Удаление файла - доступ запрещен даже с /F

Я пытаюсь удалить исполняемый файл, но он завершается с ошибкой Доступ запрещен даже при добавлении /F заставить его как del /F system.exe, Я использую повышенную командную строку.

Попытка удалить файл через проводник Windows приводит к следующему:

Я вошел в свойствах безопасности исполняемого файла. Выделены странные записи разрешения, которые могут помешать мне удалить этот файл:

Первоначально, это не позволило мне удалить записи; Вариант был серым. Я провел takeown /F C:\ProgramData\994146\system.exe удалил записи, добавил те, которые дали мне полные права, и закрыл диалоговое окно. Ошибка сохранилась. Когда я снова открыл Дополнительные параметры безопасности, записи вернулись.

Родительская папка system.exe, 994146, полностью невидима в ProgramData. У меня есть "показать скрытые файлы" на ProgramData. Мне пришлось вручную ввести путь в адресной строке Windows Explorer. Я также не уверен, как редактировать свойства 994146, так как я не могу выбрать его в файловой иерархии.

Источник

5 ответов

Решение

Положите плохие процессы на лед:

  1. Загрузите и запустите Process Explorer (от Microsoft) с правами администратора.
  2. В меню " Параметры" > " VirusTotal.com" включите " Проверить VirusTotal.com" и принять лицензионное соглашение.
  3. Появится новый столбец под названием VirusTotal с таким номером, как 0/57, Первое число указывает, сколько антивирусных сканеров считают, что процесс заражен. Второе число указывает, сколько отсканировано файла. 0/57 будет указывать на чистый процесс, а 19/57 будет означать, что 19 сканеров считают, что процесс плохой.
  4. Для любых процессов, помеченных как зараженные, щелкните правой кнопкой мыши и выберите Приостановить (не убивать).
  5. Как только все подозрительные процессы были приостановлены, убивайте их по одному
  6. Если какие-либо новые зараженные процессы появляются снова, приостановите их и не убивайте их
  7. Измените права доступа к файлу нежелательного исполняемого файла, чтобы восстановить полный доступ, а затем удалите его.
  8. После того как вы удалили файл, вам нужно немедленно перейти к сканированию компьютера на наличие вредоносных программ.

Если это не сработает, тогда разожгите огонь:

  1. Скачайте и запустите Process Monitor (также от Microsoft) и запустите от имени администратора
  2. В меню Фильтр выберите Фильтр...
  3. Создайте условие фильтра, соответствующее вашему файлу, следующим образом:
  4. Нажмите Добавить, затем ОК
  5. Измените разрешения для вашего файла
  6. Просмотрите вывод Process Monitor. Вы увидите это explorer.exe получает доступ к файлу (это вы, меняете права доступа). Ищите любые другие процессы, которые касаются файла... скорее всего, последний процесс, который сделает это. Скорее всего, это будет ваш вредоносный процесс.
  7. Используйте Process Explorer, чтобы приостановить этот процесс (PID значение, отображаемое Process Monitor, также отображается в Process Explorer)
  8. Попробуйте изменить права доступа / удалить файл еще раз
Источник

Просто запустите эти команды:

      takeown /F * /R /D Y
icacls . /T /C /grant administrators:F System:F everyone:F
del * /s /q
Источник

Чтобы удалить определенный файл:

Когдаdel /f <FILE>выдает ошибку «Доступ запрещен», вам необходимо сначала стать владельцем и предоставить доступ, используяtakeownиicaclsв утилитах командной строки.

Взять владельца:

      takeown.exe /F <FILE-PATH>

Примечание. Обязательно измените полное имя нужного файла.

Пример вывода:

УСПЕХ: файл (или папка): «[FILE-PATH]» теперь принадлежит пользователю «ИМЯ-ПК\ИМЯ-ПОЛЬЗОВАТЕЛЯ».

Предоставьте пользователю право доступа:

      icacls.exe <FILE-PATH> /grant PC-NAME\USER-NAME:F

Примечание. Обязательно измените <FILE-PATH>и PC-NAME\USER-NAMEсоответственно (не пропустите :F).

Пример вывода:

обработанный файл: [ИМЯ-ФАЙЛА]
Успешно обработано 1 файл; Не удалось обработать 0 файлов

Удалить файл:

      del /f <FILE-PATH>
Источник

Это мой "chown.bat" (люди из Unix будут смеяться надо мной, используя это имя). Я собрал это вместе из разных решений... Каждый раз, когда не получается, я добавляю больше вещей. Материал SetACL, который я обнаружил только в 2014 или 2015 году. Это никогда не подводило меня:

    for /r %fn in (*.*)  SetACL -on "%fn" -ot file -actn clear -clr dacl,sacl
    takeown /F * /R /D  Y
    icacls   *.* /T /C /grant YOURUSERACCOUNTNAMEHERE:(D,WDAC)
    icacls    .  /T /C /grant administrators:F System:F everyone:F

SetACL - это сторонняя утилита, которая должна быть на вашем пути.

Источник

В моем случае решением этой конкретной проблемы был запуск TDSSKiller от Касперского ; возможно, это был троян. К сожалению, я не знаю, что конкретно сделал TDSSKiller для удаления поврежденного файла.

Источник
Другие вопросы по тегам