Windows non è un sistema operativo inteso per la ricerca informatica & cybersec, di conseguenza rimuovere un malware manualmente può essere facile solo se l'attaccante si limita a delegarsi ad un arsenale di cazzate scaricate da Github.
Su Linux la situazione è molto diversa, perché è molto più malleabile. Su Windows no, tutto quello che puoi fare se sospetti un'infezione (backdoor, cryptojacking) è fare AV rotation finché non trovi a botto di c*** un AV che riesce a scoprire il malware. Vai sugli AV gratuiti prima di installare quelli a pagamento, non ne esiste uno migliore degli altri, quindi dovrai portare pazienza se vuoi davvero farcela.
Questa risposta l'ho scritta assumento che il virus in questione che ti ha usato contro sia fully undetectable, ingannevolmente chiamato svchost.exe o RuntimeBroker.exe (processi di sistema validi che possono spawnare più di un'istanza) o che sia stato infettato direttamente un processo di sistema legittimo con un malware che runna come sub-thread per fare persistenza, delle situazioni in cui non vorrebbe trovarsi nessuno.
Non intendo generare malumori ovviamente, lo scritto ha lo scopo di dimostrare fino a che punto può spingersi la severità di un attacco informatico contro Microsoft Windows, "il sistema operativo di tutti noi"
Piccolo consiglio, dal Task Manager puoi monitorare la directory padre di svchost.exe e RuntimeBroker.exe, cioè C:/Windows/System32. Qualsiasi istanza di svchost.exe o RuntimeBroker.exe collocata fuori da questa directory è un malware, perché il veri file si trovano solo in System32 o C:/Windows/SysWOW64