Удаление файла - доступ запрещен даже с /F

Question

Я пытаюсь удалить исполняемый файл, но он завершается неудачно с ошибкой. Доступ запрещен даже при добавлении /F чтобы вызвать его как del /F system.exe . Я использую повышенную командную строку.

Попытка удалить файл через проводник Windows приводит к следующему:

Я вошел в свойствах безопасности исполняемого файла. Выделены странные записи о разрешениях, которые могут помешать мне удалить этот файл:

Первоначально, это не позволило мне удалить записи; Вариант был серым. Я takeown /F C:\ProgramData\994146\system.exe , удалил записи, добавил те, которые дали мне полные разрешения, и закрыл диалоговое окно. Ошибка сохранилась. Когда я снова открыл Дополнительные параметры безопасности, записи вернулись.

Родительская папка system.exe, 994146, полностью невидима в ProgramData. У меня есть "показать скрытые файлы" на ProgramData. Мне пришлось вручную ввести путь в адресной строке Windows Explorer. Я также не уверен, как редактировать свойства 994146, так как я не могу выбрать его в файловой иерархии.

Answer 1

Положите плохие процессы на лед:

1. Загрузите и запустите Process Explorer (от Microsoft) с правами администратора.
2. В меню « Параметры» > « VirusTotal.com» включите « Проверить VirusTotal.com» и принять лицензионное соглашение.
3. Появится новый столбец под названием VirusTotal с номером, например, 0/57 . Первое число указывает, сколько антивирусных сканеров считают процесс зараженным. Второе число указывает, сколько отсканировано файла. 0/57 бы чистый процесс, в то время как 19/57 бы, что 19 сканеров считают процесс плохим.
4. Для любых процессов, помеченных как зараженные, щелкните правой кнопкой мыши и выберите Приостановить (не убивать).
5. Как только все подозрительные процессы были приостановлены, убивайте их по одному
6. Если какие-либо новые зараженные процессы появляются снова, приостановите их и не убивайте их
7. Измените права доступа к файлу нежелательного исполняемого файла, чтобы восстановить полный доступ, а затем удалите его.
8. После того как вы удалили файл, вам нужно немедленно перейти к сканированию компьютера на наличие вредоносных программ.

---

Если это не сработает, тогда разожгите огонь:

1. Скачайте и запустите Process Monitor (также от Microsoft) и запустите от имени администратора
2. В меню Filter выберите фильтр ...
3. Создайте условие фильтра, соответствующее вашему файлу, следующим образом:
4. Нажмите Добавить, затем ОК
5. Измените разрешения для вашего файла
6. Просмотрите вывод Process Monitor. Вы увидите, что explorer.exe обращается к файлу (это вы, меняете права доступа). Ищите любые другие процессы, которые касаются файла ... скорее всего, последний процесс, который сделает это. Скорее всего, это будет ваш вредоносный процесс.
7. Используйте Process Explorer, чтобы приостановить этот процесс (значение PID отображаемое Process Monitor, также отображается Process Explorer)
8. Попробуйте изменить права доступа / удалить файл еще раз

Answer 2

Это мой "chown.bat" (люди из Unix будут смеяться надо мной, используя это имя). Я собрал это вместе из различных решений ... Каждый раз, когда кто-то не работает, я добавляю больше вещей. Материал SetACL, который я обнаружил только в 2014 или 2015 году. Это никогда не подводило меня

    for /r %fn in (*.*)  SetACL -on "%fn" -ot file -actn clear -clr dacl,sacl
    takeown /F * /R /D  Y
    icacls   *.* /T /C /grant YOURUSERACCOUNTNAMEHERE:(D,WDAC)
    icacls    .  /T /C /grant administrators:F System:F everyone:F

SetACL - это сторонняя утилита, которая должна быть на вашем пути.