Wmiprvse exe что это
Перейти к содержимому

Wmiprvse exe что это

  • автор:

Как удалить WmiPrvSE

Подлинный файл является одним из компонентов программного обеспечения Microsoft Windows Management Instrumentation, разработанного Microsoft Corporation .

WMIPrvSe — это аббревиатура от Windows Management Instrumentation Provider Host Service

WmiPrvSE.exe — это исполняемый файл (программа) для Windows. Расширение имени файла .exe — это аббревиатура от англ. слова executable — исполнимый. Необходимо запускать исполняемые файлы от проверенных производителей программ, потому что исполняемые файлы могут потенциально изменить настройки компьютера или нанести вред вашему компьютеру. Бесплатный форум с информацией о файлах может помочь вам разобраться является ли WmiPrvSE.exe вирусом, трояном, программой-шпионом, рекламой, которую вы можете удалить, или файл принадлежит системе Windows или приложению, которому можно доверять.

Вот так, вы сможете исправить ошибки, связанные с WmiPrvSE.exe

  1. Используйте программу Настройщик Windows, чтобы найти причину проблем, в том числе и медленной работы компьютера.
  2. Обновите программу WMI Provider Host. Обновление можно найти на сайте производителя (ссылка приведена ниже).
  3. В следующих пунктах предоставлено описание работы WmiPrvSE.exe.

Информация о файле WmiPrvSE.exe

Описание: Программа Windows Management Instrumentation Provider Service является хост-процессом сервисов Windows WMI. WMI предоставляет информацию управления и контроля в корпоративной среде, позволяя системным администраторам запрашивать и изменять информацию на рабочем столе, в приложениях и в сетевых компонентах. Эта служба запускается автоматически, когда требуется и не должна отключаться.

Подробный анализ: WmiPrvSE.exe часто вызывает проблемы и необходим для Windows. WmiPrvSE.exe находится в подпапках C:\Windows\System32. Известны следующие размеры файла для Windows 10/11/7 257,536 байт (35% всех случаев), 227,840 байт и еще 34 варианта .
Это системный процесс Windows. У процесса нет видимого окна. Это заслуживающий доверия файл от Microsoft. Поэтому технический рейтинг надежности 4% опасности.

Вирусы с тем же именем файла

Является ли WmiPrvSE.exe вирусом? Нет, это не вирус. Настоящий файл WmiPrvSE.exe — это безопасный системный процесс Microsoft Windows, который называется «WMI Provider Host». Тем не менее, авторы зловредных программ, таких как вирусы, черви, и трояны намеренно называют процессы таким же именем, чтобы избежать обнаружения. Вирусы с тем же именем файлов: например, Trojan.Win32.CoinMiner.pej или Virus.Win32.Virut.ce (определяется антивирусом Kaspersky), и Virus:Win32/Virut.BO или Trojan:Win32/CoinMiner (определяется антивирусом Microsoft).
Чтобы убедиться, что работающий WmiPrvSE.exe на вашем компьютере — это не вредоносный процесс, нажмите здесь, чтобы запустить Проверку на вирусы.

Как распознать подозрительные процессы?

  • Если WmiPrvSE.exe находится в подпапках C:\Windows, тогда рейтинг надежности 8% опасности. Размер файла 257,536 байт (31% всех случаев), 418,304 байт и еще 20 варианта . Приложение не видно пользователям. Это заслуживающий доверия файл от Microsoft.
  • Если WmiPrvSE.exe находится в подпапках «C:\Users\USERNAME», тогда рейтинг надежности 68% опасности. Размер файла 580,608 байт (66% всех случаев) или 10,620,176 байт. Это не системный файл Windows. Процесс начинает работать вместе с Windows (Смотрите ключ реестра: Run , TaskScheduler ). У процесса нет видимого окна. WmiPrvSE.exe способен мониторить приложения и записывать ввод данных.

Важно: Некоторые вредоносные программы маскируют себя как WmiPrvSE.exe, особенно, если они расположены в каталоге c:\windows или c:\windows\system32. Таким образом, вы должны проверить файл WmiPrvSE.exe на вашем ПК, чтобы убедиться, что это угроза. Мы рекомендуем Security Task Manager для проверки безопасности вашего компьютера.

Комментарий пользователя

сразу лезет в нет svchost.exe гребёт все ресурсы проца а ещё появилась служба инвентарь фиг отключишь
Defo
Постоянно дергает флоповод
AlexGSG
На сколько мне известно wmiprvse.exe лежит в катлоге %win_dir%\system32\wbem\wmiprvse.exe. Это Windows Management Instrumentation (WMI) — компонент Windows, необходимый для её правильной работы. Отвечает за информацию и контроль оборудования.
Serg
инструментарий управления Windows Process name: Windows Management Instrumentation Product: Windows Company: Microsoft File: wmiprvse.exe Security Rating: Windows® Management Instrumentation (WMI) is a component of the Microsoft® Windows® operating system that provides management information and control in an enterprise environment. By using industry standards, managers can use WMI to query and set information on desktop systems, applications, networks, and other enterprise components. Developers can use WMI to create event monitoring applications that alert users when important incidents occur. In earlier versions of Windows, providers were loaded in-process with the Windows Management service (WinMgmt.exe), running under the LocalSystem security account. Failure of a provider caused the entire WMI service to fail. The next request to WMI restarted the service. Beginning with Windows XP, WMI resides in a shared service host with several other services. To avoid stopping all the services when a provider fails, providers are loaded into a separate host process named Wmiprvse.exe. Multiple instances of Wmiprvse.exe can run at the same time under different accounts: LocalSystem, NetworkService, or LocalService. The WMI core WinMgmt.exe is loaded into the shared Local Service host named Svchost.exe. Note: wmiprvsw.exe is the Sasser worm! Note: The wmiprvse.exe file is located in the c:\windows\System32 folder. In other cases, wmiprvse.exe is a virus, spyware, trojan or worm! Check this with Security Task Manager. Virus with same name: W32/Sonebot-B — sophos.com (дополнительная информация)
Resager
генерит мне исходящего трафика по нескольку тонн в день. пробую вырубить
вася
Размер 227840 байт в Windows XP Prof Rus SP3 MD5: F520AB392D58C0A1070268032D809382 Устанавливается с KB956572 (дополнительная информация)
Antony Belov
Размер 227840 байт в Windows XP Prof Rus SP3
Шляпный процесс, появился после обновления винды, на хрен не нужный.
habal
Он может появляться, может не появляться после загрузки виндовс, чаще его нет, а иногда есть; не нравится мне это.
юзверь
Win32/Oficla.GN из нее пытается чтото сделать nod32 ловит этот троян
Если например у меня вирус маскируется под этот файл то может из-за него постоянно вылетать ошибка svchost.exe или generic host process(звуковая)? После чего перестает работать почти все.
Пукер
нервы мне убивает третий день, процесс вырубаю, файл удаляю, а ошибка приложения svchost.exe всё равно появляется.
Кот
тоже самое что и КОТом svchost.exe ошибка при не отправлении отчёта об ошибке выдается сообщения завершён системный процес винда выключается через 60 секунд
CRAZZZZZZ
пожирал всю производительность 3 дня, пока не нашел его.
на семерке стоял гаджет рабочего стола Drives Meter 2,1, он то мне и грузил проц, после того как снес его грузить перестало)
Илья
У меня на Windows 7 этот грузил систему из-за того что глюкнул один из гаждетов под названием Drivers Meter, вырубил его и проблема решилась. Как быстрый вариант проверки такого случая, убейте для начала процесс sidebar.exe, если нагрузка исчезнет, значит виновник одни (а может и несколько, но вряд ли) из гаджетов и вам останется лишь выяснить какой, отключая их по очереди.
ASTRON
Установился при попытке разархивировать «Бесплатный навител для андроид», запускается почему то вместе со скайпом 🙁 Грузит проц неимоверно, вызов диспетчера задач занимает 3-5 мин
Вадим
у меня почемуто находит WMIPRVSE.EXE-28F301A9.pf C:\WINDOWS\Prefetch и wmiprvse в C:\WINDOWS\system32\wbem
«Виновник» данного процесса — sidebar. У меня стоит несколько гаджетов, один из которых — ping(к dns серверу провайдера) — вот он-то и и отправляет по 74 Б каждые 2 сек. Так что копайте в sidebar.
Илья
Странный процес. если включен — игры вылетают, а выключается невсегда. хм. непонятненько.
Тимонус I
А знаете как удалить этот процесс .
Игорь
отключил sidebar все равно жрет проц.
я избавился так: 1. удалил из реестра все, что было связанно с именем wmiprvse 2. в диспетчере закрыл 2 приложения wmiprvse
Убивает гугл и експлорер,для работы АБСОЛЮТНО не нужет,удалил гада давно!
Кнстантин
Однозначно «мутный» файл .
Задолбал он меня, комп слабый так эта зараза весь винт заняда (время винта) и полная его загрузка по полчаса, принтереов нету, просто висит и мешает работать.
Mish
У меня были сложности из-за C:\Program Files\DeviceVM\Browser Configuration Utility\BCU.exe
Алексей
Кроме того, что он активизируется из C:\WINDOWS\system32\wbem, иногда он дублирует процесс из C:\WINDOWS\system32\dllcache. Я их ловил оба и оба были опознаны как заслуживающие доверия. Поведение как и у большинства пользователей — откликается на запросы различных прог ч\з WMI. Повисит немного и спать. После многочисленных поисков решения просто прибил (предварительно забекапив) саму ехе. Продолжаю наблюдение — полёт нормальный. Оборудование и всё прочее не заметило потери бойца. 5-6 м-в побочных эффектов не наблюдаю. В случае потребности верну его назад. Пока так.
Uzefman
Загружается после старта системы. Висит в процессах без дела, если убить — даже никакого уведомления не вылезет. При этом сильно тормозит выключение компа. Система XP, при выключении тупо бездействует около 2х минут, после чего выключается. Убил этот процес — выключается моментально.
Юрец
точно процесс связанный с sidebar и гаджетами в семерке, но проц грузят только гаджеты мониторящие процессор, винт, сеть — по идеи железо только, погоду, переводчики и др, не загружают по 21-38 % ПВ
mell83
WMI появился после установки гаджета System Monitor II_11.80 от Igor «Igogo» Bushin. И не слабо подгружал процессор. После удаления, вышеупомянутого гаджета , WmiPrvSE.exe исчез из диспетчера.
Олег
Фаервол выдал сообщение на доступ этому файлу в интернет, я запретил, через 5 минут пытался найти файл, но его уже в этой папке нет
Алексей
Появляется каждый раз при подключении и отключении USB-устройств, висит где-то пару минут и грузит проц на 100%. Прибить бы надо.
Игорь
У меня стоит FlyLinkDC++. Так если с меня качало 25 человек одновременно я не мог вообще больше ничего делать. Если смотрел фильм — он воспроизводился прерывисто. Поэтому приходилось уменьшать количество слотов до 10. По совету из этого блога нашел файлы wmiprvse.exe и удалил их (пока в корзину). Сейчас с меня качают одновременно 28 человек и, практически, тормозов нет. Система пока ничего не сообщала. Спасибо. Я несколько месяцев мучился и не мог найти причину тормозов.
Сергей
компонент диагностики оборудования, запускается как сканер системных приложений работающих с железом, пользователю он не нужен, системе нужен ну примерно также как нужен полицейский в банковском вестибюле, может предупредить такие преступления как попытка ограбления отмороженым гопником(в аналогии с системой — некорректная установка драйверов, служб), марш протеста старушки не получившей отсрочку(критические изменения в настройках оборудования), заметить срущего под кадкой с пальмой малолетку, и сообщить об этом по рации управляющему(предупредить о появлении программы не корректно работающую в системе, но родительским процессом для процесса о предупреждении и блокирующим приложение с ошибкой будет уже одна из служб тоесть свчост.ехе с неким ключём(рупором управляющего банка — под пальмой срать категорически запрещается!)
einherz
На W7 глюканул гаджет «Монитор сети II» — перестал показывать загрузку сети. Как следствие процесс WmiPrvSE грузил проц на 5-10%. Закрыл гаджет и WmiPrvSE перестал загружаться.
BENZIN
У меня жрет проц, ноут начинает потихонечку «взлетать» на своей системе охлаждения, как самолет. Илья был прав: это из-за сайдбара: убил сайдбар и WmiPrvSE успокоился сразу, ноут остыл
uzver
Решительно непонятная штука, этот wmiprvse.exe. Грузит винчестер так, что он аж перегревается, от чего дикие тормоза по всем показателям. При запуске, часто запускается некая setup.exe, если её вырубить через Диспетчер задач, то вылетает Runtime Error, с указанием как раз месторасположения этого wmiprvse.exe. После клика ОК данной ошибки выскакивает уже «Ошибка приложения» (КАКОГО?), с классическим «Инструкция по адресу. Память не может быть «read»» (Причём дважды, затем опять Runtime и опять «Инструкция по адресу»). Security Task manager выявил много чего интересного, но мало относящегося к wmiprvse.exe.
Константин
ПУСК-ВЫПОЛНИТЬ-regedit-Ctrl+F-ИЩЕМ-wmiprvse.exe У меня была одна строчка удаляем, выключаем процес через Ctrl-Alt-Del, вуаля он не включается снова.
vipkod
Убиваю процесс, безрезультатно, он снова появляется.
IceFrog
Поставил Nod 32 4-ой версии , сейчас при загрузке вылетает окно с запросом о разрешении этого процесса обратитсья к жёсткому диску, При запрете или разрешении особой разницы не видно, но как то напрягает .
Pavel
Registry Booster бесплатно только дтагностику делает, а исправление ошибок просит купить!
Сергей
Решительно непонятная штука, этот wmiprvse.exe. Грузит винчестер так, что он аж перегревается, от чего дикие тормоза по всем показателям. При запуске, часто запускается некая setup.exe, если её вырубить через Диспетчер задач, то вылетает Runtime Error, с указанием как раз месторасположения этого wmiprvse.exe. После клика ОК данной ошибки выскакивает уже «Ошибка приложения» (КАКОГО?), с классическим «Инструкция по адресу. Память не может быть «read»» (Причём дважды, затем опять Runtime и опять «Инструкция по адресу»). Security Task manager выявил много чего интересного, но мало относящегося к wmiprvse.exe.
Константин
ПУСК-ВЫПОЛНИТЬ-regedit-Ctrl+F-ИЩЕМ-wmiprvse.exe У меня была одна строчка удаляем, выключаем процес через Ctrl-Alt-Del, вуаля он не включается снова.
vipkod
Убиваю процесс, безрезультатно, он снова появляется.
IceFrog
Поставил Nod 32 4-ой версии , сейчас при загрузке вылетает окно с запросом о разрешении этого процесса обратитсья к жёсткому диску, При запрете или разрешении особой разницы не видно, но как то напрягает .
Pavel
Здравствуйте, а что если из диспетчера задач удалить процесс wmiprvse.exe Это как то повлияет на роботу компьютера.
Денис
Вообщем для тех у кого грузит проц до 50% удалите файл Compility (SimlyGen) если таковой имеется, процесс полностью убирается
River
ребятапросто удалите все недавно установленные гаджеты и он сам(WmiPrvSE.exe) уйдёт
Alex
Даэто виряк, если появляется при загрузки какой либо ПРГ (игрушки). И чувствуется что за тобой следят, — не стого-сего запускает Бухг.1С. Появляется при влючении TeamViwer (хакеры под ентим именем(WmiPrvSE) заложили процесс). Это слежение за Компом злоумышленников, как и процесс tv_32.exe(помоему так). Этот процесс отсылает на FTP код TeamViwer и автомаически идет перехват экрана
LtdNic
WmiPrvSE загружал процессор, после удаления гаджета Network meter v 8.5 нагрузка на проц пропала.
Женя
Для ноутбуков HP используется программами «HP info centor» и другими. При удалении»HP info centor» перестает запускается кнопкой, а регулятор громкости (через клавишу fn) не отображается на экране но продолжает работать.
Владимир
У меня он жрёт память — 223 КБ.(-)
Александр
обращается к CD-ROM каждые 10 минут.
Роман
снес нафиг его ) через AVZ на 7ке интересно какое kb это .
Kairat
Была проблема с загрузкой процессора, т.е. диспетчер показывал, что WmiPrvSE.exe грузит процессор. Было ясно, что дело не в самом процессе WmiPrvSE.exe, а что какая-то гадость его раскручивает. Путем разных манипуляций выискал на компе некую тварь по имени RelevantKnowledge. Не помню как она попала на комп, но знаю точно, что сам не грузил и разрешения не давал. Разные антишпионы показали на нее как на трояна. После замочки этого трояна проблема с процессором отпала и WmiPrvSE.exe успокоился
dweller06
бредовая фигня,поставил винду,она начала жеско грузиться 4ядерный i5,полностью со всеми выключеными прогами,и о боги нагрузка ЦП 80%,у меня чуть челюсть не отпала,гаджетов не стоит как думаете вирус?
Art
Ето стандартный COM+процесс,может появлятся если какоето оборудование подключено через COM порт модем или даже виртуальный привод и после установки виндовс,паниковать не стоит ,после проверки оборудования он пропадает сам.
SpeedCore
Удалил в корзину из c:\WINDOWS\system32\wbem\wmiprvse.exe при восстановлении на рабочий стол имя изменилось на Dc981.exe, кэш мд5 F520AB392D58C0A1070268032D809382 АВЗ 4.39 говорит :Подозрение на скрытую загрузку библиотек через AppInit_DLLs: «C:\WINDOWS\system32\jwghpji.dll (дополнительная информация)
Viki
wmiprvse.exe отвечает за -Адаптер производительности WMI — это для тех у кого HP принтера и дополнительные аплеты для принтера, у кого есть принтеры HP то можно его пользоваться,у кого машина менее чем двух ядерная и слабая машина можно ее в Службах»Адаптер производительности WMI»- Отключить и всё.Процесс появляется иногда после не правильного подключения модемного соединения и оборудования,лечиться Ccleaneром и всякими чистильщиками реестра,после лечения создайте точку восстановления для дальнейших проб и ошибок.
О Тебе Волнуется
dweller06 написал абсолютную правду. Если у кого то этот процесс сильно грузит процессор, то скорей всего дело в программе-шпионе RelevantKnowledge.
Валерий
У меня, как и у многих обладателей HP, есть проблема с самозапуском компа как из режима сна, так и из гибернации. Так вот, ребята, во всем виноват именно этот процесс WmiPrvSE.exe. Лично мое мнение: наблюдение за компом — это скучно и уже давно пройденный этап. разработчики пошли дальше и через ряд сервисов (в том числе и этот) «заимствуют» часть наших ресурсов на одни им известные цели — именно поэтому им выгодно, когда вы пользуетесь Виндами, пусть даже и пиратками и от этого никуда не деться — удаляй, не удаляй.
vidsnizy
RelevantKnowledge, сволочная гадина. если-бы не этот процесс WmiPrvSE.exe хрен нашел-бы.. спасибо dweller06
broyler
владельцам ноутов. RelevantKnowledge лезет в камеру и все, что связано с управлением. аваст не среагировал никак.только WmiPrvSE.exe грузил проц и все. никаких предупреждений от винды.
broyler
Заблокировал WmiPrvSE с помощью AnVir Task Manager, до этого WmiPrvSE грузил антивирус COMODO и соответственно систему. Считаю WmiPrvSE вредной прогой.
igodiw
Спасибо dweller06 за опыт, помогло! Удалила RelevantKnowledge и WmiPrvSE.exe сам исчез:)
Roxie
Была проблема с загрузкой процессора, т.е. диспетчер показывал, что WmiPrvSE.exe грузит процессор. Было ясно, что дело не в самом процессе WmiPrvSE.exe, а что какая-то гадость его раскручивает. Путем разных манипуляций выискал на компе некую тварь по имени RelevantKnowledge. Не помню как она попала на комп, но знаю точно, что сам не грузил и разрешения не давал. Разные антишпионы показали на нее как на трояна. После замочки этого трояна проблема с процессором отпала и WmiPrvSE.exe успокоился dweller06 Спасибо dweller06 помогло! Проц грузило на 42% RelevantKnowledge удалил через «программы и компоненты»
Левон
Иногда появляется, иногда нет. ИНет ужасно лезет вниз.
Фокси
Стоит Ccleaner Pro. При слежении им за системой несильно этот файл грузит комп. Отключил слежение — WmiPrvSE.exe вообще пропал из диспетчера. Стало спокойней..
LION
у меня тут лежит c:\WINDOWS\SysWOW64\wbem и очень хочет выйти в инет
гундяй кирилович
Размонтировал виртуальные приводы, и проблема исчезла. Видимо что-то сидело в образе «WPI BELOFF». Хотя исследованиями не занимался.
Ig
проблема решилась удалением программы RelevantKnowledge, даже незнаю откуда она взялась.
VanAB
У меня он появляется при загрузке гаджета CPU Utilization 1.1.0.1 и не удаляется из процессов. При выключении гаджета можно удалить из процессов — он больше не появляется
Валентин
У меня на Windows 8.1 этот процесс хавает всего лишь (0.2-0.3)%, но его ехе-шник находится одновременно в 4-х местах! Ни один из примененных антивирусов на него не отреагировал. Пока ваял свой коммент, процесс исчез.
Wincha
точно! закрыл процесс sidebar.exe и потом спокойно закрывается этот глюк!
Ребят,скачаивал вчера драйвера Видиокарты решил проблему тем что удалил эти дравера)
Владимир)
Новая информация про WMIPrvSE.exe //Процесс передает сведения об оборудовании какой-либо программе (Speccy / Everest / ..). Появляется/исчезает в диспетчере задач от имени следующих пользователей (система / LOCAL SERVICE / NETWORK SERVICE), если имеется неисправность в следующем оборудовании (Колонки / Наушники). Обычно при неисправностях искажается звук в ОС Windows (7 / XP / ..), а при просмотре видео через WMP или Браузер появляется снизу мерцающая черта. [!] ВЫРЕЗАТЬ/УДАЛЯТЬ НЕ РЕКОМЕНДУЕТСЯ! [!] ФАЙЛЫ [C:\Windows\(System32 / SysWOW64)\wbem\WmiPrvSE.exe] восстанавливаются через команду [(cmd.exe) sfc /scannow]
ShadowRoma
В Windows 7вырубается процесс так — сначало лезем туда где храниться файл — (меняем права на него) назначаем себя владельцем — открываем диспетчер задач и окошко с местом хранения файла — тыкаем на файл нажимаем на del — выскочит окно что не удалить так как процесс открыт, бла, бла, бла и две кнопки «Повторить» и «отмена» — тыкаем в диспетчере по процессу — «завершить древо процессов» — завершаем и тут же тыкаем по кнопке «удалить». Вуаля! Он успевает удалиться и процесс не запускается.
Саня
тормозит компьютер понемножку ест Windows,но решение есть. Это не антивирус, а taskmgr.exe-диспетчер задач закрываем процесс,находим c:\WINDOWS\system32\wbem\wmiprvse.exe и удаляем ВСЕ.
бибика
Используется для получения сведений через WMI
Alex
Я с Акрониса с диска загрузился , букву в раширении добавил и всё , процесс не запускается — проблема решена . Без гемороя и танцев с бубном и за пару минут .
Роман
Появился в менеджере после последнего обновления Скайп. Я так думаю, постоянные тормоза и жесткий не может успокоится. Система ХР SP3 английская лицензия. Раньше не вылазил. Висит в трее вместе с unsecapp.exe. Убил гадов процескилером. После покупки скайпа мелкософтом винда стала раздражать. После удаления скайпа можно работать спокойно, но руки чешутся поставить чистую систему по-новому.
Serge Mikolich
Win 8, сидит в c:\WINDOWS\SysWOW64\wbem, последнее время начал висеть в процессах, тоже занимал 0.2-0.3% но постоянно дёргал систему, хотя раньше такого не было, при бездействии всё было по нолям. Отключение процесса ничего не давало, запускался по новой. Процесс системный, полезный, даже жизненноважный, но работать так он явно не должен, всё время дёргать систему. Пошёл от одной службы к другой, смотреть что с чем связано, в итоге вышел на службу Windows Management Instrumentation (открыть Службы (локальные), которая работает и должна работать (очень подрывает стабильность системы и работоспособность прог если её отключить). Но перезапуск службы дал именно нужный результат. WmiPrvSE.exe не удалял, но из процессов он исчез, всё по нолям. Служба работает как надо. Видимо она может глючить когда какие-то некорректные подключения или отключения девайсов, мышек, флешек и т. д. Перезапуск вправляет вывих. Всё активно, бдит, но систему не шевелит, трафик не забивает, проц не грузит.
Алексей
мое мнение что это диагностический файл.Включал я прогу ccleaner он появлялся,выключал полностью,он исчезал
Паша
Пытался найти на других форумах RelevantKnowledge, пишут что он в програм файлах, но у меня его нет. Процесор грузит временами на 20 мин а то и больше до 100%. WmiPrvSE.exe закрыл в диспетчере задач и не появляется но все равно грузит, при этом еще в процесах открывает Тим Вьювер. А все началось с того что вставил флешку с вирусом, д.Веб показал троян, и понеслось, хотя он его удалил.
Вадим
Выключил этот процесс, перезапустив службу Windows Management Instrumentation (Инструментарий управления Windows). (дополнительная информация)
Сергей
У меня Windows XP ZverDVD 2015.5 (последняя сборка XP от Zver) (под)процесс wmiprvse.exe я удалял «удалить процесс» его практически каждый раз(всегда). И ни так за два года и не понял для чего он. Т.е. система полноценно работала без него. И я ни разу не заподозрил, что это именно его отсутствие мне портит жизнь в чём-то. Вывод: Процесс этот нужен больше НЕ нам с вами, а тем кто его запускает на наших системах. И в новых версиях (8 и 10 итд) его наверняка спрятали. И так запросто его уже не удалить. Посему и живу по сей день на отполированной до зеркального блеска XP ( ZverDVD ) И мечтаю найти ДОСТОЙНУЮ статью, чем же ПРИНЦИПИАЛЬНО новые Windows ГРАМОТНЕЕ старой. При том, что не пользуюсь Windows — я пользуюсь программами и интернетом. 99% это Мультимедия — просмотр Видео и прослушивание музыки, но XP с этим справлялась на 100%. И я не испытываю потебностей в обновлении для этих задач.
Кирилл Шибаев
Трафик ждёт неимоверно, не даёт даже гугл загрузить. Завершил процесс и всё норм.
Андней
кто бы мог подумать. win 7, одно ядро постоянно занято этим процессом на все катушку, и HP опять отличились — hp wireless assistant был всему виной.
В моем случае причина была в мониторе Speccy
Gfdtk
Kaspersky при работе в безопасном браузере закрывает этот поцесс
Ksanty
у кого стоит офисное приложение «Отправить в OneNote 2013» или синхронизация офиса, этот процесс запускается и пытается постоянно что то синхронизировать, — Даже Если НЕЧЕГО! А через по часа выдаст сообщение что синхронизируемые файлы не обнаружены. Пропадает сам, после отключения всех синхронизаций винды.
Игорь
Лично у меня стал грузить процессор (5-10% постоянно) после установки последней версии MSI Gaming APP. Останавливаю процессы: MSI_ActiveX_Service, GamingApp_Service, GamingHotkey_Service и через несколько секунд процессор разгружается и всё работает отлично.
Fox
жестко грузит винчестер, настолько, что мышь перестает реагировать. Возможно, многие это воспринимают, как загруз ЦП — проверяйте по мониторингу ресурсов диспетчера задач. Windows 7
Рей
У меня он размером 502кб, не подписан, вирустотал говорит что уже 2 года знает такой файл с таким размером и что он безопасен
Спасибо, ASTRONу! Его совет помог. На Windows 7 вырубил процесс sidebar.exe, нагрузка исчезла, грузил систему гаждет Network Monitor II.
Владимир
Вырубить данную бесполезную фигню (WMI) можно и нужно через службы. Если вдруг не помогло, то можно ещё выключить её в msconfig в разделе служб.
hof
Грузил проц стабильно на 30% Посмотрев проц.эксплорэр стало понятно, что он обращается ко многим системным файлам и непойми чем занимается. Обратите внимание на директорию. У меня была windows\wmi. Не стандартная, похоже, директория. В той папке был этот файл со значком динамика(что странно) + еще один файл, тоже приложение. В названии второго файла было вроде network или как-то так. Virus total 35/60 говорил, что это вредоносное ПО. После поиска по всей папке windows, нашлось несколько файлов WmiPrvSE.exe. Очевидно, в моем случае это была вредоноска, которая маскируется под системный файл. Этот файл был постоянно активен. Чтобы его удалить, отключите его из автозагрузки командой msconfig. Все было удалено. Полет нормальный. И да, каспер ничего не нашел. Жаль, что он проработал так долго. Он мог очень много инфы выкачать.
Graham
«Адаптер производительности WMI» находите в списке сервисов и ставите ему disabled
tele
недавно заметил стал грузить на 100% проц, килял его постоянно, потом посмотрел заблочил IP адреса куда шли пакеты сетевые от него, проверил антивирусом и оп — not-a-virus:RiskTool.Win32.BitCoinMiner.jvat
Danila
Стал грузить проц после установки Garmin Express,который работал в фоновом режиме. Закрыл Garmin Express и сразу забыл про WmiPrvSE.
Kross
Системный файл и процесс windows, после переустановки может кушать 1-5% ЦП, через 2-3 недели проходит, если не в папке system32 и вам лень бороться с вирусом, советую просто переустановить винду.
Андрей
wmiprvse.exe и Службы криптографии одного поля ягодки.
Владимир
Win7. WmiPrvSE.exe ������� ���� ���� �� 6% ����� ��������� � ����� 120 ������ ����������. ������� ���������� AMD User Experience Program Launcher.
Fehu

Итого: Средняя оценка пользователей сайта о файле WmiPrvSE.exe: — на основе 92 голосов с 104 отзывами.
202 пользователей спрашивали про этот файл. 32 пользователей не поставили рейтинг («я не знаю»). 10 пользователей оценили, как неопасный. 15 пользователей оценили, как кажется неопасным. 32 пользователей оценили, как нейтрально. 21 пользователей оценили, как кажется опасным. 14 пользователей оценили, как опасный.

Лучшие практики для исправления проблем с WmiPrvSE

Аккуратный и опрятный компьютер — это главное требование для избежания проблем с WmiPrvSE. Для этого требуется регулярная проверка компьютера на вирусы, очистка жесткого диска, используя cleanmgr и sfc /scannow, удаление программ, которые больше не нужны, проверка программ, которые запускаются при старте Windows (используя msconfig) и активация Автоматическое обновление Windows. Всегда помните о создании периодических бэкапов, или в крайнем случае о создании точек восстановления.

Если у вас актуальные проблемы, попробуйте вспомнить, что вы делали в последнее время, или последнюю программу, которую вы устанавливали перед тем, как появилась впервые проблема. Используйте команду resmon, чтобы определить процесс, который вызывает проблемы. Даже если у вас серьезные проблемы с компьютером, прежде чем переустанавливать Windows, лучше попробуйте восстановить целостность установки ОС или для Windows 8 и более поздних версий Windows выполнить команду DISM.exe /Online /Cleanup-image /Restorehealth. Это позволит восстановить операционную систему без потери данных.

Следующие программы могут вам помочь для анализа процесса WmiPrvSE.exe на вашем компьютере: Security Task Manager отображает все запущенные задания Windows, включая встроенные скрытые процессы, такие как мониторинг клавиатуры и браузера или записей автозагрузки. Уникальная оценка рисков безопасности указывает на вероятность процесса быть потенциально опасным — шпионской программой, вирусом или трояном. Malwarebytes Anti-Malware определяет и удаляет бездействующие программы-шпионы, рекламное ПО, трояны, кейлоггеры, вредоносные программы и трекеры с вашего жесткого диска.

WmiPrvSE сканер

Security Task Manager показывает все запущенные сервисы Windows, включая внедренные скрытые приложения (например, мониторинг клавиатуры или браузера, авто вход). Уникальный рейтинг надежности указывает на вероятность того, что процесс потенциально может быть вредоносной программой-шпионом, кейлоггером или трояном.

Бесплатный aнтивирус находит и удаляет неактивные программы-шпионы, рекламу, трояны, кейлоггеры, вредоносные и следящие программы с вашего жесткого диска. Идеальное дополнение к Security Task Manager.

Инструмент ремонта ПК бесплатное сканирование, очистка, восстановление и оптимизация вашей системы.

Что за процесс WmiPrvSE.exe (WMI Provider Host) и почему он грузит процессор

Процесс WmiPrvSE.exe в Windows

Среди работающих в фоне процессов Windows 10, 8.1 или Windows 7 вы можете заметить WmiPrvSE.exe или WMI Provider Host, причем иногда этот процесс активно использует ресурсы процессора компьютера или ноутбука.

Что такое WmiPrvSE.exe

Процесс WMI Provider Host в диспетчере задач

Процесс WmiPrvSE.exe или WMI Provider Host — один из необходимых системных процессов Windows, позволяющий программам на компьютере получать различную информацию о системе. При обычной работе этот процесс не вызывает высокой нагрузки на процессор, но это не всегда так.

При условии, что речь именно о системном процессе (находящемся в папке wbem внутри System32 или SysWOW64), отключить или удалить WmiPrvSE.exe нельзя (вернее, вы можете отключить службу, однако это может привести к проблемам в работе некоторых, в том числе системных, программ в дальнейшем), но при высокой нагрузке на процессор, проблему обычно можно решить.

Что делать, если WMI Provider Host грузит процессор

Кратковременная высокая нагрузка со стороны WmiPrvSE.exe является нормальным явлением: например, если вы запустите какую-либо программу определения характеристик компьютера, нагрузка со стороны этого процесса на некоторое время возрастет. Однако, если нагрузка является постоянной и процессор всегда нагружен, можно предположить, что что-то не так.

Чтобы исправить ситуацию, вы можете использовать следующие методы:

  1. Перезапуск службы «Инструментарий управления Windows». Нажмите клавиши Win+R, введите services.msc, найдите указанную службу (или Windows Management Instrumentation Service), нажмите по ней правой кнопкой мыши и выберите пункт «Перезапустить». Перезапуск службы WMIPrvSE.exe
  2. Используйте «Просмотр событий», чтобы определить какая программа вызывает нагрузку при использовании WMI Provider Host. Зайдите в «Просмотр событий» (Win+R — eventvwr.msc), зайдите в «Журналы приложений и служб» — Microsoft — Windows — WMI-Activity — Operational. Просмотрите последние сообщения с уровнем «Ошибка» (некоторое количество ошибок нормально и при обычной работе). После выбора ошибки в подробностях найдите параметр «ClientProcessID», затем откройте диспетчер задач и найдите процесс с тем же значением в столбце ИД (в Windows 10 — на вкладке «Подробности»). Это позволит узнать, что за программа вызывает нагрузку. Если под этим ID оказался svchost, то речь идет о какой-то службе, подробнее: Что делать, если svchost.exe грузит процессор. Исправить высокую нагрузку на процессор wmiprvse.exe
  3. Если выяснить службу или программу не удалось, но нагрузка появилась недавно, с большой вероятностью виной тому недавно установленное ПО, особенно если оно как-то связано с оптимизацией системы и подобными функциями. Можно попробовать отключить или удалить такие программы, а также использовать точки восстановления системы.

Надеюсь, материал помог разобраться с процессом WmiPrvSE.exe и высокой нагрузкой, если она имеет место быть.

А вдруг и это будет интересно:

  • Лучшие бесплатные программы для Windows
  • Как разрешить обычному пользователю запускать программу от имени Администратора без ввода пароля
  • Как выйти из полноэкранного режима в Windows
  • Как включить компактный вид панели быстрых настроек Windows 11
  • Шрифты в интерфейсе Chrome стали более жирными и размытыми — как исправить?
  • Msftconnecttest.com — что это и как исправить возможные ошибки
  • Windows 11
  • Windows 10
  • Android
  • Загрузочная флешка
  • Лечение вирусов
  • Восстановление данных
  • Установка с флешки
  • Настройка роутера
  • Всё про Windows
  • В контакте
  • Одноклассники

    Стас 13.05.2020 в 08:01

  • Phoenix 02.08.2021 в 18:03

Как отключить wmiprvse.exe

Когда этот процесс включается дергается флоппивод(floppy) он уже задолбал. А вообще у кого нибудь было что когда он появляется, floppy на него реагирует?
Я понимаю что это системный файл, но какого он затрагивает флоппи? Это разве нормально?

Голосование за лучший ответ

Убедитесь, что он у вас загружается из C:\WINDOWS\System32\wbem\wmiprvse.exe, т. е. что это действительно системный процесс, а не вирус под него маскирующийся. Можно посмотреть вот этой программой: process viewer

Похожие вопросы

Устранение неполадок с высокой загрузкой ЦП WMI

В этой статье описывается, как диагностировать проблемы с высокой загрузкой ЦП инструментария управления Windows (WMI) в любой операционной системе Windows.

Определение проблемы

В большинстве случаев ЦП потребляется процессомWmiPrvse.exe , и есть несколько экземпляров, в которых svchost.exe , размещающая службу WMI (Winmgmt), потребляет высокую загрузку ЦП.

Просмотрите область «Процессы» или «Сведения» диспетчера задач, чтобы определить точный процесс.

Определите, является ли процесс WmiPrvse.exe или svchost.exe (размещена служба WMI Winmgmt), и определите идентификатор процесса.

Может потребоваться вручную добавить столбец PID , чтобы просмотреть идентификатор всех процессов в диспетчере задач.

Ниже приведен пример. Перейдите враздел Сведения одиспетчере> задач, отсортируйте по имени и найдите WmiPrvse.exe процесс, который потребляет высокую загрузку ЦП. Запишите идентификатор процесса (PID).

На этом снимку экрана показаны активные несколько экземпляров узла поставщика WMI ( процессWmiPrvse.exe ) и загрузка ЦП.

Снимок экрана: процесс с помощью диспетчера задач.

На этом снимку экрана показан узел служб: инструментирование управления Windows (svchost.exe размещения службы Winmgmt) и загрузка ЦП.

Снимок экрана: сведения с помощью диспетчера задач.

Перейдите враздел Службыдиспетчера> задач, выполните сортировку по имени и найдите службу Winmgmt. Запишите PID. Щелкните правой кнопкой мыши службу и выберите Перейти к сведениям , чтобы найти процессsvchost.exe следующим образом:

Снимок экрана: службы с помощью диспетчера задач.

В этом примере из трех экземпляровWmiPrvse.exe находится PID 3648, который потребляет около 25 % загрузки ЦП. Winmgmt размещается в процессеsvchost.exe с PID 2752.

Общие сведения о потреблении ЦП

Это в основном включает в себя наблюдение за общим потреблением ЦП и выявленным PID. Важно отметить, когда, как и частоту потребления ЦП.

Оцените ситуацию, поняв, является ли потребление ЦП высоким в течение определенного времени. Проверьте, есть ли какие-либо действия, например выполнение определенных задач или служб, запуск приложений для мониторинга или выполнение сценариев, приводящих к WmiPrvse.exe или высокой загрузке ЦП Winmgmt.

Узнайте, есть ли какая-либо закономерность. Это означает, что загрузка ЦП является согласованной, несогласованной, случайной, спорадической или имеет регулярные пики.

Определите частоту потребления ЦП. Проверьте, происходит ли это только в рабочее время, в нерабочее время или в случайное время суток. Это также может произойти во время определенного действия, например при входе или выходе пользователя.

Вы можете использовать диспетчер задач и визуально заметить, как используется шаблон использования ЦП.

Ниже приведен пример использования средства Монитор производительности (Perfmon) для идентификации точных экземпляров WmiPrvse.exe с идентификатором PID, который вы определили. Вы также можете получить графическое представление потребления ЦП любым процессом (WmiPrvse.exe или svchost.exe , где размещается служба WMI).

  1. Откройте командную строку с повышенными привилегиями и введите Perfmon.
  2. Выберите Монитор производительности в левой области и выберите знак плюса (+) в правой области, чтобы открыть окно Добавление счетчиков.
  3. Разверните узел Процесс и выберите Процесс идентификации. Выберите все экземпляры WmiPrvse# , а затем нажмите кнопку Добавить>ОК. Снимок экрана: добавление счетчиков процесса идентификации.Снимок экрана: сведения о счетчиках процесса идентификации.
  4. В окне Добавление счетчиков разверните узел Процесс и выберите %Время процессора. Выберите параметр WmiPrvse# , соответствующий PID, потребляющий высокую загрузку ЦП, и нажмите кнопку Добавить>ОК. Снимок экрана: добавление счетчиков времени процессора.Снимок экрана: сведения о счетчиках %Processor Time.
  5. Для счетчика «Процесс идентификации» все значения Last, Average, Minimum и Maximum представляют piD соответствующего процессаWmiPrvse.exe . После определения точного экземпляра, который потребляет высокую загрузку ЦП, вы можете удалить оставшиеся экземпляры экземпляров WmiPrvse# из списка, нажав кнопку Удалить .

В примере отмечается, что WmiPrvse.exe PID 556 потреблял высокую загрузку ЦП, а WmiPrvse#1 соответствует PID 556 в Монитор производительности.

Затем добавляется счетчик %Время процессораWmiPrvse#1 , чтобы просмотреть динамическое графическое представление использования ЦП в этом процессе. В этом примере цвет %Processor Timeдля WmiPrvse#1 изменяется с желтого на красный.

Действия по поиску правильного Svchost# в Монитор производительности в случае высокой загрузки ЦП с помощьюsvchost.exe размещения службы Wmimgmt.

Если вы заметили, что процессsvchost.exe , в котором размещена служба WMI, вызывает высокую загрузку ЦП и подозреваете, что WMI способствует возникновению проблемы, можно проверить, является ли piD процессаsvchost.exe , где размещена служба WMI, выполнив следующую команду:

tasklist /svc /fi "Services eq Winmgmt" 

Если процессsvchost.exe содержит несколько служб, вы можете разбить службу WMI на собственный процессsvchost.exe , выполнив следующие действия.

  1. Откройте командную строку с повышенными привилегиями.
  2. Выполните следующую команду:

sc config Winmgmt type= own 

После перезапуска службы можно выполнить Tasklist /svc команду, чтобы проверка, если служба Winmgmt работает в собственном svchost.exe процессе.

После устранения проблемы или после того, как служба больше не должна находиться в собственном svchost.exe процессе, вы можете поместить ее обратно в общий процессsvchost.exe . Это действие можно выполнить, выполнив следующую команду из командной строки и повторно перезапустив службу WMI:

sc config Winmgmt type= share 

Диагностика WmiPrvse.exe

До сих пор у вас есть только точный PID WmiPrvse.exe , который потребляет высокую загрузку ЦП. Затем соберите как можно больше сведений об этом PID. Это помогает оценить ситуацию или определить то, что может вызвать проблему. Соберите сведения об использовании других ресурсов или определите точный поставщик WMI (DLL), размещенный WmiPrvse.exe PID.

Другое использование ресурсов, например память, дескрипторы, потоки и имя пользователя

Соберите сведения об использовании других ресурсов, таких как память, дескриптора, потоки и имя пользователя, во время высокой загрузки ЦП. Вы можете использовать вкладку Сведения в диспетчере задач, выбрать точный piD и просмотреть его.

При необходимости добавьте дополнительные столбцы.

Снимок экрана: служба высокой загрузки ЦП в диспетчере задач.

Определение точного поставщика WMI (DLL), размещенного WmiPrvse.exe PID.

Обработка Обозреватель может помочь вам определить точных поставщиков, размещенных в определяемом PID. Выполните следующие действия:

  1. Запустите Обозреватель процесса от имени администратора. Найдите идентифицированный WmiPrvse.exe PID, перейдите к его свойствам и перейдите на вкладку Поставщики WMI .
  2. В следующем примере обнаружена WmiPrvse.exe PID 556:
    • Поставщик WMI: MS_NT_EVENTLOG_PROVIDER
    • Пространства имен: root\CIMV2
    • Путь к DLL: %systemroot%\system32\wbem\ntevt.dll

Снимок экрана: свойства WmiPrvSE.exe:556.

В большинстве случаев может быть загружено несколько поставщиков. Это может быть любой из поставщиков, которые тратят время на ЦП, что приводит к большим проблемам с ЦП.

В некоторых случаях, если проблема возникает периодически или редко, WmiPrvse.exe , вызывающая проблему, может быть завершена со временем. При повторном возникновении проблемы это могут быть те же поставщики в новом экземпляреWmiPrvse.exe . В этой ситуации, как только поставщики отмечены, выполните следующий командлет, чтобы отобразить текущий PID WmiPrvse.exe процесса, содержащего этот поставщик:

tasklist /m
tasklist /m ntevt.dll 

Снимок экрана: выходные данные списка задач ntevt.dll файла.

Поэтому важно понимать, какие поставщики загружаются в процессеWmiPrvse.exe , и каждый раз заносить piD WmiPrvse.exe процесса.

После того как у вас есть поставщики, которые загружаются в WmiPrvse.exe что приводит к высокой загрузке ЦП, вы можете понять, обрабатывает ли он какие-либо задачи.

Задачи могут быть входящими запросами WMI, которые отправляются клиентским процессом в службу WMI, которая затем назначается соответствующему процессу поставщика WMI. В этом примере задача отправляется поставщику MS_NT_EVENTLOG_PROVIDER . Поэтому следующим шагом будет изучение входящих запросов и задач к поставщику MS_NT_EVENTLOG_PROVIDER .

Анализ входящих запросов

Изучение входящих запросов включает в себя:

  • Определение запросов WMI, которые обрабатываются поставщиками WMI, что приводит к высокой загрузке ЦП.
  • Запросы классов WMI.
  • Связанный пользователь.
  • Клиентский процесс, инициирующий запрос.

Приведенные выше сведения можно собрать с помощью общедоступного средства WMIMon или WMI-Activity операционных журналов и WMI-Tracing доступных в Просмотр событий.

Операционные журналы: Microsoft-Windows-WMI-Activity/Operational

Входящие запросы регистрируются как операционные события в журнале Microsoft-Windows-WMI-Activity/Operational, который доступен в следующих разделах:

> Просмотр событий Журналы приложений и служб>Microsoft>Windows>WMI-Activity

Регистрируются события нескольких типов.

Если время от времени завершается процессWmiPrvse.exe , потребляющий большой объем ЦП, и вы уже знаете, какие поставщики загружены, следующее событие может помочь определить текущий активный процессWmiPrvse.exe , в котором размещен соответствующий поставщик.

Log Name: Microsoft-Windows-WMI-Activity/Operational Source: Microsoft-Windows-WMI-Activity Event ID: 5857 Task Category: None User: NETWORK SERVICE Description: MS_NT_EVENTLOG_PROVIDER provider started with result code 0x0. HostProcess = wmiprvse.exe; ProcessID = 556; ProviderPath = %systemroot%\system32\wbem\ntevt.dll 

Включение «Журналы аналитики и отладки» для включения трассировки WMI

В Просмотр событий выберите Просмотреть>журналы аналитики и отладки, чтобы включить отладку и трассировку для WMI-Activity.

Снимок экрана: операции в Просмотр событий.

Отладка и трассировка отключены по умолчанию, и каждый из них можно включить вручную, щелкнув правой кнопкой мыши Трассировку или Отладка , а затем выбрав Включить журнал.

Включение show Analytics и Debug Logs позволяет выполнять отладку и трассировку почти для всех источников событий, а также создавать дополнительные журналы. Таким образом, этот параметр должен быть отключен после завершения исследования и больше не будет использоваться.

Эта трассировка может быть включена, когда вы наблюдаете высокую загрузку ЦП WmiPrvse.exe процессом или достаточно долго, чтобы зафиксировать поведение высокой загрузки ЦП, чтобы сохранить журналы в чистоте и умеренном размерах для упрощения анализа трассировок.

  1. Экспортируйте трассировки, щелкнув правой кнопкой мыши трассировку и выбрав Сохранить все события как. .
  2. Выберите .xml или .csv в поле Сохранить как тип.

Примечание. При необходимости можно выбрать другие знакомые форматы .EVTX .

Просмотр файлов трассировки WMI

В трассировке WMI есть несколько важных операций, которые являются частью входящих запросов WMI. Операции описаны в интерфейсе IWbemServices (wbemcli.h).

Вот некоторые из важных операций:

  • IWbemServices::ExecQuery method (wbemcli.h)
  • IWbemServices::ExecMethod method (wbemcli.h)
  • IWbemServices::ExecQueryAsync method (wbemcli.h)

Вот одна из записей журнала из сохраненного CSV-файла WMI-Tracing:

Level дата и время; Source Идентификатор события Категория задачи Описание
Сведения 05-05-23 14:48 Действие Microsoft-Windows-WMI 11 Нет CorrelationId = ; GroupOperationId = 30693; OperationId = 30694; Operation = Start IWbemServices::ExecQuery — root\cimv2 : select * из Win32_Product; ClientMachine = 21H2W10M; User = CONTOSO\; ClientProcessId = 5484; NamespaceName = 133277000000783520

Аналогичное событие в формате XML выглядит следующим образом:

    11 0 4 0 0 0x8000000000000000 112 "/> Microsoft-Windows-WMI-Activity/Trace 21H2W10M.contoso.com    28089 28090 Start IWbemServices::ExecQuery - root\cimv2 : select * from Win32_Product 21H2W10M 21H2W10M.contoso.com CONTOSO\ 5484 133277000000783520 \\.\root\cimv2 true   CorrelationId = ; GroupOperationId = 28089; OperationId = 28090; Operation = Start IWbemServices::ExecQuery - root\cimv2 : select * from Win32_Product; ClientMachine = 21H2W10M; User = CONTOSO\; ClientProcessId = 5484; NamespaceName = 133277000000783520 Information Info Microsoft-Windows-WMI-Activity   

Из приведенного выше примера выходных данных операции можно получить и понять следующие сведения:

  • Запрос был инициирован: 2023-05-05 в 13:09:18
  • На компьютере: 21H2W10M,
  • Из PID клиента: 5484
  • Идентификатор операции: 28089
  • Запрос: select * from Win32_Product .
  • Пространства имен: \\.\root\cimv2
  • Операции: IWbemServices::ExecQuery

Вот еще один журнал:

Level дата и время; Source Идентификатор события Категория задачи Описание
Сведения 05-05-23 14:47 Действие Microsoft-Windows-WMI 12 Нет ProviderInfo для GroupOperationId = 30641; Operation = Provider::CreateInstanceEnum — MS_NT_EVENTLOG_PROVIDER : Win32_NTLogEvent; HostID = 556; ProviderName = MS_NT_EVENTLOG_PROVIDER; ProviderGuid = ; Путь = %systemroot%\system32\wbem\ntevt.dll

То же самое событие в формате XML:

   12 0 4 0 0 0x8000000000000000 120 "/> Microsoft-Windows-WMI-Activity/Trace 21H2W10M.contoso.com   28096 Provider::CreateInstanceEnum - MS_NT_EVENTLOG_PROVIDER : Win32_NTLogEvent 556 MS_NT_EVENTLOG_PROVIDER %systemroot%\system32\wbem\ntevt.dll   ProviderInfo for GroupOperationId = 28096; Operation = Provider::CreateInstanceEnum - MS_NT_EVENTLOG_PROVIDER : Win32_NTLogEvent; HostID = 556; ProviderName = MS_NT_EVENTLOG_PROVIDER; ProviderGuid = ; Path = %systemroot%\system32\wbem\ntevt.dll Information Info Microsoft-Windows-WMI-Activity   

Из выходных данных операции второго примера можно получить и понять следующие сведения:

  • Операция CreateInstanceEnum инициируется от имени пользователя с идентификатором безопасности: UserID=»S-1-5-21-00000000000-000000000000-0000000-1103″
  • 05.05.2023 в 13:09
  • Точная операция: Provider::CreateInstanceEnum — MS_NT_EVENTLOG_PROVIDER : Win32_NTLogEvent
  • Идентификатор узла: 556
  • Имя поставщика: MS_NT_EVENTLOG_PROVIDER
  • Путь к поставщику: %systemroot%\system32\wbem\ntevt.dll

Поиск идентификаторов PID клиента, которые вызывают высокую загрузку ЦП

Идея просмотра этого файла журнала заключается в перечислении операций, связанных с идентифицированным WmiPrvse.exe PID, который потребляет высокую загрузку ЦП, понимать входящие запросы и кто их инициирует (клиентский процесс).

В приведенном выше примере именно PID 552 вызывает высокую загрузку ЦП.

Во втором примере выходных данных журнала операция CreateInstanceEnum инициируется для определенного класса Win32_NTLogEvent WMI .

Дополнительные сведения см. в Win32_NTLogEvent, включающую сведения о поставщике WMI, связанном с классом WMI.

Теперь вы знаете точный поставщик WMI, размещенный ( MS_NT_EVENTLOG_PROVIDER ) в WmiPrvse.exe который вызывает высокую загрузку ЦП, идентификатор узла (552) и класс WMI (Win32_NTLogEvent), который запрашивается каким-то клиентским процессом.

В зависимости от средства, используемого для проверки файлов трассировки, можно применить необходимые фильтры для проверки только операций, связанных с Win32_NTLogEvent PID 552 или WmiPrvse.exe идентификатором узла 552 или ntevt.dll.

Если фильтр отображает только строки или операции, включающие «Win32_NTLogEvent», результаты будут следующими:

Level Source Идентификатор события Описание
Сведения Действие Microsoft-Windows-WMI 11 CorrelationId = ; GroupOperationId = 30641; OperationId = 30642; Operation = Start IWbemServices::CreateInstanceEnum — root\cimv2 : Win32_NTLogEvent; ClientMachine = 21H2W10M; User = CONTOSO\; ClientProcessId = 5484; NamespaceName = 133277000000783520
Сведения Действие Microsoft-Windows-WMI 12 ProviderInfo для GroupOperationId = 30641; Operation = Provider::CreateInstanceEnum — MS_NT_EVENTLOG_PROVIDER : Win32_NTLogEvent; HostID = 556; ProviderName = MS_NT_EVENTLOG_PROVIDER; ProviderGuid = ; Путь = %systemroot%\system32\wbem\ntevt.dll
Сведения Действие Microsoft-Windows-WMI 11 CorrelationId = ; GroupOperationId = 30697; OperationId = 30698; Operation = Start IWbemServices::CreateInstanceEnum — root\cimv2 : Win32_NTLogEvent; ClientMachine = 21H2W10M; User = CONTOSO\; ClientProcessId = 5484; NamespaceName = 133277000000783520
Сведения Действие Microsoft-Windows-WMI 12 ProviderInfo для GroupOperationId = 30697; Operation = Provider::CreateInstanceEnum — MS_NT_EVENTLOG_PROVIDER : Win32_NTLogEvent; HostID = 556; ProviderName = MS_NT_EVENTLOG_PROVIDER; ProviderGuid = ; Путь = %systemroot%\system32\wbem\ntevt.dll

Из приведенных выше операций можно получить следующие дополнительные сведения:

  • Timestamp
  • Идентификатор операции: 30642;
  • Точная операция = Start IWbemServices::CreateInstanceEnum — root\cimv2 : Win32_NTLogEvent ;
  • Клиентский компьютер = 21H2W10M
  • User = CONTOSO\
  • ИДЕНТИФИКАТОР клиента, который инициировал запрос: 5484

Наконец, у вас есть PID клиентского процесса 5484, который инициирует запрос к Win32_NTLogEvent . Это обрабатывается поставщиком MS_NT_EVENTLOG_PROVIDER и размещается в WmiPrvse.exe PID 552, что приводит к высокой загрузке ЦП.

После сужения идентификаторов PID клиента используйте одно из следующих средств, чтобы найти имя процесса.

  • Диспетчер задач
  • Обозреватель процессов
  • Системный монитор
  • WMIMon

Дополнительные сведения о WmiMon

WMImon.exe — это мощное средство мониторинга, позволяющее отслеживать и отслеживать системные события и использование ресурсов службой WMI.

Он служит важной функцией идентификации вызовов WMI и запросов, выполняемых другими процессами, а также предоставления сведений о частоте запросов, учетной записи пользователя, используемой для запросов, и запрошенной информации.

Эти данные могут быть полезны системным администраторам, которым необходимо устранить проблемы с производительностью.

Чтобы собрать и проанализировать эти данные, выполните пошаговые инструкции:

  1. Определите PID WmiPrvSE.exe , который потребляет загрузку ЦП, с помощью описанных выше методов.
  2. Скачайте средствоWMIMon.exe из GitHub — luctalpe/WMIMon. Это средство предназначено для мониторинга активности WMI в Windows.
  3. Извлеките содержимое файлаWMIMon_Binaries.zip в папку на компьютере.
  4. Откройте командную строку от имени администратора и перейдите в папку, в которой вы извлекли файлы WMIMon.
  5. Выполните файлWMIMon.exe , введя WMIMon.exe в командной строке и нажав клавишу ВВОД .
  6. Теперь WMIMon начнет мониторинг вызовов WMI, выполняемых процессами в системе, включая те, которые определены на шаге 1.
  7. WMIMon отображает такие сведения, как идентификатор процесса клиента, пространство имен WMI, вызываемое операцией, имя класса WMI и учетная запись пользователя, используемая для выполнения запроса.
  8. Проанализируйте выходные данные из WMIMon, чтобы определить, какие процессы часто вызывают WMI и могут привести к высокой загрузке ЦП.

Выполнив эти действия, вы можете эффективно использовать WMIMon.exe для мониторинга активности WMI в системе и выявления проблем с производительностью или безопасностью, вызванных чрезмерным использованием WMI.

Снимок экрана: данные, захваченные WMIMon.

Данные, захваченные WMIMon, можно экспортировать в текстовый файл, выполнив WMIMon.exe > Data.txt команду в командной строке. Чтобы остановить захват данных, нажмите клавиши CTRL + C .

Могут возникнуть сложные ситуации, в которых невозможно сузить определенный piD клиента, приложение или EXE. В таких случаях может быть полезно рассмотреть общую сущность, например имя пользователя или связанный компьютер.

Это значит, что пользователь, инициирующий запрос, является учетной записью службы или связан с определенным приложением.

Другие решения

После завершения работы с подозреваемым можно временно отключить службу или удалить связанное с ней приложение и проверить, устранена ли проблема с высокой загрузкой ЦП.

Ниже приведены некоторые сценарии, в которых отключение может проверить ваши наблюдения.

  • Мониторинг приложений и служб
  • System Center Configuration Manager (SCCM) (policyhost.exe или Monitoringhost.exe)
  • Powershell.exe выполнение скриптов, содержащих запросы WMI
  • Любое стороннее приложение

Сбор данных

Если вам нужна помощь со стороны службы поддержки Майкрософт, рекомендуем собрать информацию, выполнив действия, описанные в статье Сбор информации с помощью TSS для проблем с взаимодействием с пользователем.

Вы также можете собирать сведения с помощью средства WMI-Collect. Эти этапы описаны ниже.

  1. Скачайте WMI-Collect.zip и извлеките его в папку, например C:\temp.
  2. В командной строке PowerShell с повышенными привилегиями запустите сценарий WMI-Collect.ps1 из папки, в которой сохранен скрипт. Например:

C:\temp\WMI-Collect.ps1 -Logs -Trace -Activity -Kernel -WPR -PerfMonWMIPrvSE 
  • Оставьте командную строку PowerShell открытой с сообщением «Нажмите ВВОД, чтобы остановить запись», и убедитесь, что процессWmiPrvse.exe или проблема с высокой загрузкой ЦП службы WMI воспроизведена.
  • Не включайте трассировку более одной минуты.

Скрипт создаст вложенную папку, содержащую результаты всех трассировок и диагностические сведения. Сжать папку. После создания обращения в службу поддержки этот файл можно отправить в безопасную рабочую область для анализа.

Обратная связь

Были ли сведения на этой странице полезными?

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *