文件删除 - 即使使用 /F 访问也被拒绝

Question

我正在尝试删除一个可执行文件，但它失败并显示错误Access is denied甚至将/F其添加为del /F system.exe. 我正在使用提升的命令提示符。

尝试通过 Windows 资源管理器删除文件会产生以下结果：

我进入了可执行文件的安全属性。突出显示的是奇怪的权限条目，它们可能会阻止我删除此文件：

本来，它不让我删除条目；该选项呈灰色。我执行了takeown /F C:\ProgramData\994146\system.exe，删除了条目，添加了给我完全权限的条目，然后关闭了对话框。错误仍然存​​在。当我重新打开高级安全设置时，条目又回来了。

system.exe 的父文件夹 994146 在 ProgramData 中完全不可见。我在 ProgramData 上有“显示隐藏文件”。我不得不在 Windows 资源管理器的地址栏中手动输入路径。我也不知道如何编辑 994146 的属性，因为我无法在文件层次结构中选择它。

Answer 1

把坏进程放在冰上：

1. 下载并运行 以管理员身份Process Explorer（来自 Microsoft）
2. 在选项> VirusTotal.com菜单中启用检查 VirusTotal.com并接受许可协议
3. 将出现一个标题为VirusTotal 的新列，其数字类似于0/57。第一个数字表示有多少病毒扫描程序认为该进程已被感染。第二个数字表示扫描文件的数量。 0/57表示过程干净，同时19/57表示 19 位扫描仪认为过程不好。
4. 对于标记为受感染的任何进程，右键单击并 挂起（不要杀死）
5. 一旦所有可疑进程都被挂起，一次杀死它们
6. 如果任何新的受感染进程重新出现，请暂停它们并且不要杀死它们
7. 更改不需要的可执行文件的文件权限以重新获得完全控制权，然后将其删除
8. 删除文件后，您需要立即开始扫描计算机以查找恶意软件

如果这不起作用，则灭火：

1. 下载并运行Process Monitor（也来自 Microsoft）并以管理员身份运行
2. 在过滤器菜单上单击过滤器...
3. 创建过滤条件以匹配您的文件，如下所示：
4. 单击添加然后确定
5. 更改文件的权限
6. 查看进程监视器的输出。你会看到explorer.exe访问文件（就是你，改变权限）。寻找任何其他接触该文件的进程......很可能是最后一个这样做的进程。这很可能是您的恶意进程。
7. 使用 Process Explorer 挂起该进程（PIDProcess Monitor 显示的值也由 Process Explorer 显示）
8. 再次尝试更改权限/删除文件

Answer 2

只需运行这些命令：

takeown /F * /R /D Y
icacls . /T /C /grant administrators:F System:F everyone:F
del * /s /q

Answer 3

就我而言，这个特定问题的解决方案是运行卡巴斯基的TDSSKiller；它可能是一个特洛伊木马。不幸的是，我不确定 TDSSKiller 具体做了什么来删除受影响的文件。