没辙了，能查的都查了（启动项，任务，任务管理器，网络资源监视），没查出啥可疑的。 
下了个 360 全盘扫描，C:\ProgramData 下面一个 Networkinges 文件夹Networkinges.zip（是一个混淆的 ps1 脚本，严重怀疑），还有一个 appprotocol 文件夹 appprotocol .zip （这个更像是注册机）。 
这两样本云沙箱也查了，都有威胁等级。 
家里人说某天某个站点（陪着翻了半小时历史记录也没找到），里面要她  win+r 然后粘贴一串回车，之后就有不定期弹出的黑框了。佬友一定要给家里人做点基础的安全科普。