这种藏在系统里的恶意自启动脚本真的烦人，我帮你整理了几种靠谱的排查和解决方法，手动操作或者用代码扫都能搞定：

这些方法不用写代码，跟着一步步来就行：

• 系统启动项检查：按下Win+R输入msconfig，切换到「启动」标签（Win10/11也可以直接打开任务管理器→「启动」tab），找所有和wscript.exe相关的条目，看后面的命令行参数，里面会附带实际的VBS脚本路径（比如wscript.exe C:\Users\XX\AppData\Roaming\hidden.vbs）。
• 注册表自启动项扫描：按下Win+R输入regedit，依次检查这几个常用自启动注册表键：
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
    找到包含wscript.exe的条目，双击查看「数值数据」，里面的路径就是你要找的脚本位置。另外也可以搜一下RunOnce、RunServices这类键，有些脚本会藏在这里。
• 任务计划程序排查：搜索「任务计划程序」打开，看左侧「任务计划库」里的可疑任务，尤其是触发器设置为「登录时」或「启动时」的，查看任务的「操作」标签，里面会显示启动wscript.exe的完整命令行，包含脚本路径。
• 系统服务检查：按下Win+R输入services.msc，找那些名字奇怪、描述模糊的服务，右键→「属性」，看「可执行文件路径」里有没有wscript.exe的参数，有些脚本会伪装成服务启动。

如果手动找太麻烦，可以用代码直接抓取wscript.exe的完整命令行：

• PowerShell 命令：打开PowerShell，直接运行这条命令：

  Get-WmiObject Win32_Process | Where-Object {$_.Name -eq "wscript.exe"} | Select-Object CommandLine
  

  运行后会直接输出所有wscript进程的完整命令行，里面的脚本路径一目了然。
• Python 脚本：如果你熟悉Python，安装psutil库后运行下面的代码：

  import psutil
  
  for proc in psutil.process_iter(['pid', 'name', 'cmdline']):
      try:
          if proc.info['name'].lower() == 'wscript.exe':
              print(f"找到WScript进程 PID: {proc.info['pid']}")
              print(f"完整命令行: {' '.join(proc.info['cmdline'])}")
      except (psutil.NoSuchProcess, psutil.AccessDenied):
          continue
  

  这个脚本会自动遍历所有进程，找到wscript并输出它的启动参数，直接拿到脚本路径。

找到脚本位置后，按下面的步骤彻底清除：

1. 结束进程：打开任务管理器，找到所有wscript.exe进程，右键→「结束任务」，先停止当前运行的脚本。
2. 删除脚本文件：根据找到的路径，直接删除那个VBS/Python脚本文件（如果提示权限不足，右键→「以管理员身份运行」资源管理器再删）。
3. 移除自启动项：把之前在msconfig、注册表、任务计划里找到的对应启动条目删除，防止下次开机再启动。
4. 扫描残留：可以用系统自带的Windows Defender或者第三方杀毒软件做一次快速扫描，确保没有其他关联的恶意文件。

最后提醒一句：以后从GitHub下载脚本，一定要先看一遍源码，尤其是涉及系统操作、自启动的脚本，避免踩这种坑！

内容的提问来源于stack exchange，提问作者Sorry IwontTell