首先得给你的警惕性点个赞——账号疑似被入侵后立刻启动扫描排查，这绝对是正确的第一步。针对你怀疑的键盘记录器和未知进程问题，我整理了一套实操性强的排查步骤，你可以一步步来：

键盘记录器通常会通过钩子、驱动注入或者自启动项潜伏，你可以从这几个维度入手：

• 利用系统事件日志检查钩子：打开PowerShell，执行以下命令查看键盘相关的钩子事件：

  Get-WinEvent -LogName Microsoft-Windows-Win32k/Operational | Where-Object {$_.Id -eq 26}
  

  这个命令会列出所有注册了键盘钩子的进程，如果有陌生进程出现在结果里，重点标记它。
• 检查输入设备驱动：打开「设备管理器」，展开「键盘」选项，右键点击你的键盘设备选择「属性」，切换到「驱动程序」标签。如果看到陌生厂商的驱动，或者驱动数字签名无效，大概率有问题。
• 用Sysinternals工具深度排查：
  • 用Process Explorer查看每个进程加载的DLL模块，重点找那些注入到系统进程（比如explorer.exe、svchost.exe）里的陌生DLL，很多键盘记录器会通过DLL注入隐藏自己。
  • 用Autoruns检查所有自启动项，包括服务、驱动、注册表启动项、计划任务等——键盘记录器几乎都会通过自启动保证开机运行，这里很容易找到线索。
• 离线扫描彻底清除：如果以上方法没发现异常，但你仍然怀疑，可以用Windows Defender的「离线扫描」功能（在Windows安全中心的「病毒和威胁防护」里），或者制作Malwarebytes的离线扫描启动盘，从外部启动系统扫描，避免恶意程序在系统运行时隐藏自身。

遇到陌生进程别慌，按以下步骤拆解：

• 定位进程文件路径：在任务管理器里右键陌生进程，选择「打开文件所在位置」。正常的系统进程一般在C:\Windows\System32或C:\Program Files目录下，如果文件在C:\Users\<你的用户名>\AppData\Roaming、临时文件夹或者其他非正规路径，立刻警惕。
• 验证数字签名：右键进程文件，打开「属性」→「数字签名」标签。正规软件和系统进程都会有有效的厂商签名（比如微软的签名），如果没有签名或者签名显示无效/未知，这个进程大概率有问题。
• 查看进程关联信息：用Process Explorer查看进程的父进程、线程、网络连接和打开的文件。如果陌生进程的父进程也是不知名程序，或者它在和陌生IP地址通信，一定要重点排查。
• 对比多台设备的共性：你提到另外两台Windows 10设备也发现类似情况，先确认这个进程在三台设备上的路径、签名是否一致。如果一致，可能是你之前批量安装的某个软件的后台服务（比如某款同步工具、安全软件的组件）；如果每台设备的进程信息都不一样，那就要按恶意程序来处理了。
• 检查注册表启动项：打开注册表编辑器，查看以下路径下的启动项，看有没有指向该未知进程的条目：
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

排查完后，别忘了做这些防护措施降低风险：

• 立刻更改所有关联账号的密码，用包含大小写字母、数字和符号的复杂密码，同时开启两步验证，尤其是邮箱、金融类账号。
• 开启Windows自动更新，及时安装系统补丁——很多入侵都是利用未修复的漏洞。
• 避免从非正规网站下载软件，不要点击陌生邮件或链接，减少恶意程序入侵的可能性。

内容的提问来源于stack exchange，提问作者TheJarrHead