Xóa tệp - quyền truy cập bị từ chối ngay cả với / F

2

Tôi đang cố xóa một tệp thực thi, nhưng nó không thành công với lỗi Access bị từ chối thậm chí thêm vào /Fđể buộc nó là del /F system.exe. Tôi đang sử dụng một Dấu nhắc lệnh nâng cao.

Cố gắng xóa tệp thông qua Windows Explorer mang lại kết quả như sau:

thông báo lỗi

Tôi đã đi vào các thuộc tính bảo mật của thực thi. Nổi bật là các mục cấp phép kỳ lạ có thể ngăn tôi xóa tệp này:

cài đặt bảo mật nâng cao

Ban đầu, nó không cho phép tôi xóa các mục; các tùy chọn đã bị mờ đi. Tôi đã thực hiện takeown /F C:\ProgramData\994146\system.exe, xóa các mục, thêm các mục cung cấp cho tôi toàn quyền và đóng hộp thoại. Lỗi vẫn tồn tại. Khi tôi mở lại Cài đặt bảo mật nâng cao, các mục đã trở lại.

Thư mục mẹ của system.exe, 994146, hoàn toàn vô hình trong ProgramData. Tôi có "hiển thị các tập tin ẩn" trên ProgramData. Tôi đã phải tự nhập đường dẫn trong thanh địa chỉ của Windows Explorer. Tôi cũng không chắc chắn làm thế nào để chỉnh sửa các thuộc tính của 994146 vì tôi không thể chọn nó trong hệ thống phân cấp tệp.

windows  command-line  windows-10  malware-removal 
Erik Humphrey
nguồn
bạn nói "thậm chí" với / F không thích / F là một thứ mạnh mẽ. Điều gì về một cái gì đó mà nhiều người thấy hiệu quả, như trình mở khóa? (Google Unlocker) hoặc bất kỳ kỹ thuật thông thường nào mà người ta sử dụng khi họ không thể xóa một tệp trong windows, như sử dụng process explorer để xem liệu có quá trình nào đang khóa tệp không .. Bạn biết không - các kỹ thuật mà mọi người có xu hướng tìm việc .. Các kỹ thuật được liệt kê bất cứ khi nào có ai hỏi cách xóa tệp mà windows sẽ không cho phép bạn xóa
barlop
1
Và tại sao bạn viết "xóa hàng loạt" trong tiêu đề và sau đó bạn viết "Tôi đang cố xóa một tệp thực thi". Batch giống như một tập tin bat, hơn là dòng lệnh. Đây là một lệnh, không phải là tệp bó
barlop
1
Nếu bạn có phần mềm độc hại như thế này, bạn thực sự phải sao lưu dữ liệu của mình và xóa sạch máy.
Joel Coehoorn
Tôi tò mò nếu bạn "thậm chí" kiểm tra xem system.exe có trong trình quản lý tác vụ không? (cho rằng nó đã hiển thị trong quá trình thám hiểm)
barlop
DavidPostill

Câu trả lời:

5

Đặt các quy trình xấu trên băng:

  1. Tải xuống và chạy Process Explorer (từ Microsoft) với tư cách Quản trị viên
  2. Trong menu Tùy chọn > VirusTotal.com, bật Kiểm tra VirusTotal.com và chấp nhận thỏa thuận cấp phép
  3. Một cột mới sẽ xuất hiện có tiêu đề VirusTotal với một số như 0/57. Số đầu tiên cho biết có bao nhiêu máy quét vi-rút nghĩ rằng quá trình bị nhiễm. Số thứ hai cho biết có bao nhiêu tệp quét. 0/57sẽ chỉ ra một quy trình sạch trong khi 19/57sẽ chỉ ra 19 máy quét nghĩ rằng quy trình này là xấu.
  4. Đối với bất kỳ quy trình nào được gắn cờ là bị nhiễm, nhấp chuột phải và Tạm dừng (không giết)
  5. Khi tất cả các quy trình đáng ngờ đã bị đình chỉ, hãy tiêu diệt chúng cùng một lúc
  6. Nếu bất kỳ quy trình bị nhiễm mới nào xuất hiện lại, hãy tạm dừng chúng và không giết chúng
  7. Thay đổi quyền truy cập tệp trên tệp thực thi không mong muốn của bạn để lấy lại Toàn quyền, sau đó xóa tệp
  8. Khi bạn đã xóa tệp, bạn cần ngay lập tức chuyển sang quét máy tính để tìm phần mềm độc hại

Nếu điều này không hiệu quả, thì hãy dập lửa:

  1. Tải xuống và chạy Process Monitor (cũng từ Microsoft) và chạy với tư cách Quản trị viên
  2. Trên Lọc đơn nhấp Lọc ...
  3. Tạo một điều kiện lọc để khớp với tệp của bạn như sau: nhập mô tả hình ảnh ở đây
  4. Nhấp vào Thêm rồi OK
  5. Thay đổi quyền trên tệp của bạn
  6. Xem lại đầu ra của Monitor Monitor. Bạn sẽ thấy rằng explorer.exetruy cập tệp (đó là bạn, thay đổi quyền). Tìm kiếm bất kỳ quy trình nào khác chạm vào tệp ... rất có thể là quy trình cuối cùng để làm như vậy. Đây rất có thể sẽ là quá trình độc hại của bạn.
  7. Sử dụng Process Explorer để tạm dừng quá trình đó ( PIDgiá trị được hiển thị bởi Process Monitor cũng được hiển thị bởi Process Explorer)
  8. Hãy thử thay đổi quyền / xóa tệp một lần nữa
Kẻ giả mạo xoắn
nguồn
1
Làm thế nào để bạn biết đó là tàn dư duy nhất? Điều gì khiến bạn chắc chắn không có rootkit mà bạn thậm chí không thể nhìn thấy?
Joel Coehoorn
1
@Gnomechild Số lượng lớn các sự kiện trong Process Monitor là bình thường. Thực tế csrss.exe có liên quan có nghĩa là bạn bị nhiễm trùng nghiêm trọng. Bạn cần chuyển sang các nỗ lực loại bỏ phần mềm độc hại quy mô đầy đủ. Bạn có nhiều việc xảy ra hơn bạn nghĩ ban đầu.
Kẻ giả mạo Twisty
1
@Gnomechild Điều đó không đúng . Quá trình này rất quan trọng đối với hoạt động của Windows. Tin tôi đi, nếu có thứ gì đó chạy bên trong (tức là "được tiêm") trong quy trình này ngăn bạn xóa một tập tin xấu, bạn đã bị nhiễm trùng nghiêm trọng. Hành động phù hợp.
Kẻ giả mạo Twisty
1
Tôi tò mò .. Tôi cho rằng đó là lý do bạn đình chỉ họ trước, là lý do được nêu ở đây superuser.com/questions/325603/. Đó là họ có thể đóng vai trò là người canh gác lẫn nhau .. Xem xét rằng nếu bạn đình chỉ họ bởi một người họ vẫn có thể đóng vai trò là người canh gác cho nhau, và bạn có thể cho rằng tôi vượt qua điều đó bằng cách đình chỉ tất cả cùng một lúc .. Làm thế nào tốt hơn là giết tất cả cùng một lúc?
barlop
2
@barlop Bạn đã đúng rằng đây là một kỹ thuật chống giám sát. Tôi đã không tận hưởng thành công tương tự bằng cách giết chết các quá trình cùng một lúc. Chỉ mất một phần nghìn giây cho một quá trình theo dõi để thấy bạn thân của nó chết và hồi sinh nó. So với phương pháp đình chỉ giết người, thật khó để giết một số quá trình nhanh như vậy. Tôi vẫn chưa có một quá trình hành động chống lại việc đình chỉ bạn bè của nó, nhưng tôi cho rằng ngày đó sẽ đến.
Kẻ giả mạo Twisty
0

Đây là "chown.bat" của tôi (unix folks sẽ cười tôi khi sử dụng tên đó). Tôi đã ghép nó lại với nhau từ nhiều giải pháp khác nhau ... Mỗi lần không hoạt động, tôi lại thêm nhiều thứ khác. Những thứ SetACL tôi chỉ khám phá vào năm 2014 hoặc 2015. Điều này chưa bao giờ làm tôi thất bại:

    for /r %fn in (*.*)  SetACL -on "%fn" -ot file -actn clear -clr dacl,sacl
    takeown /F * /R /D  Y
    icacls   *.* /T /C /grant YOURUSERACCOUNTNAMEHERE:(D,WDAC)
    icacls    .  /T /C /grant administrators:F System:F everyone:F

SetACL là tiện ích của bên thứ 3 cần có trong đường dẫn của bạn.

ClioCJ
nguồn
Nhận xét được gửi dưới dạng chỉnh sửa: [Giải pháp này hiệu quả, cảm ơn bạn! Tuy nhiên, tôi đã phải thay đổi dòng FOR của bạn theo 2 cách. Ít nhất là trên Windows 10, biến% dường như phải là một chữ cái duy nhất. Vì vậy, "% fn" của bạn chỉ trở thành "% f" nếu dòng đó được chạy ở dòng lệnh. (Và lưu ý rằng nếu bạn đặt các dòng đó trong một tệp bó, biến đó phải có hai% ký hiệu, như trong "%% f", đó là những gì tôi có ở trên.) Cuối cùng, tôi cần thêm "DO" trước "SetACL". Xem ở trên. Và cảm ơn rất nhiều lần nữa vì cuối cùng đã đưa tôi đến nơi tôi có thể xóa một tệp thực thi]
Mokubai
Cảm ơn! Tôi sử dụng TakeCommand (TCC.EXE) làm một dòng lệnh, vì vậy tôi có thể có những khác biệt nhỏ trong việc triển khai của mình :) Thật vui khi biết ai đó đã sử dụng lược chải răng để làm cho nó phù hợp hơn với các dòng lệnh phổ biến hơn . Tôi chỉ có thể thay đổi tệp BAT cục bộ của mình để phản ánh các chỉnh sửa của bạn chỉ để cười khúc khích :)
ClioCJS
Ngoài ra, đối với TakeCommand, thay vì YOUUSERACCOUNTNAMEHERE, người ta có thể thoát khỏi% _winuser% - không chắc điều đó có hoạt động ở nơi khác không.
ClioCJS
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.