C\Windows\System32\Wbem\wmic.exe - окно вот с такой надписью начало выскакивать время от времени на ноутбуке знакомого.Окно вылезает на 1-2 секунды и примерно через каждые 8-12 минут. Сегодня рассмотрим что такое wmic.exe и как от него избавиться.
wmic.exe
WMIC.exe (Windows Management Instrumentation Command) - консольная утилита для управления WMI. WMI - набор инструментов, для управления системой с помощью сценариев, выполняемых в среде Windows Script Host или в командной строке. Другими словами это системная утилита встроенная в Windows по умолчанию. Сама по себе она не является какой то вредоносной программой. Но, то что она периодически сама собой запускается указывает на то, что было вмешательство в систему, то есть возможно это сработал вирус.
Со слов знакомого, все началось после установки в систему пиратской версии одного из продуктов Adobe. После этого не остается сомнений в том, что в систему попала какая то вредоносная программа и она выполнила изменения каких то настроек в ней.
Я в первую очередь стал искать в интернете упоминания про такие случаи. И ниже, я постарался собрать всю имеющуюся информацию в одном посте. Что удалось выявить различным пользователям при наблюдении за поведением данного вируса?
Судя по всему вирус устанавливается сразу в нескольких местах. В AppData\Local создаются случайные папки с бинарной информацией закодированной в base64 (скрипты mrJWF или PEmpA либо с подобными названиями). Также сюда устанавливается python. Кроме того регистрируются случайные службы, которые регулярно запускаются. В Google Chrome наверху появляется плашка "Ваш браузер управляется организацией" (но это не обязательно должно быть связано с вирусом), которая говорит о том, что некоторые настройки браузера выполнены посредством изменений в системном реестре. Также браузер начинает работать через непонятный прокси сервер.
Если вы тоже столкнулись с чем то подобным, то рекомендую проделать следующие "процедуры".
Постоянно вылазит окно "C\Windows\System32\Wbem\wmic.exe"
- Нажмите комбинацию клавиш
WIN+Q на клавиатуре. В поле поиска введите "планировщик" и запустите Планировщик заданий windows. Перейдите в секцию Библиотека планировщика и поищите строку с названием System config updates. Выделите её и в нижнем окне перейдите на вкладку Действия. Потом посмотрите в столбце Подробности что и с какой директории запускает это задание. Если увидите, что запускается что то типа Users\ваш юзер\AppData\Local\config\python\pythonw.exe то смело отключайте это задание.
Также в диспетчере задач может появиться одноимённый процесс либо процесс с названием python.exe, который нужно остановить. - Рекомендую проверить систему лечащей утилитой Dr.Web Curelt, а также программой AdwCleaner, которая удаляет нежелательное ПО.
- Удалите из автозагрузки (диспетчер задач ⇒ вкладка Автозагрузка) все подозрительные, неизвестные строки.
- Восстановите системные файлы с помощью sfc /scannow
Итоги:
Устанавливая в систему пиратские версии программ, вы всегда рискуете подхватить какой нибудь вирус. Поэтому, нужно быть очень осторожным с этим. Что касается wmic.exe, то один из вариантов решения, описанного выше должен вам помочь. В моем случае помогло удаление Задания из планировщика.
Статью постараюсь обновлять, если будут появляться новые варианты решения. Поэтому прошу писать в комментариях, как вы чистили систему от этого зловреда.