最近修复了一台感染病毒的计算机,感染的文件中包括C:\windows\system32\drivers\zdengine.dll
和C:\windows\system32\drivers\zdengine64.dll
(用于劫持DNS),尝试删除该文件通常会导致“
您需要获得 TrustedInstaller 的许可才能删除此文件
因此,我尝试在安全模式下进行操作,但即使在安全模式下我仍然遇到同样的错误。
因此有标题。删除受 TrustedInstaller 保护的病毒文件的正确方法是什么?
(我最终禁用了 SecureBoot 并启动了 Linux 实时系统并从那里删除了文件并重新启动,但我想肯定有一种方法可以在不禁用 SecureBoot 和不涉及 Linux 的情况下摆脱它,对吧?)
(PS:对于感染 zdengine.dll DNS 劫持程序并从谷歌搜索中找到此内容的任何人:删除该文件后,您还必须netsh winsock reset
在 cmd 中运行以恢复正常的 DNS 功能)
答案1
您可以停止 TrustedInstaller 的运行,然后获取该文件的所有权。要停止 TrustedInstaller,请打开服务,找到Windows Modules Installer
,然后单击停止。
转到文件,右键单击,然后单击属性。转到安全选项卡 > 高级 > 所有者。将自己添加为所有者,授予自己完全控制权。您应该能够删除该文件。
重新启动 Windows 模块安装程序服务。