Процесс wmiprvse.exe стал периодически вешать систему
Данный процесс C:\WINDOWS\system32\wbem\Wmiprvse.exe (размер файла 227840 байт) периодически в течении дня подвешивает на секунд 15-20 процессор на 100% , см. ниже ссылку (в течении 10 минут 2 раза происходит нагрузка на процессор этим процессом)
Как только данный процесс начинает "вешать" процессор, в логах операционной системы возникает следующая ошибка: Управление компьютером-Служебные программы-Просмотр событий-Система Настройки разрешений зависящие от конкретного приложения не предоставляют разрешение Локально Запуск для приложения сервера COM Server с CLSID {24FF4FDC-1D9F-4195-8C79-0DA39248FF48} пользователю NT AUTHORITY\SYSTEM SID (S-1-5-18). Это разрешение можно изменить с помощью средства администрирования Component Services. Запускаем реестр системы regedit: • Поиск - 24FF4FDC-1D9F-4195-8C79-0DA39248FF48 • Находим AppID={B292921D-AF50-400c-9B75-0C57A7F29BA1} • Снова запускаем поиск , последнему соответствует NAP Agent Service • Запускаем dcomcnfg • Службы компонентов-Компьютеры-Мой компьютер-Настройка DCOM, выходит предупреждающее сообщение (см. ниже ссылку), жмем ДА • Появляется еще одно предупреждающее сообщение, снова жмем кнопку ДА • Находим NAP Agent Service-Свойство-Безопасность Разрешение на запуск и активацию-Настроить-Изменить NETWORK SERVICE-Локальная активация SYSTEM-Локальная активация Прошедшие проверку–Локальная активация Права доступа-По умолчанию Разрешения на настройку-Настроить-Изменить- SYSTEM-Полный доступ,Чтение, Особые разрешения Администраторы- Полный доступ,Чтение, Особые разрешения Опытные пользователи- Чтение,Особые разрешения Пользователи-Чтение,Особые разрешения СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ-Особые разрешения • Загрузился в безопасном режиме, переименовал файл wmiprvse.exe в wmiprvse.exe_old • Запустил систему, теперь wmiprvse.exe не вешает процессор, что уже радует , но теперь в логах системы куча подобных сообщений (см. ниже ссылку): Не удается запустить сервер DCOM: {1F87137D-0E7C-44D5-8C73-4EFFB68962F2}. Ошибка: "Не удается найти указанный файл. " возникла при запуске команды: C:\WINDOWS\system32\wbem\wmiprvse.exe -secured -Embedding p.s. Компьютеры организации находятся в домене. Вышеописанная ошибка проявляется на всех компьютерах. ОС Windows XP Pro SP3 лицензионная, переустановленная с начала этого года. Выводил компьютер из домена, ошибка по-прежнему наблюдается. На компьютере установлен Антивирус Касперского 6.0 для Windows WorkStation. Проверял все компьютеры на вируса следующими утилитами (AVZ, Dr.Web CureIt, HiJackThis, MALWAREBYTES' ANTI-MALWARE, McAfee AVERT Stinger), все чисто. Ответ Центр Информационной и Технической поддержки Microsoft: в данном случае, поддержка возможна на платной основе (стоимость одного обращения в рабочее время (по телефону или через Интернет) составляет 149 долл. США + НДС) или в виде самостоятельного поиска информации на ресурсах Microsoft: http://support.microsoft.com, http://answers.microsoft.com, http://technet.microsoft.com. На форум (http://support.microsoft.com) обращался, никакого результата. Хотелось бы все-таки выяснить и устранить причину, по которой этот процесс вешает компьютер Ссылки на скриншоты: Ошибка после удаления процесса - http://s019.radikal.ru/i626/1205/0c/ba00a158ca53.jpg Процесс в диспетчере задач - http://s019.radikal.ru/i610/1205/46/b04617aed839.jpg Процесс в диспетчере задач - http://s59.radikal.ru/i166/1205/17/4c15f68e44ff.jpg Лог ошибки в системе - http://s017.radikal.ru/i439/1205/cf/13d7d2ad0d6a.jpg |
Цитата:
|
Вложений: 2
1.
- Ключи ветвей Run в реестре проверял, ничего лишнего, все нужное - Msconfig – тоже ничего лишнего нет - Адаптер производительности WMI (C:\WINDOWS\system32\wbem\wmiapsrv.exe), Тип запуска – Вручную - Справка и поддержка (C:\WINDOWS\System32\svchost.exe -k netsvcs), Тип запуска – Вручную - Свободное место на разделе, где стоит система, имеется в достаточном количестве. - HPTLBXFX.exe - тулбокс от принтера – на компьютерах отсутствует - Список загруженых процессов на компьютере прилагаю 2. SMS 2003 - это что? 3. насчет WMI-фильтров, это нужно обращатся у админам домена Microsoft Windows XP [Версия 5.1.2600] (С) Корпорация Майкрософт, 1985-2001. U:\>gpupdate /force Обновление политики... Обновление политики User завершено. Обновление политики Computer завершено. 4. Уровень ведения журнала -> включите Подробный. включил , перезагрузил компьютер, после покажу файл wbemcore.log C:\WINDOWS\system32\wbem\Logs\wbemcore.log - прилагаю время когда была нагрузка на процессор: 15:43 (длительность 23 секунды), 15:57 (длительность 20 секунд) и т.д. C:\WINDOWS\system32\wbem\Logs\wbemcore.log скачать можно по ссылке http://files.mail.ru/32O583 |
Это инвентаризация:
Код:
SELECT LastBootUpTime,TotalVisibleMemorySize,TotalVirtualMemorySize,SizeStoredInPagingFiles,FreePhysicalMemory,FreeVirtualMemory,FreeSpaceInPagingFiles FROM Win32_OperatingSystem Код:
(Mon May 14 15:57:43 2012.976531) : CALL ConnectionLogin::NTLMLogin Цитата:
Размышлять на тему "лишнее - не лишнее" будете потом. Цитата:
Цитата:
Они подскажут, какое ПО запускает инвентаризацию в их домене. |
Вопрос то задать можно , ничего от этого не будет
К примеру, узнаю , что данную ошибку вызывает некое ПО , которое видать собирает информацию о компах , которые в домене они мне скажут что за ПО а дальше какие действия? |
Evgesha_572, почему-то вы не захотели сделать простую вещь:
Цитата:
Знаете, что это? Если нет, спросите у Яндекс или Google (или у тех людей, которые ставили). Цитата:
Удачи! |
>bbnt.exe - служба Big Brother SNM Client (от Quest Software).
конечно знаю, сам ставил но она и раньше стояла на компьютерах http://support.kaspersky.ru/faq/?qid=208637110 думал , что проблема в Агенте администрирования 8.0.2090, но ничего подобного удалял его , ситуация не изменилась |
Цитата:
Почитайте на официальном сайте: Цитата:
Если под "messages" подразумевается журнал событий, именно его извлечение (несколько раз) занимает львиную долю времени (пропорционально размеру журнала). |
Вложений: 3
Подобная ошибка не серверной системе (Win2003Server) не наблюдается, только на рабочих станциях (WinXPProfessional SP3).
Цитата:
C:\Program Files\Quest Software\Big Brother\BBNT\4.00\bin\bbnt.exe Временно отключил данную службу, wmiprvse.exe изчез из списка загруженных процессов, и больше не появляется. Процессор не загружает. Но вот ошибки в логах все равно пишутся Настройки разрешений зависящие от конкретного приложения не предоставляют разрешение Локально Запуск для приложения сервера COM Server с CLSID {24FF4FDC-1D9F-4195-8C79-0DA39248FF48} пользователю NT AUTHORITY\SYSTEM SID (S-1-5-18). Это разрешение можно изменить с помощью средства администрирования Component Services. Big Brother Professional Edition Client 4.00 C:\Program Files\Quest Software\Big Brother\BBNT\4.00\bin\bbnt.exe Полностью снес данное ПО с компьютера, результат 1. Wmiprvse.exe теперь не вешает систему 2. В логах системы все таки ошибки пишутся Настройки разрешений зависящие от конкретного приложения не предоставляют разрешение Локально Запуск для приложения сервера COM Server с CLSID {24FF4FDC-1D9F-4195-8C79-0DA39248FF48} пользователю NT AUTHORITY\SYSTEM SID (S-1-5-18). Это разрешение можно изменить с помощью средства администрирования Component Services. + • Запускаем dcomcnfg • Службы компонентов-Компьютеры-Мой компьютер-Настройка DCOM, выходит предупреждающее сообщение (см. ниже ссылку), жмем ДА • Появляется еще одно предупреждающее сообщение, снова жмем кнопку ДА • Находим NAP Agent Service-Свойство-Безопасность Разрешение на запуск и активацию-Настроить-Изменить NETWORK SERVICE-Локальная активация SYSTEM-Локальная активация Прошедшие проверку–Локальная активация Добавил пользователя , и дал ему след. права Локальная активация Локальный запуск но ошибка в логах не исчезает Цитата:
|
Цитата:
|
Цитата:
|
После установки всех обновлений (Kaspersky Administration Kit 8.0.2177 и Агент администрирования 8.0.2177)
и выполнения инструкции по ссылке - http://support.kaspersky.ru/faq/?qid=208637110 (в разделе NAP не создавал DWORD ключ с именем Enable), ошибка с кодом 10016 исчезла из лога системного винды. См. ссылки: Как было раньше, куча ошибок с колом 10016 - http://s41.radikal.ru/i092/1205/3a/daf6639fba76.jpg Как теперь стало, ни одной ошибки нет - http://s019.radikal.ru/i616/1205/9d/ee154f428e4d.jpg Причину почему вешал процессор файл C:\WINDOWS\system32\wbem\Wmiprvse.exe, выяснил, причина была в программе Big Brother Professional Edition Client 4.00 (http://bb4.com/) C:\Program Files\Quest Software\Big Brother\BBNT\4.00\bin\bbnt.exe Временно отключил данную службу (поставил режим запуска службы - вручную), wmiprvse.exe изчез из списка загруженных процессов, и больше не появляется. Процессор не загружает. Буду теперь копатся с процессом bbnt.exe |
похожая проблема на win 7 Ultimate x86. wmiprvse.exe грузит систему не сильно но все же неприятно наблюдать это явление, особенно если его раньше не было. графически в process explorer выглядит так:
Решил не плодить темы и задать вопрос здесь. для начала провел полную проверку системы c помощью KIS 2013. проверка ничего не обраружила. затем выполнил рекомендации из поста #2: через msconfig отключил все в автозагрузке. без изменений. выполнил gpupdate /force - Цитата:
Цитата:
Цитата:
когда я методом тыка убрал галочку Enable Logging, в правом окне появились записи: нажал "Сохранить журнал" в txt.Файл 105871 Оцените, пожалуйста, что там в журнале. |
"Появление" wmiprvse.exe в диспетчере задач следствие работы "Службы криптографии". Отключив "Службы криптографии" прекращаем "Появление" wmiprvse.exe в диспетчере задач. Можно удалить wmiprvse.exe по адресу C:\WINDOWS\system32\wbem. Но только после вышеперечисленного. Это "подарок" от "мелкомягкости".
|
Время: 15:02. |
Время: 15:02.
© OSzone.net 2001-