我正在尝试删除一个可执行文件,但失败并出现错误访问被拒绝甚至添加/F
强制它del /F system.exe
。我正在使用提升的命令提示符。
尝试通过 Windows 资源管理器删除该文件会产生以下结果:
我进入了可执行文件的安全属性。突出显示的是一些奇怪的权限条目,它们可能会阻止我删除此文件:
最初,它不允许我删除条目;该选项是灰色的。我执行了takeown /F C:\ProgramData\994146\system.exe
,删除了条目,添加了授予我完全权限的条目,然后关闭了对话框。错误仍然存在。当我重新打开“高级安全设置”时,条目又回来了。
system.exe 的父文件夹 994146 在 ProgramData 中完全不可见。我在 ProgramData 上启用了“显示隐藏文件”。我不得不在 Windows 资源管理器的地址栏中手动输入路径。我也不确定如何编辑 994146 的属性,因为我无法在文件层次结构中选择它。
答案1
暂停不良流程:
- 下载并运行进程探索器(来自 Microsoft)作为管理员
- 在里面选项>VirusTotal.com菜单启用检查VirusTotal.com并接受许可协议
- 将出现一个新列,标题为病毒总数带有类似 的数字
0/57
。第一个数字表示有多少病毒扫描程序认为该进程被感染。第二个数字表示有多少扫描程序扫描了该文件。0/57
表示进程干净,而19/57
表示有 19 个扫描程序认为该进程有问题。 - 对于任何标记为受感染的进程,右键单击并暂停(不要杀)
- 一旦所有可疑进程都被暂停,就逐个终止它们
- 如果任何新的受感染进程再次出现,请暂停它们,而不是杀死它们
- 更改不需要的可执行文件的文件权限以重新获得完全控制权,然后将其删除
- 删除文件后,您需要立即进入扫描您的计算机以查找恶意软件
如果这不管用,那就把火熄灭:
- 下载并运行进程监控(也来自微软)并以管理员身份运行
- 在筛选菜单点击筛选...
- 创建过滤条件来匹配您的文件,如下所示:
- 点击添加然后好的
- 更改文件的权限
- 查看 Process Monitor 的输出。您将看到
explorer.exe
访问该文件(即您更改权限)。查找任何其他接触该文件的进程……很可能是最后一个接触该文件的进程。这很可能是您的恶意进程。 - 使用 Process Explorer 暂停该进程(
PID
Process Monitor 显示的值也会在 Process Explorer 中显示) - 尝试再次更改权限/删除文件
答案2
只需运行以下命令:
takeown /F * /R /D Y
icacls . /T /C /grant administrators:F System:F everyone:F
del * /s /q
答案3
删除特定文件:
当del /f <FILE>
产生访问被拒绝错误时,您需要首先使用命令行实用程序中的takeown
和获取所有者并授予访问权限。icacls
带主人:
takeown.exe /F <FILE-PATH>
注意:确保更改<FILE-PATH>
为所需文件的全名。
输出示例:
成功:文件(或文件夹):[FILE-PATH] 现在归用户“PC-NAME\USER-NAME”所有。
授予用户访问权限:
icacls.exe <FILE-PATH> /grant PC-NAME\USER-NAME:F
注意:确保相应地更改<FILE-PATH>
和PC-NAME\USER-NAME
(不要错过:F
)。
输出示例:
已处理文件:[FILE-NAME]
成功处理 1 个文件;处理 0 个文件失败
删除文件:
del /f <FILE-PATH>
答案4
就我而言,解决此问题的方法是运行卡巴斯基的TDSKiller 杀伤;它可能是一个木马。不幸的是,我不确定 TDSSKiller 具体做了什么来删除受影响的文件。