CrowdStrike Driver Cleanup Script - PowerShell

1. function Remove-CrowdStrikeDriver {
2.     # Pfad zur Datei
3.     $filePath = "C:\Windows\System32\drivers\CrowdStrike\C-00000291*.sys"
4.    
5.     # Überprüfen, ob die Datei existiert
6.     if (Test-Path $filePath) {
7.         try {
8.             # Datei löschen
9.             Remove-Item $filePath -Force
10.             Write-Host "Die Datei wurde erfolgreich gelöscht."
11.         } catch {
12.             Write-Host "Fehler beim Löschen der Datei: $_"
13.         }
14.     } else {
15.         Write-Host "Die Datei wurde nicht gefunden."
16.     }
17. }
18.  
19. # Funktion zur Überprüfung, ob das Skript im abgesicherten Modus oder in der Wiederherstellungsumgebung ausgeführt wird
20.  
21. function Check-SafeModeOrRecovery {
22.     # Überprüfen, ob der Computer im abgesicherten Modus ist
23.     $safeMode = (Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SafeBoot\Option").Option
24.     if ($safeMode -eq 1) {
25.         Write-Host "System läuft im abgesicherten Modus."
26.         return $true
27.     }
28.  
29.     # Überprüfen, ob das System in der Wiederherstellungsumgebung ist
30.     $recoveryEnvironment = (Get-WmiObject -Query "SELECT * FROM Win32_ComputerSystem").ThermalState
31.     if ($recoveryEnvironment -eq 2) {
32.         Write-Host "System läuft in der Wiederherstellungsumgebung."
33.         return $true
34.     }
35.  
36.     Write-Host "System läuft nicht im abgesicherten Modus oder in der Wiederherstellungsumgebung."
37.     return $false
38. }
39.  
40. # Hauptskript
41. if (Check-SafeModeOrRecovery) {
42.     Remove-CrowdStrikeDriver
43. } else {
44.     Write-Host "Bitte das System im abgesicherten Modus oder in der Wiederherstellungsumgebung neu starten und das Skript erneut ausführen."
45. }