(懶了好幾天,今天下午有盒友問我我才突然想起來似乎還沒寫解決方案,那麼就來補個檔吧)
不想看分析過程的盒友可以直接跳到最下面查看快速瀏覽
分析過程
僅靠對ps文件的分析還不夠判斷最終造成的影響,所以我選擇請出虛擬機。
這裡模擬運行
也是成功跳臉輸出了
執行完操作後,從Windows Defender開始檢查
在有第三方安全軟件防護的情況下,安全中心的界面如下
並且在刪除安全軟件後仍未發現排除項目被添加,這裡可知腳本並未在第三方安全軟件開啟時操作Defender
在無第三方安全軟件防護的情況下,安全中心的界面如下
此時腳本修改操作生效
刪除圖示排除項的第23456項即可
Win+R輸入regedit打開註冊表
分別查看以下兩個路徑
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
暫未發現相關不正常啟動項
分析到這裡時我家WiFi出問題了,導致我以為被黑客攻擊
由於代碼運行時使用了Bypass的策略,接下來打開powershell檢查一遍
Get-ExecutionPolicy
正常返回Restricted,如果你返回了任何除此以外的內容,使用以下指令來修復
Set-ExecutionPolicy Restricted
接下來刪除腳本帶來的文件
C:\Users\用戶名\AppData\Local\Steam
C:\Program Files (x86)\Steam
第一個是steam的緩存目錄(固定),在未有任何遊戲安裝的情況下僅有兩個文件
在不認識遊戲文件的情況下,建議刪除所有文件
第二個是steam的安裝目錄(根據實際目錄打開),異常有
目錄 kb250
文件 hid.dll
之後卸載steam,重新安裝
根據ps文件內容以及虛擬機測試,到這裡應該就恢復正常了,但是我手上沒有假入庫的cdk(同時懶得抓包),沒辦法做測試,希望有做了這些操作的盒友反饋一下這些步驟是否可行。
還有就是我後面發現a.ps1好像並沒有刪除,所以建議執行了腳本的盒友去C:\Windows\system32這裡看一眼是不是還多了個a.ps1的文件,有就刪除了。
快速瀏覽
1、 未使用第三方防護軟件,只開啟Windows Defender(使用第三方防護軟件的用戶可以跳過)
Win+s 搜索defender,打開病毒和威脅防護
點擊”病毒和威脅防護”設置中的管理設置
點擊排除項中的添加或刪除排除項目
刪除以下內容
C:\
C:\Users\用戶名\AppData\Local\Steam
C:\Program Files (x86)\Steam(steam的安裝路徑,根據你實際安裝steam的地方查找)
dll
exe
2、 檢查安全策略
打開powershell輸入以下指令
Get-ExecutionPolicy
正常返回Restricted,如果你返回了任何除此以外的內容,使用以下指令來修復
Set-ExecutionPolicy Restricted
3、 刪除以下文件
C:\Users\用戶名\AppData\Local\Steam
如果不認識遊戲內容,這裡刪除除圖片外的所有文件
C:\Program Files (x86)\Steam(steam的安裝路徑,根據你實際安裝steam的地方查找)
這裡刪除兩項
目錄 kb250
文件 hid.dll
C:\Windows\system32
這裡刪除可能存在的a.ps1
4、 重裝steam
5、 回到黑盒併為我點一個贊