到弹出窗口的原因。

• 扫一遍恶意软件：虽然概率不一定高，但也不能排除恶意程序在后台搞鬼。用Windows Defender做个快速扫描，或者用Malwarebytes免费版这类工具扫一遍系统，看看有没有可疑程序在触发PowerShell。

备注：内容来源于stack exchange，提问作者VS228