it-swarm-ja.com

ファイルの削除-/ Fを使用してもアクセスが拒否されます

実行可能ファイルを削除しようとしていますが、エラーで失敗します。アクセスが拒否されました/Fを追加しても、del /F system.exeとして強制されます。昇格したコマンドプロンプトを使用しています。

Windowsエクスプローラーでファイルを削除しようとすると、次のようになります。

error message

実行可能ファイルのセキュリティプロパティに入りました。強調表示されているのは、このファイルの削除を妨げている可能性のある奇妙な権限エントリです。

advanced security settings

元々、エントリを削除することはできませんでした。オプションはグレー表示されました。 takeown /F C:\ProgramData\994146\system.exeを実行し、エントリを削除し、完全なアクセス許可を与えるエントリを追加して、ダイアログボックスを閉じました。エラーが解決しませんでした。 [セキュリティの詳細設定]を再度開いたとき、エントリが戻ってきました。

System.exeの親フォルダーである994146は、ProgramDataでは完全に表示されません。 ProgramDataに「隠しファイルを表示する」があります。 Windowsエクスプローラーのアドレスバーに手動でパスを入力する必要がありました。 994146のプロパティを編集する方法もわかりません。ファイル階層で選択できないためです。

2
Erik Humphrey

悪いプロセスを氷上に置く:

  1. 管理者として Process Explorer (Microsoftから)をダウンロードして実行します。
  2. Options> VirusTotal.comメニューで、Check VirusTotal.comを有効にして、ライセンス契約に同意します
  3. 新しい列がVirusTotalというタイトルで0/57のような番号で表示されます。最初の数字は、プロセスが感染していると考えるウイルススキャナーの数を示しています。 2番目の数値は、ファイルをスキャンした数を示します。 0/57はクリーンなプロセスを示し、19/57は19人のスキャナーがプロセスが悪いと考えていることを示します。
  4. 感染のフラグが立てられたプロセスの場合は、右クリックして一時停止(強制終了しないでください)
  5. 疑わしいプロセスがすべて一時停止されたら、一度に1つずつ強制終了します
  6. 新たに感染したプロセスが再出現した場合は、それらを一時停止し、強制終了しないでください
  7. 不要な実行可能ファイルのファイル権限を変更してフルコントロールを回復し、それを削除します
  8. ファイルを削除したら、すぐに移動する必要があります マルウェアを検出するためにコンピューターをスキャンしています

これが機能しない場合は、火を消します。

  1. ダウンロードして実行 プロセスモニター (これもMicrosoftから)管理者として実行
  2. FilterメニューでFilter ...をクリックします
  3. 次のように、ファイルに一致するフィルター条件を作成します。 enter image description here
  4. 追加をクリックし、次に[〜#〜] ok [〜#〜]をクリックします
  5. ファイルの権限を変更する
  6. プロセスモニターの出力を確認します。 Explorer.exeがファイルにアクセスしていることがわかります(それはあなた自身であり、権限を変更しています)。 その他ファイルにアクセスするプロセスを探します...おそらく最後のプロセスです。これはおそらくあなたの悪意のあるプロセスになるでしょう。
  7. Process Explorerを使用して、そのプロセスを一時停止します(ProcessMonitorによって表示されるPID値は、Process Explorerによっても表示されます)
  8. 権限を変更するか、ファイルをもう一度削除してください

これは私の「chown.bat」です(unixの人々はその名前を使って私を笑います)。私はさまざまな解決策からそれをまとめました... 1つが機能しないたびに、私はさらに多くのものを追加します。 2014年または2015年にのみ発見したSetACLのもの。これは私を失敗させたことはありません。

    for /r %fn in (*.*)  SetACL -on "%fn" -ot file -actn clear -clr dacl,sacl
    takeown /F * /R /D  Y
    icacls   *.* /T /C /grant YOURUSERACCOUNTNAMEHERE:(D,WDAC)
    icacls    .  /T /C /grant administrators:F System:F everyone:F

SetACLは、パスに含める必要のあるサードパーティのユーティリティです。

0
ClioCJS