兄弟，你这个判断太准了——老Win7机器突然莫名卡顿、CPU占用凭空高出20%，持久化挖矿木马绝对是头号嫌疑犯！毕竟Win7早已停止官方更新，很容易被恶意网站盯上植入这类程序。结合你已经看过任务管理器的情况，咱们一步步把这个“偷算力的贼”揪出来：

1. 深挖异常进程（比任务管理器默认视图更细致） #

• 打开任务管理器，切换到详细信息标签，按CPU列排序，盯着那些持续占用高、名字陌生，或者和系统进程重名但路径诡异的进程。比如正常的svchost.exe肯定在C:\Windows\System32目录下，要是在别的文件夹里，直接标记可疑。
• 右键可疑进程选打开文件所在位置，查看文件属性：如果是乱码命名、没有数字签名，基本实锤有问题，直接删除（注意先结束进程）。
• 也可以用CMD导出全量进程信息，方便慢慢核对：

  tasklist /v > C:\process_check.txt
  

2. 清理持久化启动项（挖矿木马的“复活点”） #

• 按Win+R输入msconfig，切换到启动标签，把所有非官方（比如微软、显卡厂商）的陌生启动项全部禁用。
• 打开注册表编辑器（Win+R输入regedit），导航到这些自启动关键位置，删掉可疑条目：
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  • 顺带检查RunOnce、RunServices这类子项，挖矿木马经常藏在这里“死灰复燃”。

3. 用Win7兼容的工具精准查杀 #

• 优先用微软官方的Microsoft Safety Scanner——便携版无需安装，直接下载后扫描系统，对挖矿类恶意程序的检测率很靠谱。
• 另外可以用支持Win7的旧版Malwarebytes，更新病毒库后做一次全系统扫描，它专门针对这类偷算力的挖矿木马。

4. 从网络连接抓现行（挖矿必须传数据到矿池） #

• 打开资源监视器的网络标签，观察哪些进程在持续向陌生IP发送数据——挖矿程序必然要连接矿池服务器。
• 用CMD导出所有网络连接，对应进程ID找嫌疑目标：

  netstat -ano > C:\network_check.txt
  

  找到可疑IP对应的PID，回到任务管理器的详细信息里就能定位到进程。

5. 最后给老机器加固（避免再次中招） #

• 虽然Win7停更了，但把已有的官方补丁更到最新，打开Windows防火墙，禁止陌生程序联网。
• 给父母的浏览器装广告拦截插件，提醒他们别点可疑弹窗或下载陌生软件——大部分挖矿木马都是通过恶意广告植入的。

内容的提问来源于stack exchange，提问作者Dominique the Gamer