File delete - o acesso é negado mesmo com / F

Navegue suas respostas
2

Estou tentando excluir um executável, mas ele falha com o erro Acesso negado , mesmo adicionando /F para forçá-lo como del /F system.exe . Estou usando um prompt de comando elevado.

A tentativa de excluir o arquivo pelo Windows Explorer gera o seguinte:

Euentreinaspropriedadesdesegurançadoexecutável.Sãodestacadasasentradasdepermissãoímparesquepodemestarimpedindoqueeuexcluaestearquivo:

Originalmente,elenãomepermitiuexcluirasentradas;aopçãoestavadesabilitada.Executeitakeown/FC:\ProgramData4146\system.exe,excluíasentradas,adicioneiasquemederampermissõescompletasefecheiacaixadediálogo.Oerropersistiu.QuandoreabriasConfiguraçõesAvançadasdeSegurança,asentradasestavamdevolta.

Apastapaidosystem.exe,994146,écompletamenteinvisívelemProgramData.Eutenho"mostrar arquivos ocultos" em ProgramData. Eu tive que digitar manualmente o caminho na barra de endereços do Windows Explorer. Eu também não sei como editar as propriedades do 994146, pois não posso selecioná-lo na hierarquia de arquivos.

    
por Erik Humphrey 22.08.2015 / 02:24

2 respostas

5

Coloque processos ruins no gelo:

  1. Faça o download e execute o Process Explorer (da Microsoft ) como Admin
  2. Nas opções Opções > menu VirusTotal.com ative Verifique VirusTotal.com e aceite o contrato de licença
  3. Uma nova coluna será exibida com o título VirusTotal com um número como 0/57 . O primeiro número indica quantos scanners de vírus acham que o processo está infectado. O segundo número indica quantos examinaram o arquivo. 0/57 indicaria um processo limpo, enquanto 19/57 indicaria que 19 scanners acham que o processo é ruim.
  4. Para qualquer processo sinalizado como infectado, clique com o botão direito e Suspender (não matar)
  5. Depois que todos os processos suspeitos tiverem sido suspensos, mate-os um de cada vez
  6. Se algum novo processo infectado reaparecer, suspenda-o e não o mate
  7. Altere as permissões de arquivo em seu executável indesejado para recuperar o Controle total e exclua-o
  8. Depois de excluir o arquivo, você precisa mover-se imediatamente para fazendo uma varredura em seu computador em busca de malware

Se isso não funcionar, então quebre o fogo:

  1. Faça o download e execute Process Monitor (também da Microsoft) e execute como administrador
  2. No menu Filtro , clique em Filtrar ...
  3. Crie uma condição de filtro para corresponder ao seu arquivo da seguinte forma:
  4. Clique em Adicionar e em OK
  5. Alterar as permissões no seu arquivo
  6. Revise a saída do Process Monitor. Você verá que explorer.exe acessa o arquivo (é você, alterando as permissões). Procure por qualquer outro processo que toque o arquivo ... provavelmente o último processo a fazê-lo. Este provavelmente será seu processo malicioso.
  7. Use o Process Explorer para suspender esse processo (o valor PID mostrado pelo Process Monitor também é mostrado pelo Process Explorer)
  8. Tente alterar as permissões / excluir o arquivo novamente
por 22.08.2015 / 03:50
0

Esse é o meu "chown.bat" (pessoas do unix vão rir de mim usando esse nome). Eu juntei tudo de várias soluções ... Cada vez que um não funciona, eu adiciono mais coisas. O material do SetACL que eu só descobri em 2014 ou 2015. Isso nunca falhou comigo: 

    for /r %fn in (*.*)  SetACL -on "%fn" -ot file -actn clear -clr dacl,sacl
    takeown /F * /R /D  Y
    icacls   *.* /T /C /grant YOURUSERACCOUNTNAMEHERE:(D,WDAC)
    icacls    .  /T /C /grant administrators:F System:F everyone:F

O SetACL é um utilitário de terceiros que precisa estar em seu caminho.

    
por 22.01.2016 / 08:24

Tags

Restaurar para o Windows Update Como encontrar a média da primeira diferença em um conjunto de colunas do excel / google docs?