Данный процесс C:\WINDOWS\system32\wbem\Wmiprvse.exe (размер файла 227840 байт) периодически в течении дня подвешивает на секунд 15-20 процессор на 100% , см. ниже ссылку (в течении 10 минут 2 раза происходит нагрузка на процессор этим процессом)
Как только данный процесс начинает "вешать" процессор, в логах операционной системы возникает следующая ошибка:

Управление компьютером-Служебные программы-Просмотр событий-Система

Настройки разрешений зависящие от конкретного приложения не предоставляют разрешение Локально Запуск для приложения сервера COM Server с CLSID
{24FF4FDC-1D9F-4195-8C79-0DA39248FF48}
пользователю NT AUTHORITY\SYSTEM SID (S-1-5-18). Это разрешение можно изменить с помощью средства администрирования Component Services.

Запускаем реестр системы regedit:
• Поиск - 24FF4FDC-1D9F-4195-8C79-0DA39248FF48
• Находим AppID={B292921D-AF50-400c-9B75-0C57A7F29BA1}
• Снова запускаем поиск , последнему соответствует NAP Agent Service
• Запускаем dcomcnfg
• Службы компонентов-Компьютеры-Мой компьютер-Настройка DCOM, выходит предупреждающее сообщение (см. ниже ссылку), жмем ДА
• Появляется еще одно предупреждающее сообщение, снова жмем кнопку ДА
• Находим NAP Agent Service-Свойство-Безопасность
Разрешение на запуск и активацию-Настроить-Изменить
NETWORK SERVICE-Локальная активация
SYSTEM-Локальная активация
Прошедшие проверку–Локальная активация

Права доступа-По умолчанию

Разрешения на настройку-Настроить-Изменить-
SYSTEM-Полный доступ,Чтение, Особые разрешения
Администраторы- Полный доступ,Чтение, Особые разрешения
Опытные пользователи- Чтение,Особые разрешения
Пользователи-Чтение,Особые разрешения
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ-Особые разрешения

• Загрузился в безопасном режиме, переименовал файл wmiprvse.exe в wmiprvse.exe_old
• Запустил систему, теперь wmiprvse.exe не вешает процессор, что уже радует , но теперь в логах системы куча подобных сообщений (см. ниже ссылку):

Не удается запустить сервер DCOM: {1F87137D-0E7C-44D5-8C73-4EFFB68962F2}. Ошибка:
"Не удается найти указанный файл. "
возникла при запуске команды:
C:\WINDOWS\system32\wbem\wmiprvse.exe -secured -Embedding

p.s. Компьютеры организации находятся в домене. Вышеописанная ошибка проявляется на всех компьютерах. ОС Windows XP Pro SP3 лицензионная, переустановленная с начала этого года.
Выводил компьютер из домена, ошибка по-прежнему наблюдается.
На компьютере установлен Антивирус Касперского 6.0 для Windows WorkStation. Проверял все компьютеры на вируса следующими утилитами (AVZ, Dr.Web CureIt, HiJackThis, MALWAREBYTES' ANTI-MALWARE, McAfee AVERT Stinger), все чисто.

Ответ Центр Информационной и Технической поддержки Microsoft: в данном случае, поддержка возможна на платной основе (стоимость одного обращения в рабочее время (по телефону или через Интернет) составляет 149 долл. США + НДС) или в виде самостоятельного поиска информации на ресурсах Microsoft: http://support.microsoft.com, http://answers.microsoft.com, http://technet.microsoft.com.
На форум (http://support.microsoft.com) обращался, никакого результата.

Хотелось бы все-таки выяснить и устранить причину, по которой этот процесс вешает компьютер

Ссылки на скриншоты:
Ошибка после удаления процесса - http://s019.radikal.ru/i626/1205/0c/ba00a158ca53.jpg
Процесс в диспетчере задач - http://s019.radikal.ru/i610/1205/46/b04617aed839.jpg
Процесс в диспетчере задач - http://s59.radikal.ru/i166/1205/17/4c15f68e44ff.jpg
Лог ошибки в системе - http://s017.radikal.ru/i439/1205/cf/13d7d2ad0d6a.jpg

ошибка проявляется на всех компьютерах
Попробуйте с помощью Msconfig (http://support.microsoft.com/kb/310560/ru) отключить сторонние (не Microsoft) программы и службы из автозагрузки.
Если используется SMS 2003
After you install SMS 2003 SP3, the Wmiprvse.exe process may generate high CPU usage on client computers during hardware-inventory operations (http://support.microsoft.com/kb/937882/en-us)
Посмотрите в доменных политиках, не заданы ли WMI-фильтры.
Если в командной строке (cmd.exe) выполнить:
gpupdate /force
при этом Wmiprvse.exe не появится?
Пуск -> Выполнить -> wmimgmt.msc -> на Элемент управления WMI (локальный) правой кнопкой мыши -> Свойства -> вкладка Ведение журнала -> Уровень ведения журнала -> включите Подробный.
После этого в логе \WINDOWS\system32\wbem\Logs\wbemcore.log будут сохраняться WMI-запросы (выложите после очередного пика загрузки процессора).

1.
- Ключи ветвей Run в реестре проверял, ничего лишнего, все нужное
- Msconfig – тоже ничего лишнего нет
- Адаптер производительности WMI (C:\WINDOWS\system32\wbem\wmiapsrv.exe), Тип запуска – Вручную
- Справка и поддержка (C:\WINDOWS\System32\svchost.exe -k netsvcs), Тип запуска – Вручную
- Свободное место на разделе, где стоит система, имеется в достаточном количестве.
- HPTLBXFX.exe - тулбокс от принтера – на компьютерах отсутствует
- Список загруженых процессов на компьютере прилагаю

2. SMS 2003 - это что?
3. насчет WMI-фильтров, это нужно обращатся у админам домена


Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.

U:\>gpupdate /force
Обновление политики...

Обновление политики User завершено.
Обновление политики Computer завершено.

4. Уровень ведения журнала -> включите Подробный.
включил , перезагрузил компьютер, после покажу файл wbemcore.log

C:\WINDOWS\system32\wbem\Logs\wbemcore.log - прилагаю

время когда была нагрузка на процессор: 15:43 (длительность 23 секунды), 15:57 (длительность 20 секунд) и т.д.

C:\WINDOWS\system32\wbem\Logs\wbemcore.log
скачать можно по ссылке
http://files.mail.ru/32O583

Это инвентаризация:
SELECT LastBootUpTime,TotalVisibleMemorySize,TotalVirtualMemorySize,SizeStoredInPagingFiles,FreePhysicalMem ory,FreeVirtualMemory,FreeSpaceInPagingFiles FROM Win32_OperatingSystem
SELECT Capacity FROM Win32_PhysicalMemory
SELECT Name, WorkingSetSize FROM Win32_Process
SELECT Name FROM Win32_ComputerSystem
SELECT Name FROM Win32_Processor
SELECT Name FROM Win32_LogicalDisk
SELECT Name,Description,VolumeName,DriveType,Size,FreeSpace FROM Win32_LogicalDisk
Select EventType from Win32_NTLogEvent where LogFile='Application'
Select EventType,TimeGenerated,SourceName,EventIdentifier,Message from Win32_NTLogEvent where LogFile='Application'
Select EventType from Win32_NTLogEvent where LogFile='System'
Select EventType,TimeGenerated,SourceName,EventIdentifier,Message from Win32_NTLogEvent where LogFile='System'
SELECT Name FROM Win32_PageFileUsage
SELECT * FROM Win32_PageFileUsage
SELECT InstallDate FROM Cim_Datafile WHERE Name ="C:\\pagefile.sys"
SELECT Name FROM Win32_NetworkProtocol
SELECT * FROM Win32_NetworkProtocol

Инициирует ее некая сетевая служба:
(Mon May 14 15:57:43 2012.976531) : CALL ConnectionLogin::NTLMLogin
wszNetworkResource = Root
pPreferredLocale = (null)
lFlags = 0x0
(Mon May 14 15:57:43 2012.976531) : DCOM connection from NT AUTHORITY\NETWORK SERVICE at authentiction level Privacy, AuthnSvc = 10, AuthzSvc = 0, Capabilities = 0


Msconfig – тоже ничего лишнего нет
Сначала нужно диагностировать проблему.
Размышлять на тему "лишнее - не лишнее" будете потом.

SMS 2003 - это что?
Google или Яндекс легко ответят вам.

это нужно обращатся у админам домена
Надеюсь, вы не боитесь задать им вопрос?
Они подскажут, какое ПО запускает инвентаризацию в их домене.

Вопрос то задать можно , ничего от этого не будет
К примеру, узнаю , что данную ошибку вызывает некое ПО , которое видать собирает информацию о компах , которые в домене
они мне скажут что за ПО
а дальше какие действия?

Evgesha_572, почему-то вы не захотели сделать простую вещь:

с помощью Msconfig (http://support.microsoft.com/kb/310560/ru) отключить сторонние (не Microsoft) программы и службы из автозагрузки
bbnt.exe - служба Big Brother SNM Client (от Quest Software).
Знаете, что это? Если нет, спросите у Яндекс или Google (или у тех людей, которые ставили).

они мне скажут что за ПО
а дальше какие действия?
Вот с ними и обсудите.
Удачи!

>bbnt.exe - служба Big Brother SNM Client (от Quest Software).
конечно знаю, сам ставил
но она и раньше стояла на компьютерах

http://support.kaspersky.ru/faq/?qid=208637110
думал , что проблема в Агенте администрирования 8.0.2090, но ничего подобного
удалял его , ситуация не изменилась

но она и раньше стояла
Отключите.
Почитайте на официальном сайте:

When installed on a local machine, Big Brother monitors disk space, CPU usage, messages, and the existence of user-defined processes.
Это согласуется с WMI-запросами в логе.
Если под "messages" подразумевается журнал событий, именно его извлечение (несколько раз) занимает львиную долю времени (пропорционально размеру журнала).

Подобная ошибка не серверной системе (Win2003Server) не наблюдается, только на рабочих станциях (WinXPProfessional SP3).

Отключите.
Почитайте на официальном сайте: »

Big Brother Professional Edition Client 4.00
C:\Program Files\Quest Software\Big Brother\BBNT\4.00\bin\bbnt.exe
Временно отключил данную службу, wmiprvse.exe изчез из списка загруженных процессов, и больше не появляется.
Процессор не загружает.
Но вот ошибки в логах все равно пишутся

Настройки разрешений зависящие от конкретного приложения не предоставляют разрешение Локально Запуск для приложения сервера COM Server с CLSID
{24FF4FDC-1D9F-4195-8C79-0DA39248FF48}
пользователю NT AUTHORITY\SYSTEM SID (S-1-5-18). Это разрешение можно изменить с помощью средства администрирования Component Services.

Big Brother Professional Edition Client 4.00
C:\Program Files\Quest Software\Big Brother\BBNT\4.00\bin\bbnt.exe
Полностью снес данное ПО с компьютера, результат

1. Wmiprvse.exe теперь не вешает систему
2. В логах системы все таки ошибки пишутся

Настройки разрешений зависящие от конкретного приложения не предоставляют разрешение Локально Запуск для приложения сервера COM Server с CLSID
{24FF4FDC-1D9F-4195-8C79-0DA39248FF48}
пользователю NT AUTHORITY\SYSTEM SID (S-1-5-18). Это разрешение можно изменить с помощью средства администрирования Component Services.

+

• Запускаем dcomcnfg
• Службы компонентов-Компьютеры-Мой компьютер-Настройка DCOM, выходит предупреждающее сообщение (см. ниже ссылку), жмем ДА
• Появляется еще одно предупреждающее сообщение, снова жмем кнопку ДА
• Находим NAP Agent Service-Свойство-Безопасность
Разрешение на запуск и активацию-Настроить-Изменить
NETWORK SERVICE-Локальная активация
SYSTEM-Локальная активация
Прошедшие проверку–Локальная активация

Добавил пользователя , и дал ему след. права
Локальная активация
Локальный запуск

но ошибка в логах не исчезает

Добавил пользователя , и дал ему след. права »

но ошибка в логах не исчезает
Просто она никак не связана с Wmiprvse.exe и не относится к теме, и вообще не имеет значения.

Просто она никак не связана с Wmiprvse.exe и не относится к теме, и вообще не имеет значения. »

а как выяснить причину данной ошибки? из-за чего то она ведь появляется в логах

После установки всех обновлений (Kaspersky Administration Kit 8.0.2177 и Агент администрирования 8.0.2177)
и выполнения инструкции по ссылке - http://support.kaspersky.ru/faq/?qid=208637110 (в разделе NAP не создавал DWORD ключ с именем Enable),
ошибка с кодом 10016 исчезла из лога системного винды.
См. ссылки:

Как было раньше, куча ошибок с колом 10016 - http://s41.radikal.ru/i092/1205/3a/daf6639fba76.jpg
Как теперь стало, ни одной ошибки нет - http://s019.radikal.ru/i616/1205/9d/ee154f428e4d.jpg

Причину почему вешал процессор файл C:\WINDOWS\system32\wbem\Wmiprvse.exe, выяснил, причина была в программе
Big Brother Professional Edition Client 4.00 (http://bb4.com/)
C:\Program Files\Quest Software\Big Brother\BBNT\4.00\bin\bbnt.exe
Временно отключил данную службу (поставил режим запуска службы - вручную), wmiprvse.exe изчез из списка загруженных процессов, и больше не появляется. Процессор не загружает.
Буду теперь копатся с процессом bbnt.exe

похожая проблема на win 7 Ultimate x86. wmiprvse.exe грузит систему не сильно но все же неприятно наблюдать это явление, особенно если его раньше не было. графически в process explorer выглядит так:
http://img405.imageshack.us/img405/7144/xq0r.th.png (http://img405.imageshack.us/i/xq0r.png/)
Решил не плодить темы и задать вопрос здесь.
для начала провел полную проверку системы c помощью KIS 2013. проверка ничего не обраружила.
затем выполнил рекомендации из поста #2:
через msconfig отключил все в автозагрузке. без изменений.
выполнил gpupdate /force -
Обновление политики User завершено.
Обновление политики Computer завершено.


при этом Wmiprvse.exe не появится?Пуск -> Выполнить -> wmimgmt.msc -> на Элемент управления WMI (локальный) правой кнопкой мыши -> Свойства -> вкладка Ведение журнала -> Уровень ведения журнала -> включите Подробный. »
т.к. у меня win 7. этот пункт открывается по-другому. не знаю насколько правильно я понял мысль, но воспользовался инструкцией отсюда (http://www.admblog.ru/wmiprvse-%D0%B3%D1%80%D1%83%D0%B7%D0%B8%D1%82-%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D1%83/):
В меню View выбираем Show Analytic and Debug Logs
Идем сюда: Application and Services Logs -> Microsoft -> Windows -> WMI-Activity
правой кнопкой жмем на WMI-Activity -> Trace и выбираем Свойства.
Выбираем Enable Logging (обязательно чтобы Event Viewer был запущен под администратором, иначе галочка не сохранится).
только у меня когда выбираю Enable Logging ок вылетает
http://img716.imageshack.us/img716/124/qmyp.th.png (http://img716.imageshack.us/i/qmyp.png/)
когда я методом тыка убрал галочку Enable Logging, в правом окне появились записи:
http://img854.imageshack.us/img854/42/ngss.th.png (http://img854.imageshack.us/i/ngss.png/)
нажал "Сохранить журнал" в txt.105871
Оцените, пожалуйста, что там в журнале.

"Появление" wmiprvse.exe в диспетчере задач следствие работы "Службы криптографии". Отключив "Службы криптографии" прекращаем "Появление" wmiprvse.exe в диспетчере задач. Можно удалить wmiprvse.exe по адресу C:\WINDOWS\system32\wbem. Но только после вышеперечисленного. Это "подарок" от "мелкомягкости".