Как удалить WMIC
Подлинный файл является одним из компонентов программного обеспечения Microsoft Windows, разработанного Microsoft .
WMIC — это аббревиатура от Windos Management Instrumentation Command-line-utility
WMIC.exe — это исполняемый файл (программа) для Windows. Расширение имени файла .exe — это аббревиатура от англ. слова executable — исполнимый. Необходимо запускать исполняемые файлы от проверенных производителей программ, потому что исполняемые файлы могут потенциально изменить настройки компьютера или нанести вред вашему компьютеру. Бесплатный форум с информацией о файлах может помочь вам разобраться является ли WMIC.exe вирусом, трояном, программой-шпионом, рекламой, которую вы можете удалить, или файл принадлежит системе Windows или приложению, которому можно доверять.
Вот так, вы сможете исправить ошибки, связанные с WMIC.exe
- Используйте программу Настройщик Windows, чтобы найти причину проблем, в том числе и медленной работы компьютера.
- Обновите программу WMI Commandline Utility. Обновление можно найти на сайте производителя (ссылка приведена ниже).
- В следующих пунктах предоставлено описание работы WMIC.exe.
Информация о файле WMIC.exe
Описание: WMIC.exe важен для Windows. Файл WMIC.exe находится в подпапках C:\Windows\System32. Известны следующие размеры файла для Windows 10/11/7 393,216 байт (50% всех случаев), 395,776 байт или 393,728 байт.
Это системный файл Windows. Это заслуживающий доверия файл от Microsoft. Поэтому технический рейтинг надежности 1% опасности.
Если WMIC.exe находится в подпапках диска C:\, тогда рейтинг надежности 64% опасности. Размер файла 229,888 байт. Это не файл Windows. Процесс начинает работать вместе с Windows (Смотрите ключ реестра: Run ). Нет информации о создателе файла. Приложение не видно пользователям. WMIC.exe способен мониторить приложения.
Если WMIC.exe находится в подпапках C:\Windows, тогда рейтинг надежности 2% опасности. Размер файла 395,776 байт. Это файл Windows. Приложение не видно пользователям. Это файл, подписанный Microsoft.
Важно: Некоторые вредоносные программы маскируют себя как WMIC.exe, особенно, если они расположены в каталоге c:\windows или c:\windows\system32. Таким образом, вы должны проверить файл WMIC.exe на вашем ПК, чтобы убедиться, что это угроза. Мы рекомендуем Security Task Manager для проверки безопасности вашего компьютера.
Комментарий пользователя
Пока нет комментариев пользователей. Почему бы не быть первым, кто добавить небольшой комментарий и одновременно поможет другим пользователям?
Лучшие практики для исправления проблем с WMIC
Аккуратный и опрятный компьютер — это главное требование для избежания проблем с WMIC. Для этого требуется регулярная проверка компьютера на вирусы, очистка жесткого диска, используя cleanmgr и sfc /scannow, удаление программ, которые больше не нужны, проверка программ, которые запускаются при старте Windows (используя msconfig) и активация Автоматическое обновление Windows. Всегда помните о создании периодических бэкапов, или в крайнем случае о создании точек восстановления.
Если у вас актуальные проблемы, попробуйте вспомнить, что вы делали в последнее время, или последнюю программу, которую вы устанавливали перед тем, как появилась впервые проблема. Используйте команду resmon, чтобы определить процесс, который вызывает проблемы. Даже если у вас серьезные проблемы с компьютером, прежде чем переустанавливать Windows, лучше попробуйте восстановить целостность установки ОС или для Windows 8 и более поздних версий Windows выполнить команду DISM.exe /Online /Cleanup-image /Restorehealth. Это позволит восстановить операционную систему без потери данных.
Следующие программы могут вам помочь для анализа процесса WMIC.exe на вашем компьютере: Security Task Manager отображает все запущенные задания Windows, включая встроенные скрытые процессы, такие как мониторинг клавиатуры и браузера или записей автозагрузки. Уникальная оценка рисков безопасности указывает на вероятность процесса быть потенциально опасным — шпионской программой, вирусом или трояном. Malwarebytes Anti-Malware определяет и удаляет бездействующие программы-шпионы, рекламное ПО, трояны, кейлоггеры, вредоносные программы и трекеры с вашего жесткого диска.
WMIC сканер
Security Task Manager показывает все запущенные сервисы Windows, включая внедренные скрытые приложения (например, мониторинг клавиатуры или браузера, авто вход). Уникальный рейтинг надежности указывает на вероятность того, что процесс потенциально может быть вредоносной программой-шпионом, кейлоггером или трояном.
Бесплатный aнтивирус находит и удаляет неактивные программы-шпионы, рекламу, трояны, кейлоггеры, вредоносные и следящие программы с вашего жесткого диска. Идеальное дополнение к Security Task Manager.
Инструмент ремонта ПК бесплатное сканирование, очистка, восстановление и оптимизация вашей системы.
WMIC: служебная программа командной строки WMI
WMIC устарел по состоянию на Windows 10 версии 21H1 и начиная с выпуска 21H1 с полугодовым каналом Windows Server. Эта программа заменена Windows PowerShell для WMI; см . раздел 7. Работа с WMI. Это нерекомендуемое относится только к служебной программе WMIC. Сам инструментарий управления Windows (WMI) не влияет. Кроме того, ознакомьтесь с функциями Windows 10, которые мы больше не разрабатываем.
Служебная программа командной строки WMI (WMIC) предоставляет интерфейс командной строки для инструментария управления Windows (WMI). WMIC совместим с существующими оболочками и командами служебной программы. Ниже приведены общие справочные руководства по WMIC. Дополнительные сведения и рекомендации по использованию WMIC, включая дополнительные сведения о псевдонимах, командах, переключателях и командах, см. в разделе «Использование командной строки инструментирования управления Windows» и WMIC . Управление командной строкой wMI.
Псевдоним
Псевдоним — это понятное переименование класса, свойства или метода, что упрощает использование и чтение WMI. Вы можете определить, какие псевдонимы доступны для WMIC с помощью /? команды. Вы также можете определить псевдонимы для определенного класса с помощью /? команды. Дополнительные сведения см. в разделе псевдонимов WMIC.
Switch
Переключатель — это параметр WMIC, который можно задать глобально или необязательно. Список доступных коммутаторов см. в разделе WMIC.
Команды
Чтобы использовать команды в WMIC, введите имя псевдонима, за которым следует команда. Если псевдоним не поддерживает команду, вы получите сообщение «поставщик не может выполнить попытку операции». Дополнительные сведения см. в статье WMIC.
Большинство псевдонимов поддерживают следующие команды:
ДОЦ
Возвращает результат Associators of () запроса, в котором — путь к объектам, возвращаемым командами PATH или CLASS командами. Результаты — это экземпляры, связанные с объектом. При ASSOC использовании с псевдонимом возвращаются классы с классом, базовым псевдонимом. По умолчанию выходные данные возвращаются в формате HTML.
Команда ASSOC имеет следующие параметры:
Switch | Description |
---|---|
/RESULTCLASS: | Возвращаемые конечные точки, связанные с исходным объектом, должны принадлежать или быть производными от указанного класса. |
/RESULTROLE: | Возвращаемые конечные точки должны играть определенную роль в связи с исходным объектом. |
/ASSOCCLASS: | Возвращаемые конечные точки должны быть связаны с источником через указанный класс или один из производных классов. |
Пример: os assoc
ВЫЗОВ
Пример: service where caption=»telnet» call startservice
Чтобы определить методы, доступные для данного класса, используйте /? . Например, service where caption=»telnet» call /? перечисляет доступные функции для класса службы.
CREATE
Создает новый экземпляр и задает значения свойств. CREATE нельзя использовать для создания нового класса.
Пример: environment create name=»temp»; variablevalue=»new»
DELETE
Удаляет текущий экземпляр или набор экземпляров. DELETE можно использовать для удаления класса.
Пример: process where name=»calc.exe» delete
GET
Извлекает определенные значения свойств.
GET имеет следующие параметры:
Switch | Description |
---|---|
/VALUE | Выходные данные форматируются с каждым значением, указанным в отдельной строке, и именем свойства. |
/ALL | Выходные данные форматируются как таблица. |
/TRANSLATE: | Преобразует выходные данные с помощью таблицы перевода с именем команды. Таблицы перевода BasicXml и NoComma включены в WMIC. |
/EVERY: | Повторяет команду каждые |
/FORMAT: | Задает ключевое слово или имя XSL-файла для форматирования данных. |
Пример: process get name
LIST
Отображает данные. LIST — это команда по умолчанию.
LIST имеет следующие наречия:
Наречие | Description |
---|---|
BRIEF | Основной набор свойств |
FULL | Полный набор свойств. Это метка по умолчанию для LIST |
INSTANCE | Только пути экземпляра |
STATUS | Состояние объектов |
SYSTEM | Свойства системы |
LIST имеет следующие параметры:
Switch | Description |
---|---|
/TRANSLATE: | Перевод выходных данных с помощью таблицы перевода с именем команды. Таблицы перевода BasicXml и NoComma включены в WMIC. |
/EVERY: | Повторяйте команду каждые . |
/FORMAT: | Задает ключевое слово или имя XSL-файла для форматирования данных. |
Пример: process list brief
SET
Присваивает значения свойствам.
Пример: environment set name=»temp» , variablevalue=»new» .
коммутаторы;
Глобальные коммутаторы используются для задания значений по умолчанию для среды WMIC. Текущее значение условий, заданных этими переключателями, можно просмотреть, введя CONTEXT команду.
/ПРОСТРАНСТВА ИМЕН
Пространство имен, которое обычно использует псевдоним. Значение по умолчанию — root\cimv2 .
/ROLE
Пространство имен, которое WMIC обычно ищет псевдонимы и другие сведения WMIC.
/УЗЛА
Имена компьютеров, разделители запятыми. Все команды синхронно выполняются на всех компьютерах, перечисленных в этом значении. Имена файлов должны быть префиксированы с & . Имена компьютеров в файле должны быть разделены запятыми или по отдельным строкам.
/IMPLEVEL
/AUTHLEVEL
Уровень проверки подлинности.
Команда WMIC – выполнить сценарий WMI в командной строке.
Команда WMIC (Windows Management Instrumentation Command) используется для получения сведений об оборудовании и системе, управления процессами и их компонентами, а также изменения настроек с использованием возможностей инструментария управления Windows ( W indows M anagement I nstrumentation или WMI) .
Инструментарий управления Windows (WMI) – это набор программных средств, обеспечивающий управление системой с использованием сценариев, выполняемых в среде Windows Script Host ( ранее — Windows Scripting Host ) или в командной строке с помощью утилиты WMIC.EXE . Windows Script Host или сокращенно WSH — это компонент Microsoft Windows, предназначенный для запуска сценариев на скриптовых языках JScript и VBScript. Сценарии WSH обычно используются в тех случаях, когда требуется выполнить набор каких-либо действий, требующих написания относительно сложного исходного кода, но нередко в повседневной практике администрирования, удобнее воспользоваться возможностями командной строки WMIC .
Технология WMI — это расширенная и адаптированная под Windows реализация стандарта Web-Based Enterprise Management ( WBEM ), принятого многими крупными компаниями в качестве универсального интерфейса мониторинга и управления различными системами и компонентами распределенной информационной среды предприятия с использованием объектно-ориентированных идеологий и протоколов HTML и XML. В основе структуры данных в WBEM лежит Common Information Model (CIM), реализующая объектно-ориентированный подход к представлению компонентов системы. Практически, WMI, основанный на CIM, является открытой унифицированной системой интерфейсов доступа к любым параметрам операционной системы, устройствам и приложениям, которые функционируют в ней.
Программные средства WMI устанавливаются по умолчанию и включают в себя следующие компоненты:
wmimgmt.msc – оснастка консоли MMC, позволяющая в целом управлять самой системой WMI на выбранном компьютере.
Winmgmt.exe – консольная утилита управления WMI. Выполняет аналогичные действия, что и консоль MMC wmimgmt.msc. Кроме того, в Windows 2000 является исполняемым файлом сервиса WMI в системе. Для запуска из консоли используется с опцией /exe (winmgmt.exe /exe). Начиная с Windows XP, исполняемым файлом WMI является библиотека wmisvc.dll , загружаемая с помощью хост-контроллера svchost.exe (Generic Host Process for Win32 Services). В Windows 7-10 утилита winmgmt.exe позволяет выполнить конфигурирование службы WMI как для группы SVChost под именем netsvcs , так и для отдельной группы с именем Winmgmt . В среде Windows 10 группировка служб, запускаемых с помощью svchost.exe , практически не используется – большинству служб соответствует свой собственный процесс svchost.exe.
Wbemtest.exe – графическая утилита для интерактивной работы с WMI. Удобна для тестирования классов и методов, просмотра свойств и т. п.
Wmic.exe – консольная утилита для вызова объектов и методов WMI (WMI Console) – присутствует только в Windows XP и более поздних версиях Windows.
mofcomp.exe – компилятор MOF-файлов. Служит для расширения репозитория WMI и тонких операций с библиотекой классов WMI, а также для обнаружения и исправления ошибок данных репозитория.
Основной каталог данных WMI при стандартной установке Windows — C:\Windows\System32\wbem .
Формат командной строки:
wmic [глобальные параметры]
Если параметры командной строки отсутствуют, то утилита wmic.exe переходит в интерактивный режим, с отображением приглашения к вводу команд:
Подсказку по работе с утилитой wmic.exe можно получить по команде:
wmic /? — отобразить общую справку.
wmic /?:BRIEF — отобразить краткую справку.
wmic /?:FULL — отобразить полную стправку.
Содержание общей справки:
[глобальные параметры] Имеются следующие глобальные параметры: /NAMESPACE Путь к пространству имен, с которым оперирует псевдоним. /ROLE Путь к роли, содержащей определения псевдонимов. /NODE Серверы, с которыми будет работать псевдоним. /IMPLEVEL Уровень олицетворения для клиента /AUTHLEVEL Уровень проверки подлинности для клиента. /LOCALE Код языка, который должен использовать клиент. /PRIVILEGES Включает или выключает все привилегии. /TRACE Выводит отладочные данных в stderr. /RECORD Записывает все вводимые команды и их выходные данные. /INTERACTIVE Устанавливает или переустанавливает интерактивный режим. /FAILFAST Устанавливает или переустанавливает режим FailFast. /USER Имя пользователя для сеанса. /PASSWORD Пароль для входа в сеанс. /OUTPUT Задает режим перенаправления выходных данных. /APPEND Задает режим перенаправления выходных данных. /AGGREGATE Устанавливает или переустанавливает режим совместного вывода. /AUTHORITY Задает для подключения. /?[:< BRIEF|FULL >] Сведения об использовании. Для получения дополнительных сведений о конкретном глобальном параметре введите: < имя_параметра >/? Для текущей роли доступны следующие псевдонимы: ALIAS - Доступ к псевдонимам, доступным на локальном компьютере BASEBOARD - Управление системной платой. BIOS - Управление BIOS. BOOTCONFIG - Управление конфигурацией загрузки. CDROM - Управление устройствами чтения компакт-дисков. COMPUTERSYSTEM - Управление компьютером. CPU - Управление ЦП. CSPRODUCT - Сведения о системе из SMBIOS. DATAFILE - Управление файлами данных. DCOMAPP - Управление приложениями DCOM. DESKTOP - Управление рабочим столом. DESKTOPMONITOR - Управление системой мониторинга рабочего стола. DEVICEMEMORYADDRESS - Управление адресами памяти устройства. DISKDRIVE - Управление физическими дисками. DISKQUOTA - Использование дискового пространства для томов NTFS. DMACHANNEL - Управление каналами прямого доступа к памяти (DMA). ENVIRONMENT - Управление настройками системной среды. FSDIR - Управление оглавлением файловой системы. GROUP - Управление учетными записями групп. IDECONTROLLER - Управление IDE-контроллерами. IRQ - Управление линиями запросов прерывания. JOB - Доступ к заданиям, запланированным с помощью службы расписания. LOADORDER - Управление системными службами, задающими зависимости при выполнении. LOGICALDISK - Управление локальными запоминающими устройствами. LOGON - Сеансы входа в систему. MEMCACHE - Управление кэш-памятью. MEMORYCHIP - Информация о микросхемах памяти. MEMPHYSICAL - Управление физической памятью компьютерной системы. NETCLIENT - Управление сетевыми клиентами. NETLOGIN - Управление данными входа в систему конкретных пользователей. NETPROTOCOL - Управление протоколами (и их сетевыми характеристиками). NETUSE - Управление активными сетевыми соединениями. NIC - Управление адаптерами сетевого интерфейса. NICCONFIG - Управление сетевыми адаптерами. NTDOMAIN - Управление доменами NT. NTEVENT - Записи в журнале событий NT. NTEVENTLOG - Управление файлом журнала событий NT. ONBOARDDEVICE - Управление основными встроенными адаптерами на системной плате. OS - Управление установленными операционными системами. PAGEFILE - Управления файлом подкачки виртуальной памяти. PAGEFILESET - Управление параметрами файла подкачки. PARTITION - Управление областями с разделами физического диска. PORT - Управление портами ввода-вывода. PORTCONNECTOR - Управление физическими портами подключения. PRINTER - Управление печатающими устройствами. PRINTERCONFIG - Управление конфигурацией печатающих устройств. PRINTJOB - Управление заданиями печати. PROCESS - Управление процессами. PRODUCT - Управление задачами пакета установки. QFE - Исправление QFE (Quick Fix Engineering). QUOTASETTING - Настройка данных о дисковых квотах для тома. RDACCOUNT - Управление разрешениями для подключений к удаленному рабочему столу. RDNIC - Управление подключением к удаленному рабочему столу на определенном сетевом адаптере. RDPERMISSIONS - Разрешения для определенного подключения к удаленному рабочему столу. RDTOGGLE - Удаленное включение и отключение прослушивателя для удаленного рабочего стола. RECOVEROS - Данные, которые будут собраны из памяти при сбое операционной системы. REGISTRY - Управление системным реестром компьютера. SCSICONTROLLER - Управление SCSI-контроллерами. SERVER - Управление сведениями о сервере. SERVICE - Управление служебными приложениями. SHADOWCOPY - Управление теневыми копиями. SHADOWSTORAGE - Управление областью хранения теневых копий. SHARE - Управление общими ресурсами. SOFTWAREELEMENT - Управление установленными в системе компонентами программного продукта. SOFTWAREFEATURE - Управление подмножествами программных продуктов SoftwareElement. SOUNDDEV - Управление звуковым устройством. STARTUP - Управление командами, запускающимися автоматически при входе пользователей в систему. SYSACCOUNT - Управление системной учетной записью. SYSDRIVER - Управление системным драйвером базовой службы. SYSTEMENCLOSURE - Управление физическим системным корпусом. SYSTEMSLOT - Управление точками физических соединений, включая порты, гнезда и периферийные устройства, а также специальными точками соединения. TAPEDRIVE - Управление ленточными накопителями. TEMPERATURE - Управление датчиком температуры (электронным термометром). TIMEZONE - Управление данными о часовых поясах. UPS - Управление источниками бесперебойного питания (ИБП). USERACCOUNT - Управление учетными записями пользователей. VOLTAGE - Управление данными датчика напряжения (электронного вольтметра). VOLUME - Управление локальными томами хранилища. VOLUMEQUOTASETTING - Сопоставление дисковых квот конкретному тому. VOLUMEUSERQUOTA - Управление квотами для индивидуальных томов хранилищ. WMISET - Управление параметрами работы службы WMI. Для получения дополнительных сведений о конкретном псевдониме введите: < псевдоним >/? CLASS - переходит к полной схеме WMI. PATH - переходит к полным путям к объектам WMI. CONTEXT - выводит состояние всех глобальных параметров. QUIT/EXIT - выполняет выход из программы. Для получения дополнительных сведений о командах CLASS/PATH/CONTEXT введите: (CLASS | PATH | CONTEXT) /?
Краткая справка по содержанию практически ничем не отличается от справки по умолчанию, за исключением того, что часть текста заменена на многоточие, например:
VOLUMEUSERQUOTA — Управление квотами для индивидуальных томов хран.
Содержимое полной справки, получаемой по команде wmic /?:full :
[глобальные параметры] < команда >Имеются следующие глобальные параметры: NAMESPACE - Путь к пространству имен, по которому будет работать псевдоним. Пространства имен всегда относительны, т.е. если пространство не начинается с \\, то оно отсчитывается относительно текущего. Использование: /NAMESPACE: < пространство_имен >ROLE - Путь к роли, содержащей определения псевдонимов, предназначенных для прикладного сеанса. Использование: /ROLE: < пространство имен >ЗАМЕЧАНИЕ. Роли по сути являются пространствами имен и работать с ними следует соответственно, т.е. правильно указывать относительные пути (по умолчанию используется пространство имен \\root\cli). NODE - задает серверы, с которыми будет работать псевдоним. Использование: /NODE: < список_идентификаторов_компьютеров >ПРИМЕЧАНИЕ. < список_идентификаторов_компьютеров >::= < @имя_файла | ид_комп >| < имя_файла | ид_комп > < ,список_идентификаторов_компьютеров >IMPLEVEL - определяет уровень, на котором командная строка выполняет олицетворение. По умолчанию используется Impersonate. Использование: /IMPLEVEL:< уровень_олицетворения >[/AUTHORITY:< тип_полномочий >] Существуют следующие уровни олицетворения: Impersonation Level ------------------ Anonymous Identify Impersonate Delegate Примечание. Параметр /AUTHORITY используется для указания типа полномочий. AUTHLEVEL - задает уровень, на котором командная строка выполняет проверку подлинности. По умолчанию используется Pktprivacy. Использование: /AUTHLEVEL: < уровень_проверки_подлинности >Существуют следующие уровни проверки подлинности: Authlevel --------- Default None Connect Call Pkt Pktintegrity Pktprivacy LOCALE - задает код языка, который должна использовать командная строка. Использование: /LOCALE: < код_языкового_стандарта >ПРИМЕЧАНИЕ. Параметр LOCALE имеет вид MS_XXX. Значение XXX равно 409 для английского языка и 419 для русского. PRIVILEGES - включает или выключает все привилегии. Использование: /PRIVILEGES: < параметр >ПРИМЕЧАНИЕ. Разрешенными значениями параметра являются ENABLE и DISABLE. TRACE - Выбор режима копирования отладочных данных в поток stderr в ходе обработки запросов. Использование: /TRACE: < параметр >ПРИМЕЧАНИЕ. Разрешенными значениями параметра являются ON и OFF. RECORD -- записывает все введенные команды и вывод WMIC в XML-файл. Использование: /RECORD: < путь к файлу >INTERACTIVE - устанавливает или переустанавливает интерактивный режим. Использование: /INTERACTIVE: < параметр >ПРИМЕЧАНИЕ. Разрешенными значениями параметра являются ON и OFF. FAILFAST - Устанавливает или переустанавливает режим FailFast. Использование: /FAILFAST: < параметр >ПРИМЕЧАНИЕ. Разрешенными значениями параметра являются ON и OFF. OUTPUT - задает режим перенаправления выходных данных. Использование: /OUTPUT: < спецификация вывода >ПРИМЕЧАНИЕ. < тип_вывода >::= (STDOUT | CLIPBOARD | < имя_файла >) STDOUT - выходные данные перенаправляются в поток STDOUT. CLIPBOARD - выходные данные копируются в буфер обмена. < имя_файла >- выходные данные записываются в указанный файл. APPEND - задает режим перенаправления выходных данных. Использование: /APPEND: < спецификация вывода >ПРИМЕЧАНИЕ. < тип_вывода >::= (STDOUT | CLIPBOARD | < имя_файла >) STDOUT - выходные данные перенаправляются в поток STDOUT. CLIPBOARD - выходные данные копируются в буфер обмена. < имя_файла >- выходные данные добавляются в указанный файл. USER - задает имя пользователя для сеанса. Использование: /USER: < userid >ПРИМЕЧАНИЕ. Имя указывается в формате < домен >\< пользователь >. AGGREGATE - задает режим вывода результатов. Использование: /AGGREGATE:. Примечание. Разрешенными значениями параметра являются ON и OFF. PASSWORD --задает пароль для входа в сеанс. Использование: /PASSWORD: < пароль >AUTHORITY - задает < тип_полномочий >для подключения. Использование: /AUTHORITY: < тип_полномочий >/? - выводит описание и синтаксис справочных команд. Использование: /?:[< тип справки >] ПРИМЕЧАНИЕ. Разрешенными значениями для вида справки являются BRIEF (краткая) и FULL (полная). ПРИМЕЧАНИЕ. Если значение параметра содержит специальные символы, например '-' или '/', его следует заключить в двойные кавычки. Для текущей роли доступны следующие псевдонимы: ALIAS - Доступ к псевдонимам, доступным на локальном компьютере BASEBOARD - Управление системной платой. BIOS - Управление BIOS. BOOTCONFIG - Управление конфигурацией загрузки. CDROM - Управление устройствами чтения компакт-дисков. COMPUTERSYSTEM - Управление компьютером. CPU - Управление ЦП. CSPRODUCT - Сведения о системе из SMBIOS. DATAFILE - Управление файлами данных. DCOMAPP - Управление приложениями DCOM. DESKTOP - Управление рабочим столом. DESKTOPMONITOR - Управление системой мониторинга рабочего стола. DEVICEMEMORYADDRESS - Управление адресами памяти устройства. DISKDRIVE - Управление физическими дисками. DISKQUOTA - Использование дискового пространства для томов NTFS. DMACHANNEL - Управление каналами прямого доступа к памяти (DMA). ENVIRONMENT - Управление настройками системной среды. FSDIR - Управление оглавлением файловой системы. GROUP - Управление учетными записями групп. IDECONTROLLER - Управление IDE-контроллерами. IRQ - Управление линиями запросов прерывания. JOB - Доступ к заданиям, запланированным с помощью службы расписания. LOADORDER - Управление системными службами, задающими зависимости при выполнении. LOGICALDISK - Управление локальными запоминающими устройствами. LOGON - Сеансы входа в систему. MEMCACHE - Управление кэш-памятью. MEMORYCHIP - Информация о микросхемах памяти. MEMPHYSICAL - Управление физической памятью компьютерной системы. NETCLIENT - Управление сетевыми клиентами. NETLOGIN - Управление данными входа в систему конкретных пользователей. NETPROTOCOL - Управление протоколами (и их сетевыми характеристиками). NETUSE - Управление активными сетевыми соединениями. NIC - Управление адаптерами сетевого интерфейса. NICCONFIG - Управление сетевыми адаптерами. NTDOMAIN - Управление доменами NT. NTEVENT - Записи в журнале событий NT. NTEVENTLOG - Управление файлом журнала событий NT. ONBOARDDEVICE - Управление основными встроенными адаптерами на системной плате. OS - Управление установленными операционными системами. PAGEFILE - Управления файлом подкачки виртуальной памяти. PAGEFILESET - Управление параметрами файла подкачки. PARTITION - Управление областями с разделами физического диска. PORT - Управление портами ввода-вывода. PORTCONNECTOR - Управление физическими портами подключения. PRINTER - Управление печатающими устройствами. PRINTERCONFIG - Управление конфигурацией печатающих устройств. PRINTJOB - Управление заданиями печати. PROCESS - Управление процессами. PRODUCT - Управление задачами пакета установки. QFE - Исправление QFE Quick Fix Engineering. QUOTASETTING - Настройка данных о дисковых квотах для тома. RDACCOUNT - Управление разрешениями для подключений к удаленному рабочему столу. RDNIC - Управление подключением к удаленному рабочему столу на определенном сетевом адаптере. RDPERMISSIONS - Разрешения для определенного подключения к удаленному рабочему столу. RDTOGGLE - Удаленное включение и отключение прослушивателя для удаленного рабочего стола. RECOVEROS - Данные, которые будут собраны из памяти при сбое операционной системы. REGISTRY - Управление системным реестром компьютера. SCSICONTROLLER - Управление SCSI-контроллерами. SERVER - Управление сведениями о сервере. SERVICE - Управление служебными приложениями. SHADOWCOPY - Управление теневыми копиями. SHADOWSTORAGE - Управление областью хранения теневых копий. SHARE - Управление общими ресурсами. SOFTWAREELEMENT - Управление установленными в системе компонентами программного продукта. SOFTWAREFEATURE - Управление подмножествами программных продуктов SoftwareElement. SOUNDDEV - Управление звуковым устройством. STARTUP - Управление командами, запускающимися автоматически при входе пользователей в систему. SYSACCOUNT - Управление системной учетной записью. SYSDRIVER - Управление системным драйвером базовой службы. SYSTEMENCLOSURE - Управление физическим системным корпусом. SYSTEMSLOT - Управление точками физических соединений, включая порты, гнезда и периферийные устройства, а также специальными точками соединения. TAPEDRIVE - Управление ленточными накопителями. TEMPERATURE - Управление датчиком температуры (электронным термометром). TIMEZONE - Управление данными о часовых поясах. UPS - Управление источниками бесперебойного питания (ИБП). USERACCOUNT - Управление учетными записями пользователей. VOLTAGE - Управление данными датчика напряжения (электронного вольтметра). VOLUME - Управление локальными томами хранилища. VOLUMEQUOTASETTING - Сопоставление дисковых квот конкретному тому. VOLUMEUSERQUOTA - Управление квотами для индивидуальных томов хранилищ. WMISET - Управление параметрами работы службы WMI. Для получения дополнительных сведений о конкретном псевдониме введите: < псевдоним >/? CLASS - переходит к полной схеме WMI. PATH - переходит к полным путям к объектам WMI. CONTEXT - выводит состояние всех глобальных параметров. QUIT/EXIT - выполняет выход из программы. Для получения дополнительных сведений о командах CLASS/PATH/CONTEXT введите: (CLASS | PATH | CONTEXT) /?
Класс (Class) – Класс – это определение объекта WMI. Например, класс процесс (process) определяет все характеристики любого процесса, но не ссылается на какой-либо конкретный процесс.
Объект (Object) – Иногда называется экземпляром класса (instance); Это конкретный набор данных WMI, определенное проявление класса.
Действие (Action) – Также называется методом (method). Действие – это доступная для выполнения функция класса или объекта WMI, некоторая операция, которую мы можете заставить выполнить класс или объект. Например, завершение процесса объектом Process с использованием метода delete, как это рассматривается ниже.
Свойства — параметры объекта.
Путь объекта — путь WMI для использования при обращении к экземпляру или классу.
Псевдоним — определение классов WMI, применяемое в WMIC. Псевдонимы упрощают обращение к классам и свойствам. Они также предоставляют действия, облегчающие работу с классами. Псевдонимы могут включать средства для работы с классами на удаленном компьютере, а также на нескольких компьютерах.
Утилита WMIC создана для удобства применения WMI непосредственно из командной строки, поэтому наиболее используемые классы WMI доступны под заранее определенными псевдонимами (ALIAS). Также, имеется возможность самостоятельного определения псевдонимов для тех классов, для которых это еще не сделано, или добавить новые псевдонимы для тех классов WMI, которые уже их имеют.
Утилита WMIC предоставляет три основных параметра для управления отображением данных:
/OUTPUT – вывод во внешний файл.
/FORMAT – позволяет форматировать информацию.
/TRANSLATE – настройка вывода специальных символов.
Кроме вывода в файл, возможен вывод в буфер обмена, если задан параметр /OUTPUT:CLIPBOARD . В качестве дополнительного средства протоколирования вместо параметра /OUTPUT можно использовать параметр /RECORD: . Для отмены протоколирования в интерактивном режиме используется параметр /RECORD:””
Форматы выводимых данных:
CSV – вывод данных в одну строку, с разделителем в виде запятой.
HFORM – информация отображается в виде списка, оформленного в HTML-формате. Отображается две колонки — название объекта и его значение.
HTABLE – формат вывода данных в виде HTML таблицы.
LIST – вывод свойства и его значения происходит в отдельной строке.
MOF – собственно, информация преобразуется в формат MOF.
RAWXML – вывод данных в XML файл.
TABLE – табличный формат вывода данных.
VALUE – аналогично значению LIST.
XML – вывода данных в XML файл, но с дополнительной информацией.
Параметр /TRANSLATE используется совместно с оператором GET в тех случаях, когда есть необходимость вывода символов, стандартно используемых для форматирования текста или разделения полей. В среде WMIC поддерживаются таблицы BasicXml и NoComma
Необходимо учитывать тот факт, что формат вывода данных и их вид будет зависеть от порядка следования параметров /TRANSLATE и /FORMAT:
— Если /TRANSLATE следует раньше чем /FORMAT, то сначала выполняется преобразование, а затем форматирование выводимых данных.
— Если /FORMAT идет раньше /TRANSLATE, то сначала выполняется форматирование, а затем – преобразование.
Примеры использования WMIC для работы с процессами.
Список псевдонимов, доступный на локальном компьютере можно получить с помощью команды:
wmic alias list brief
Для класса Win32_Process предусмотрен псевдоним Process . Соответственно, для получения подсказки можно воспользоваться командой:
Отображаемая справка для Windows 10:
PROCESS - Управление процессами. СОВЕТ. BNF при работе с псевдонимом. ( < псевдоним >[объект WMI] | < псевдоним >[< путь_WHERE >] | [< псевдоним >] < путь_WHERE >) [< предложение_команды >]. Использование: PROCESS ASSOC [< указатель_формата >] PROCESS CALL < имя_метода >[< список_фактических_параметров >] PROCESS CREATE < список_значений >PROCESS DELETE PROCESS GET [< список_свойств >] [< параметры_GET >] PROCESS LIST [< формат_LIST >] [< параметры_LIST >]
Для получения списка процессов используется параметр LIST . Для получения подсказки по форматам и параметрам LIST можно использовать команду:
wmic process list /?
Для получения списка процессов, отображаемого в кратком формате, используется команда:
wmic process list brief
Пример выводимой информации:
HandleCount Name Priority ProcessId ThreadCount WorkingSetSize 0 System Idle Process 0 0 4 4096 1067 System 8 4 124 10711040 49 smss.exe 11 344 2 1163264 232 csrss.exe 13 456 10 3756032 85 wininit.exe 13 524 2 4734976 198 winlogon.exe 13 580 3 9420800 235 services.exe 9 648 6 6590464 976 lsass.exe 9 656 7 14516224 547 svchost.exe 8 764 22 17735680 520 svchost.exe 8 824 9 9007104 . .
Для вывода сведений о процессах в html-файл:
wmic /output:c:\proclist.htm process list /format:htable
Параметр /output задает имя файла с результатами, а параметр /format — формат выводимых данных.
wmic /output:proclist1.htm process list /format:hform — вывод результатов в HTML-файл в виде списка процессов с двумя колонками из названия свойства и его значения.
Для получения списка процессов на удаленной системе используется команда:
wmic /user:»Admin» /password:»admpass» /node:»Comp0″ process list brief
В команде указываются имя пользователя и пароль для подключения к удаленной системе указанной параметром /node: . Если имя пользователя и пароль не заданы, то используется учетная запись текущего пользователя. Вместо имени компьютера можно задавать его IP-адрес:
wmic /node:”192.168.1.132” process list brief
Если имена компьютеров содержат специальные символы, то они должны заключаться в двойные кавычки:
wmic /node:”server-01” process list brief
Возможно указание списка имен или IP-адресов удаленных компьютеров:
wmic /node:”server-01”,”192.168.0.1” process list brief
Параметр /node может включать либо список компьютеров, либо имя текстового файла со списком. Файл должен содержать имена компьютеров, разделенные запятой, или набор строк с именами по одному в строке. При использовании списка удаленных компьютеров из файла, перед его именем в параметре /node должен присутствовать символ @ :
wmic /node:”@C:\comps.txt” process list brief
При обработке списка компьютеров, взятого из текстового файла, какие-либо из перечисленных компьютеров могут быть выключены, поэтому, для сокращения времени выполнения команды, желательно использовать параметр /FAIFAST:ON , который позволит исключить применение команды по отношению к узлам, не отвечающим на эхо-запрос (не отвечающим на ping):
wmic /failfast:on /node:”@C:\comps.txt” process list status
Для опроса состояния конкретного процесса, например браузера Chrome можно использовать команду:
wmic process where name=”chrome.exe” list status
Для принудительного завершения процесса используется команда:
wmic process where name=”chrome.exe” delete
wmic process where name=”chrome.exe” call terminate
Для запуска программы на локальном компьютере:
wmic process call create «C:\Program Files (x86)\Google\Chrome\Application\chrome.exe» Для запуска программ на удаленных компьютерах используется параметр /node , рассмотренный выше и полные пути исполняемых файлов относительно удаленной системы.
Примеры использования WMIC для получения сведений о компонентах системы.
WMIC OS LIST BRIEF — отобразить краткие сведения о системе.
wmic OS GET Name — отобразить версию ОС Windows и устройство загрузки.
WMIC OS GET csname,bootdevice,localdatetime — отобразить имя компьютера, устройство загрузки, локальные дату и время.
WMIC OS GET locale, oslanguage, codeset — отобразить данные локализации Windows
WMIC OS GET osarchitecture /value — отобразить архитектуру системы (разрядность Windows, например — значение OSArchitecture=64-bit для 64-разрядной системы)
WMIC QFE list brief — отобразить список обновлений Quick Fix Engineering (QFE) Windows.
wmic qfe list brief | find “311” — отобразить список обновлений Windows, в названии которых присутствует 311 .
WMIC QFE get hotfixid,description,installedOn — отобразить список обновлений Windows, включающий название, краткое описание и дату установки.
WMIC DISKDRIVE get name,size,model — отобразить список физических дисков, содержащих название модели, имя в системе и размер.
WMIC PARTITION list brief — отобразить список всех разделов на всех дисках.
WMIC LOGICALDISK list brief — отобразить список логических дисков.
WMIC LOGICALDISK where drivetype=4 get FreeSpace,ProviderName — отобразить свободное место и путь для сетевых дисков (drivetype=4)
WMIC LOGICALDISK where drivetype!=4 get freespace, description — отобразить свободное место и описание для локальных дисков, включая CD/DVD и съемные устройства хранения данных.
WMIC LOGICALDISK where description=’Local Fixed Disk’ get deviceid, volumename — отобразить идентификаторы (буквы дисков) и метки томов для всех локальных логических дисков.
WMIC SERVICE list brief | more — отобразить список системных служб в постраничном режиме.
WMIC SERVICE where state=”running” GET caption,name,state /format:list — отобразить список, включающий отображаемые имена, короткие имена и статус работающих системных служб.
WMIC SERVICE where state=”Stopped” GET caption,name,state /format:list — отобразить список, включающий отображаемые имена, короткие имена и статус остановленных системных служб.
WMIC SERVICE where name=’WinRM’ CALL STARTSERVICE — запустить службу удаленного управления Windows (WinRM)
WMIC SERVICE where name=’WinRM’ GET name,state — проверить состояние службы WinRM.
WMIC PRINTER LIST STATUS — отобразить список принтеров и их состояние.
WMIC BASEBOARD list brief — отобразить общую информацию о материнской плате компьютера.
wmic bios get Manufacturer — отобразить сведения о производителе BIOS.
wmic bios get smbiosbiosversion — отобразить версию BIOS.
wmic bios get Description — отобразить описание производителя BIOS.
WMIC MEMORYCHIP list brief — отобразить сведения о модулях памяти компьютера.
WMIC MEMORYCHIP GET Devicelocator,Capacity — отобразить сведения о размещении и емкости модулей памяти DIMM.
Пример командного файла, который отображает основные сведения об оборудовании и операционной системе компьютера:
ECHO +++ %date +++ %TIME% +++
ECHO Имя компьютера:
wmic os get csname
ECHO Материнская плата:
wmic baseboard get Product
wmic bios get manufacturer,Description
wmic CPU get name
ECHO Модули памяти:
WMIC MEMORYCHIP GET Devicelocator,Capacity
WMIC DISKDRIVE get name,size,model
wmic os get Caption,BuildNumber
ECHO Логические диски:
WMIC LOGICALDISK get caption,Freespace,Size
ECHO Установленные программы в алфавитном порядке:
wmic product get name,version | Sort
wmic.exe Как избавиться от этого назойливого окна.
C\Windows\System32\Wbem\wmic.exe — окно вот с такой надписью начало выскакивать время от времени на ноутбуке знакомого.Окно вылезает на 1-2 секунды и примерно через каждые 8-12 минут. Сегодня рассмотрим что такое wmic.exe и как от него избавиться.
wmic.exe
WMIC.exe (Windows Management Instrumentation Command) — консольная утилита для управления WMI. WMI — набор инструментов, для управления системой с помощью сценариев, выполняемых в среде Windows Script Host или в командной строке. Другими словами это системная утилита встроенная в Windows по умолчанию. Сама по себе она не является какой то вредоносной программой. Но, то что она периодически сама собой запускается указывает на то, что было вмешательство в систему, то есть возможно это сработал вирус.
Со слов знакомого, все началось после установки в систему пиратской версии одного из продуктов Adobe. После этого не остается сомнений в том, что в систему попала какая то вредоносная программа и она выполнила изменения каких то настроек в ней.
Я в первую очередь стал искать в интернете упоминания про такие случаи. И ниже, я постарался собрать всю имеющуюся информацию в одном посте. Что удалось выявить различным пользователям при наблюдении за поведением данного вируса?
Судя по всему вирус устанавливается сразу в нескольких местах. В AppData\Local создаются случайные папки с бинарной информацией закодированной в base64 (скрипты mrJWF или PEmpA либо с подобными названиями). Также сюда устанавливается python. Кроме того регистрируются случайные службы, которые регулярно запускаются. В Google Chrome наверху появляется плашка «Ваш браузер управляется организацией» (но это не обязательно должно быть связано с вирусом), которая говорит о том, что некоторые настройки браузера выполнены посредством изменений в системном реестре. Также браузер начинает работать через непонятный прокси сервер.
Если вы тоже столкнулись с чем то подобным, то рекомендую проделать следующие «процедуры».
Постоянно вылазит окно «C\Windows\System32\Wbem\wmic.exe»
- Нажмите комбинацию клавиш WIN+Q на клавиатуре. В поле поиска введите «планировщик» и запустите Планировщик заданий windows. Перейдите в секцию Библиотека планировщика и поищите строку с названием System config updates. Выделите её и в нижнем окне перейдите на вкладку Действия. Потом посмотрите в столбце Подробности что и с какой директории запускает это задание. Если увидите, что запускается что то типа Users\ваш юзер\AppData\Local\config\python\pythonw.exe то смело отключайте это задание.
Также в диспетчере задач может появиться одноимённый процесс либо процесс с названием python.exe, который нужно остановить. - Рекомендую проверить систему лечащей утилитой Dr.Web Curelt , а также программой AdwCleaner, которая удаляет нежелательное ПО.
- Удалите из автозагрузки (диспетчер задач ⇒ вкладка Автозагрузка) все подозрительные, неизвестные строки.
- Восстановите системные файлы с помощью sfc /scannow
Итоги:
Устанавливая в систему пиратские версии программ, вы всегда рискуете подхватить какой нибудь вирус. Поэтому, нужно быть очень осторожным с этим. Что касается wmic.exe, то один из вариантов решения, описанного выше должен вам помочь. В моем случае помогло удаление Задания из планировщика.
Статью постараюсь обновлять, если будут появляться новые варианты решения. Поэтому прошу писать в комментариях, как вы чистили систему от этого зловреда.
Если вам понравилась эта статья, то пожалуйста, оцените её и поделитесь ею со своими друзьями на своей странице в социальной сети.