先别慌，你已经做了断开网络、移除路由器NAT配置这些关键的紧急操作，这一步非常关键，能避免入侵者继续访问你的设备。下面我一步步帮你排查入侵者的痕迹，以及他们在你电脑上的操作：

一、从系统日志里找入侵者的访问线索 #

Windows自带的事件查看器是最核心的排查工具，你可以这么操作：

• 打开事件查看器（直接在Windows搜索栏搜“事件查看器”就能找到），展开左侧的Windows日志→安全日志：
  • 重点找事件ID 4624：这是成功登录的记录，注意里面的「登录类型」字段——远程桌面或VNC这类远程访问的登录类型一般是10（远程交互式登录）。对应查看这条记录里的「账户名」「源网络地址」（就是入侵者的IP）和「登录时间」，和你发现鼠标异常的时间段做对比，就能确认入侵者的访问时间和来源IP。
  • 另外可以找事件ID 4634：这是注销事件，能对应看到入侵者什么时候退出了你的电脑。
• 同时也可以看看系统日志，找和TightVNC、远程服务相关的启动/停止记录；另外TightVNC本身可能也有日志文件，一般在它的安装目录或者%ProgramData%\TightVNC这类路径下，你可以去看看有没有异常的连接记录。

二、排查入侵者在电脑上的操作痕迹 #

除了日志，还可以通过这些地方找入侵者的操作残留：

• 最近的文件变动：打开资源管理器，右键空白处选择「排序方式」→「修改日期」，按时间倒序查看，看看你不在电脑期间有没有陌生文件被创建、修改，或者你的敏感文件（比如文档、照片）被移动、删除；也别忘了检查回收站，说不定能找到入侵者删除的文件。
• 浏览器历史记录：打开你常用的浏览器（Chrome、Edge、Firefox等），查看历史记录，看看有没有陌生的网站访问记录——入侵者可能会通过浏览器下载恶意工具，或者访问一些敏感站点。
• 任务计划程序：搜索打开「任务计划程序」，看看有没有陌生的定时任务被创建，有些入侵者会设置定时任务，方便之后再次访问你的电脑。
• 已安装程序列表：打开「设置」→「应用」→「应用和功能」，按「安装时间」排序，看看最近有没有你完全没印象的陌生程序，尤其是远程控制、密码窃取类的软件。

三、关于追踪入侵者的身份 #

如果从安全日志里拿到了入侵者的IP，你可以做这些尝试，但别抱太大期望：

• 打开命令提示符，输入nslookup [入侵者IP]，可以查看这个IP对应的域名，能大致知道这个IP属于哪家运营商、哪个地区，但普通用户很难直接定位到具体个人——大部分个人IP都是动态的，而且很多入侵者会用代理或者VPN隐藏真实地址。
• 注意：绝对不要尝试主动联系或者攻击这个IP，这可能违反法律。如果你的电脑里有敏感隐私、财务信息，或者已经出现财产损失，建议保存好所有日志和证据，报警处理。

四、后续的彻底安全处理 #

你提到要做干净安装，这是最稳妥的解决方式，给你几个补充建议：

• 重装系统时，建议直接格式化整个系统盘（如果担心入侵者在其他磁盘留下隐藏恶意文件，也可以格式化所有磁盘）；不管你选择继续用Windows还是更换其他OS，安装后先别联网，第一时间开启系统防火墙，设置一个复杂的登录密码。
• 如果之后还要用远程控制软件，一定要设置高强度的访问密码，并且不要用默认端口或者常用端口（比如你之前用的8080，这类端口很容易被扫描工具盯上），最好改成49152-65535之间的随机高位端口。
• 系统安装完成后，先安装所有系统安全补丁，再安装靠谱的杀毒软件，之后再连接网络。

备注：内容来源于stack exchange，提问作者Dartage