[решено] Процесс wmiprvse.exe стал периодически вешать систему

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Microsoft Windows 2000/XP (http://forum.oszone.net/forumdisplay.php?f=6)

Процесс wmiprvse.exe стал периодически вешать систему

Данный процесс C:\WINDOWS\system32\wbem\Wmiprvse.exe (размер файла 227840 байт) периодически в течении дня подвешивает на секунд 15-20 процессор на 100% , см. ниже ссылку (в течении 10 минут 2 раза происходит нагрузка на процессор этим процессом)
Как только данный процесс начинает "вешать" процессор, в логах операционной системы возникает следующая ошибка:

Управление компьютером-Служебные программы-Просмотр событий-Система

Настройки разрешений зависящие от конкретного приложения не предоставляют разрешение Локально Запуск для приложения сервера COM Server с CLSID
{24FF4FDC-1D9F-4195-8C79-0DA39248FF48}
пользователю NT AUTHORITY\SYSTEM SID (S-1-5-18). Это разрешение можно изменить с помощью средства администрирования Component Services.

Запускаем реестр системы regedit:
• Поиск - 24FF4FDC-1D9F-4195-8C79-0DA39248FF48
• Находим AppID={B292921D-AF50-400c-9B75-0C57A7F29BA1}
• Снова запускаем поиск , последнему соответствует NAP Agent Service
• Запускаем dcomcnfg
• Службы компонентов-Компьютеры-Мой компьютер-Настройка DCOM, выходит предупреждающее сообщение (см. ниже ссылку), жмем ДА
• Появляется еще одно предупреждающее сообщение, снова жмем кнопку ДА
• Находим NAP Agent Service-Свойство-Безопасность
Разрешение на запуск и активацию-Настроить-Изменить
NETWORK SERVICE-Локальная активация
SYSTEM-Локальная активация
Прошедшие проверку–Локальная активация

Права доступа-По умолчанию

Разрешения на настройку-Настроить-Изменить-
SYSTEM-Полный доступ,Чтение, Особые разрешения
Администраторы- Полный доступ,Чтение, Особые разрешения
Опытные пользователи- Чтение,Особые разрешения
Пользователи-Чтение,Особые разрешения
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ-Особые разрешения

• Загрузился в безопасном режиме, переименовал файл wmiprvse.exe в wmiprvse.exe_old
• Запустил систему, теперь wmiprvse.exe не вешает процессор, что уже радует , но теперь в логах системы куча подобных сообщений (см. ниже ссылку):

Не удается запустить сервер DCOM: {1F87137D-0E7C-44D5-8C73-4EFFB68962F2}. Ошибка:
"Не удается найти указанный файл. "
возникла при запуске команды:
C:\WINDOWS\system32\wbem\wmiprvse.exe -secured -Embedding

p.s. Компьютеры организации находятся в домене. Вышеописанная ошибка проявляется на всех компьютерах. ОС Windows XP Pro SP3 лицензионная, переустановленная с начала этого года.
Выводил компьютер из домена, ошибка по-прежнему наблюдается.
На компьютере установлен Антивирус Касперского 6.0 для Windows WorkStation. Проверял все компьютеры на вируса следующими утилитами (AVZ, Dr.Web CureIt, HiJackThis, MALWAREBYTES' ANTI-MALWARE, McAfee AVERT Stinger), все чисто.

Ответ Центр Информационной и Технической поддержки Microsoft: в данном случае, поддержка возможна на платной основе (стоимость одного обращения в рабочее время (по телефону или через Интернет) составляет 149 долл. США + НДС) или в виде самостоятельного поиска информации на ресурсах Microsoft: http://support.microsoft.com, http://answers.microsoft.com, http://technet.microsoft.com.
На форум (http://support.microsoft.com) обращался, никакого результата.

Хотелось бы все-таки выяснить и устранить причину, по которой этот процесс вешает компьютер

Ссылки на скриншоты:
Ошибка после удаления процесса - http://s019.radikal.ru/i626/1205/0c/ba00a158ca53.jpg
Процесс в диспетчере задач - http://s019.radikal.ru/i610/1205/46/b04617aed839.jpg
Процесс в диспетчере задач - http://s59.radikal.ru/i166/1205/17/4c15f68e44ff.jpg
Лог ошибки в системе - http://s017.radikal.ru/i439/1205/cf/13d7d2ad0d6a.jpg

Цитата:

Цитата Evgesha_572

ошибка проявляется на всех компьютерах

Попробуйте с помощью Msconfig отключить сторонние (не Microsoft) программы и службы из автозагрузки.
Если используется SMS 2003
After you install SMS 2003 SP3, the Wmiprvse.exe process may generate high CPU usage on client computers during hardware-inventory operations
Посмотрите в доменных политиках, не заданы ли WMI-фильтры.
Если в командной строке (cmd.exe) выполнить:

Код:

gpupdate /force

при этом Wmiprvse.exe не появится?
Пуск -> Выполнить -> wmimgmt.msc -> на Элемент управления WMI (локальный) правой кнопкой мыши -> Свойства -> вкладка Ведение журнала -> Уровень ведения журнала -> включите Подробный.
После этого в логе \WINDOWS\system32\wbem\Logs\wbemcore.log будут сохраняться WMI-запросы (выложите после очередного пика загрузки процессора).

1.
- Ключи ветвей Run в реестре проверял, ничего лишнего, все нужное
- Msconfig – тоже ничего лишнего нет
- Адаптер производительности WMI (C:\WINDOWS\system32\wbem\wmiapsrv.exe), Тип запуска – Вручную
- Справка и поддержка (C:\WINDOWS\System32\svchost.exe -k netsvcs), Тип запуска – Вручную
- Свободное место на разделе, где стоит система, имеется в достаточном количестве.
- HPTLBXFX.exe - тулбокс от принтера – на компьютерах отсутствует
- Список загруженых процессов на компьютере прилагаю

2. SMS 2003 - это что?
3. насчет WMI-фильтров, это нужно обращатся у админам домена

Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.

U:\>gpupdate /force
Обновление политики...

Обновление политики User завершено.
Обновление политики Computer завершено.

4. Уровень ведения журнала -> включите Подробный.
включил , перезагрузил компьютер, после покажу файл wbemcore.log

C:\WINDOWS\system32\wbem\Logs\wbemcore.log - прилагаю

время когда была нагрузка на процессор: 15:43 (длительность 23 секунды), 15:57 (длительность 20 секунд) и т.д.

C:\WINDOWS\system32\wbem\Logs\wbemcore.log
скачать можно по ссылке
http://files.mail.ru/32O583

Это инвентаризация:

Код:

SELECT LastBootUpTime,TotalVisibleMemorySize,TotalVirtualMemorySize,SizeStoredInPagingFiles,FreePhysicalMemory,FreeVirtualMemory,FreeSpaceInPagingFiles FROM Win32_OperatingSystem

SELECT Capacity FROM Win32_PhysicalMemory

SELECT Name, WorkingSetSize FROM Win32_Process

SELECT Name FROM Win32_ComputerSystem

SELECT Name FROM Win32_Processor

SELECT Name FROM Win32_LogicalDisk

SELECT Name,Description,VolumeName,DriveType,Size,FreeSpace FROM Win32_LogicalDisk

Select EventType from Win32_NTLogEvent where LogFile='Application'

Select EventType,TimeGenerated,SourceName,EventIdentifier,Message from Win32_NTLogEvent where LogFile='Application'

Select EventType from Win32_NTLogEvent where LogFile='System'

Select EventType,TimeGenerated,SourceName,EventIdentifier,Message from Win32_NTLogEvent where LogFile='System'

SELECT Name FROM Win32_PageFileUsage

SELECT * FROM Win32_PageFileUsage

SELECT InstallDate FROM Cim_Datafile WHERE Name ="C:\\pagefile.sys"

SELECT Name FROM Win32_NetworkProtocol

SELECT * FROM Win32_NetworkProtocol

Инициирует ее некая сетевая служба:

Код:

(Mon May 14 15:57:43 2012.976531) : CALL ConnectionLogin::NTLMLogin

   wszNetworkResource = Root

   pPreferredLocale = (null)

   lFlags = 0x0

(Mon May 14 15:57:43 2012.976531) : DCOM connection from NT AUTHORITY\NETWORK SERVICE at authentiction level Privacy, AuthnSvc = 10, AuthzSvc = 0, Capabilities = 0

Цитата:

Цитата Evgesha_572

Msconfig – тоже ничего лишнего нет

Сначала нужно диагностировать проблему.
Размышлять на тему "лишнее - не лишнее" будете потом.

Цитата:

Цитата Evgesha_572

SMS 2003 - это что?

Google или Яндекс легко ответят вам.

Цитата:

Цитата Evgesha_572

это нужно обращатся у админам домена

Надеюсь, вы не боитесь задать им вопрос?
Они подскажут, какое ПО запускает инвентаризацию в их домене.

Вопрос то задать можно , ничего от этого не будет
К примеру, узнаю , что данную ошибку вызывает некое ПО , которое видать собирает информацию о компах , которые в домене
они мне скажут что за ПО
а дальше какие действия?

Evgesha_572, почему-то вы не захотели сделать простую вещь:

Цитата:

Цитата Petya V4sechkin

с помощью Msconfig отключить сторонние (не Microsoft) программы и службы из автозагрузки

bbnt.exe - служба Big Brother SNM Client (от Quest Software).
Знаете, что это? Если нет, спросите у Яндекс или Google (или у тех людей, которые ставили).

Цитата:

Цитата Evgesha_572

они мне скажут что за ПО
а дальше какие действия?

Вот с ними и обсудите.
Удачи!

>bbnt.exe - служба Big Brother SNM Client (от Quest Software).
конечно знаю, сам ставил
но она и раньше стояла на компьютерах

http://support.kaspersky.ru/faq/?qid=208637110
думал , что проблема в Агенте администрирования 8.0.2090, но ничего подобного
удалял его , ситуация не изменилась

Цитата:

Цитата Evgesha_572

но она и раньше стояла

Отключите.
Почитайте на официальном сайте:

Цитата:

Цитата Quest Software

When installed on a local machine, Big Brother monitors disk space, CPU usage, messages, and the existence of user-defined processes.

Это согласуется с WMI-запросами в логе.
Если под "messages" подразумевается журнал событий, именно его извлечение (несколько раз) занимает львиную долю времени (пропорционально размеру журнала).

Подобная ошибка не серверной системе (Win2003Server) не наблюдается, только на рабочих станциях (WinXPProfessional SP3).

Цитата:

Цитата Petya V4sechkin

Отключите.
Почитайте на официальном сайте: »

Big Brother Professional Edition Client 4.00
C:\Program Files\Quest Software\Big Brother\BBNT\4.00\bin\bbnt.exe
Временно отключил данную службу, wmiprvse.exe изчез из списка загруженных процессов, и больше не появляется.
Процессор не загружает.
Но вот ошибки в логах все равно пишутся

Настройки разрешений зависящие от конкретного приложения не предоставляют разрешение Локально Запуск для приложения сервера COM Server с CLSID
{24FF4FDC-1D9F-4195-8C79-0DA39248FF48}
пользователю NT AUTHORITY\SYSTEM SID (S-1-5-18). Это разрешение можно изменить с помощью средства администрирования Component Services.

Big Brother Professional Edition Client 4.00
C:\Program Files\Quest Software\Big Brother\BBNT\4.00\bin\bbnt.exe
Полностью снес данное ПО с компьютера, результат

1. Wmiprvse.exe теперь не вешает систему
2. В логах системы все таки ошибки пишутся

Настройки разрешений зависящие от конкретного приложения не предоставляют разрешение Локально Запуск для приложения сервера COM Server с CLSID
{24FF4FDC-1D9F-4195-8C79-0DA39248FF48}
пользователю NT AUTHORITY\SYSTEM SID (S-1-5-18). Это разрешение можно изменить с помощью средства администрирования Component Services.

+

• Запускаем dcomcnfg
• Службы компонентов-Компьютеры-Мой компьютер-Настройка DCOM, выходит предупреждающее сообщение (см. ниже ссылку), жмем ДА
• Появляется еще одно предупреждающее сообщение, снова жмем кнопку ДА
• Находим NAP Agent Service-Свойство-Безопасность
Разрешение на запуск и активацию-Настроить-Изменить
NETWORK SERVICE-Локальная активация
SYSTEM-Локальная активация
Прошедшие проверку–Локальная активация

Добавил пользователя , и дал ему след. права
Локальная активация
Локальный запуск

но ошибка в логах не исчезает

Цитата:

Цитата Evgesha_572

Добавил пользователя , и дал ему след. права »

Цитата:

Цитата Evgesha_572

но ошибка в логах не исчезает

Просто она никак не связана с Wmiprvse.exe и не относится к теме, и вообще не имеет значения.

Цитата:

Цитата Petya V4sechkin

Просто она никак не связана с Wmiprvse.exe и не относится к теме, и вообще не имеет значения. »

а как выяснить причину данной ошибки? из-за чего то она ведь появляется в логах

После установки всех обновлений (Kaspersky Administration Kit 8.0.2177 и Агент администрирования 8.0.2177)
и выполнения инструкции по ссылке - http://support.kaspersky.ru/faq/?qid=208637110 (в разделе NAP не создавал DWORD ключ с именем Enable),
ошибка с кодом 10016 исчезла из лога системного винды.
См. ссылки:

Как было раньше, куча ошибок с колом 10016 - http://s41.radikal.ru/i092/1205/3a/daf6639fba76.jpg
Как теперь стало, ни одной ошибки нет - http://s019.radikal.ru/i616/1205/9d/ee154f428e4d.jpg

Причину почему вешал процессор файл C:\WINDOWS\system32\wbem\Wmiprvse.exe, выяснил, причина была в программе
Big Brother Professional Edition Client 4.00 (http://bb4.com/)
C:\Program Files\Quest Software\Big Brother\BBNT\4.00\bin\bbnt.exe
Временно отключил данную службу (поставил режим запуска службы - вручную), wmiprvse.exe изчез из списка загруженных процессов, и больше не появляется. Процессор не загружает.
Буду теперь копатся с процессом bbnt.exe

похожая проблема на win 7 Ultimate x86. wmiprvse.exe грузит систему не сильно но все же неприятно наблюдать это явление, особенно если его раньше не было. графически в process explorer выглядит так:

Решил не плодить темы и задать вопрос здесь.
для начала провел полную проверку системы c помощью KIS 2013. проверка ничего не обраружила.
затем выполнил рекомендации из поста #2:
через msconfig отключил все в автозагрузке. без изменений.
выполнил gpupdate /force -

Цитата:

Обновление политики User завершено.
Обновление политики Computer завершено.

Цитата:

Цитата Petya V4sechkin

при этом Wmiprvse.exe не появится?Пуск -> Выполнить -> wmimgmt.msc -> на Элемент управления WMI (локальный) правой кнопкой мыши -> Свойства -> вкладка Ведение журнала -> Уровень ведения журнала -> включите Подробный. »

т.к. у меня win 7. этот пункт открывается по-другому. не знаю насколько правильно я понял мысль, но воспользовался инструкцией отсюда:

Цитата:

В меню View выбираем Show Analytic and Debug Logs
Идем сюда: Application and Services Logs -> Microsoft -> Windows -> WMI-Activity
правой кнопкой жмем на WMI-Activity -> Trace и выбираем Свойства.
Выбираем Enable Logging (обязательно чтобы Event Viewer был запущен под администратором, иначе галочка не сохранится).

только у меня когда выбираю Enable Logging ок вылетает

когда я методом тыка убрал галочку Enable Logging, в правом окне появились записи:

нажал "Сохранить журнал" в txt.Файл 105871
Оцените, пожалуйста, что там в журнале.

"Появление" wmiprvse.exe в диспетчере задач следствие работы "Службы криптографии". Отключив "Службы криптографии" прекращаем "Появление" wmiprvse.exe в диспетчере задач. Можно удалить wmiprvse.exe по адресу C:\WINDOWS\system32\wbem. Но только после вышеперечисленного. Это "подарок" от "мелкомягкости".