(懒了好几天,今天下午有盒友问我我才突然想起来似乎还没写解决方案,那么就来补个档吧)
不想看分析过程的盒友可以直接跳到最下面查看快速浏览
分析过程
仅靠对ps文件的分析还不够判断最终造成的影响,所以我选择请出虚拟机。
这里模拟运行
也是成功跳脸输出了
执行完操作后,从Windows Defender开始检查
在有第三方安全软件防护的情况下,安全中心的界面如下
并且在删除安全软件后仍未发现排除项目被添加,这里可知脚本并未在第三方安全软件开启时操作Defender
在无第三方安全软件防护的情况下,安全中心的界面如下
此时脚本修改操作生效
删除图示排除项的第23456项即可
Win+R输入regedit打开注册表
分别查看以下两个路径
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
暂未发现相关不正常启动项
分析到这里时我家WiFi出问题了,导致我以为被黑客攻击
由于代码运行时使用了Bypass的策略,接下来打开powershell检查一遍
Get-ExecutionPolicy
正常返回Restricted,如果你返回了任何除此以外的内容,使用以下指令来修复
Set-ExecutionPolicy Restricted
接下来删除脚本带来的文件
C:\Users\用户名\AppData\Local\Steam
C:\Program Files (x86)\Steam
第一个是steam的缓存目录(固定),在未有任何游戏安装的情况下仅有两个文件
在不认识游戏文件的情况下,建议删除所有文件
第二个是steam的安装目录(根据实际目录打开),异常有
目录 kb250
文件 hid.dll
之后卸载steam,重新安装
根据ps文件内容以及虚拟机测试,到这里应该就恢复正常了,但是我手上没有假入库的cdk(同时懒得抓包),没办法做测试,希望有做了这些操作的盒友反馈一下这些步骤是否可行。
还有就是我后面发现a.ps1好像并没有删除,所以建议执行了脚本的盒友去C:\Windows\system32这里看一眼是不是还多了个a.ps1的文件,有就删除了。
快速浏览
1、 未使用第三方防护软件,只开启Windows Defender(使用第三方防护软件的用户可以跳过)
Win+s 搜索defender,打开病毒和威胁防护
点击”病毒和威胁防护”设置中的管理设置
点击排除项中的添加或删除排除项目
删除以下内容
C:\
C:\Users\用户名\AppData\Local\Steam
C:\Program Files (x86)\Steam(steam的安装路径,根据你实际安装steam的地方查找)
dll
exe
2、 检查安全策略
打开powershell输入以下指令
Get-ExecutionPolicy
正常返回Restricted,如果你返回了任何除此以外的内容,使用以下指令来修复
Set-ExecutionPolicy Restricted
3、 删除以下文件
C:\Users\用户名\AppData\Local\Steam
如果不认识游戏内容,这里删除除图片外的所有文件
C:\Program Files (x86)\Steam(steam的安装路径,根据你实际安装steam的地方查找)
这里删除两项
目录 kb250
文件 hid.dll
C:\Windows\system32
这里删除可能存在的a.ps1
4、 重装steam
5、 回到黑盒并为我点一个赞