sysinternalsの自動実行を使用して、「VMI」タブに疑わしい行を見つけました。
WMI データベース エントリ フォルダーに Powerlog 項目があります。
右クリックして、「エントリにジャンプ」を選択しました。
これにより、notepad.exe が開き、スクリプトの内容が表示されました。残念ながら、非常に非常に悪いコードが含まれていることがわかりました。
Autoruns ユーティリティ内からエントリを削除するだけでよいことはわかっています。
しかし、ここで質問したいことがあります。 - WMI データベース エントリとは何ですか? - それらはディスクやレジストリなどのどこにありますか?
答え1
Wikipediaよりhttps://en.wikipedia.org/wiki/Windows_Management_Instrumentation
「Windows Management Instrumentation (WMI) は、Windows ドライバー モデルの拡張機能のセットで構成され、インストルメントされたコンポーネントが情報と通知を提供するためのオペレーティング システム インターフェイスを提供します。WMI は、分散管理タスク フォース (DMTF) の Web ベース エンタープライズ管理 (WBEM) および共通情報モデル (CIM) 標準の Microsoft による実装です。WMI を使用すると、スクリプト言語 (VBScript や Windows PowerShell など) を使用して、Microsoft Windows パーソナル コンピュータとサーバーをローカルとリモートの両方で管理できます。WMI は、Windows 2000 およびそれ以降の Microsoft OS にプレインストールされています。Windows NT、Windows 95、および Windows 98 用のダウンロードとして入手できます。Microsoft は、Windows Management Instrumentation コマンド ライン (WMIC) と呼ばれる WMI へのコマンド ライン インターフェイスも提供しています。
WMIによって収集された情報は、リポジトリと呼ばれるシステムファイルのコレクションに保存されます。デフォルトでは、リポジトリファイルは次の場所に保存されます。%SystemRoot%\System32\Wbem\リポジトリリポジトリは、WMI とヘルプおよびサポート サービスのフレームワークの中核です。情報は、ステージング ファイルを使用してリポジトリ内を移動します。リポジトリ データまたはステージング ファイルが破損すると、WMI が正しく機能しなくなる可能性があります。この状態は通常は一時的なものですが、前述のようにリポジトリ ファイルを手動でバックアップすることで、この状態から保護できます。"
以下の記事のデータは古いものですが、WBEMテスト私にとって、WMI を参照および更新するための最適なユーティリティです。
https://msdn.microsoft.com/en-us/library/ff647965.aspx
WMIに関するQ&A:https://technet.microsoft.com/ja-jp/library/ee692772.aspx