Что за процесс WmiPrvSE.exe (WMI Provider Host) и почему он грузит процессор
Среди работающих в фоне процессов Windows 10, 8.1 или Windows 7 вы можете заметить WmiPrvSE.exe или WMI Provider Host, причем иногда этот процесс активно использует ресурсы процессора компьютера или ноутбука.
Что такое WmiPrvSE.exe
Процесс WmiPrvSE.exe или WMI Provider Host — один из необходимых системных процессов Windows, позволяющий программам на компьютере получать различную информацию о системе. При обычной работе этот процесс не вызывает высокой нагрузки на процессор, но это не всегда так.
При условии, что речь именно о системном процессе (находящемся в папке wbem внутри System32 или SysWOW64), отключить или удалить WmiPrvSE.exe нельзя (вернее, вы можете отключить службу, однако это может привести к проблемам в работе некоторых, в том числе системных, программ в дальнейшем), но при высокой нагрузке на процессор, проблему обычно можно решить.
Что делать, если WMI Provider Host грузит процессор
Кратковременная высокая нагрузка со стороны WmiPrvSE.exe является нормальным явлением: например, если вы запустите какую-либо программу определения характеристик компьютера, нагрузка со стороны этого процесса на некоторое время возрастет. Однако, если нагрузка является постоянной и процессор всегда нагружен, можно предположить, что что-то не так.
Чтобы исправить ситуацию, вы можете использовать следующие методы:
- Перезапуск службы «Инструментарий управления Windows». Нажмите клавиши Win+R, введите services.msc, найдите указанную службу (или Windows Management Instrumentation Service), нажмите по ней правой кнопкой мыши и выберите пункт «Перезапустить».
- Используйте «Просмотр событий», чтобы определить какая программа вызывает нагрузку при использовании WMI Provider Host. Зайдите в «Просмотр событий» (Win+R — eventvwr.msc), зайдите в «Журналы приложений и служб» — Microsoft — Windows — WMI-Activity — Operational. Просмотрите последние сообщения с уровнем «Ошибка» (некоторое количество ошибок нормально и при обычной работе). После выбора ошибки в подробностях найдите параметр «ClientProcessID», затем откройте диспетчер задач и найдите процесс с тем же значением в столбце ИД (в Windows 10 — на вкладке «Подробности»). Это позволит узнать, что за программа вызывает нагрузку. Если под этим ID оказался svchost, то речь идет о какой-то службе, подробнее: Что делать, если svchost.exe грузит процессор.
- Если выяснить службу или программу не удалось, но нагрузка появилась недавно, с большой вероятностью виной тому недавно установленное ПО, особенно если оно как-то связано с оптимизацией системы и подобными функциями. Можно попробовать отключить или удалить такие программы, а также использовать точки восстановления системы.
Надеюсь, материал помог разобраться с процессом WmiPrvSE.exe и высокой нагрузкой, если она имеет место быть.
А вдруг и это будет интересно:
- Лучшие бесплатные программы для Windows
- Не удалось запустить службу Windows Audio на Локальный компьютер — как исправить?
- Ошибка DXGI ERROR DEVICE HUNG — как исправить?
- Как сбросить Windows на заводские настройки в командной строке
- Как создать отчет о работе Wi-Fi сети в Windows 11 и 10
- Устройство tap0901 — что это и как установить драйвер?
- Windows 11
- Windows 10
- Android
- Загрузочная флешка
- Лечение вирусов
- Восстановление данных
- Установка с флешки
- Настройка роутера
- Всё про Windows
- В контакте
- Одноклассники
-
Стас 13.05.2020 в 08:01
- Phoenix 02.08.2021 в 18:03
Происходит утечка памяти в процессе Wmiprvse.exe в Windows 7 или Windows Server 2008 R2
Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Datacenter Windows Server 2008 R2 for Itanium-Based Systems Windows Server 2008 R2 Foundation Windows Server 2008 R2 Standard Windows Server 2008 R2 Web Edition Windows 7 Enterprise Windows 7 Home Basic Windows 7 Home Premium Windows 7 Professional Windows 7 Starter Windows 7 Ultimate Еще. Меньше
Симптомы
Предполагается выполнение программы (WMIC) командной строки WMI для удаления некоторых профиля пользователя на компьютере под управлением Windows 7 или Windows Server 2008 R2. В этом случае процесс Wmiprvse.exe возникает утечка памяти.
Причина
Эта проблема возникает из-за определенного объекта не освобождается, когда программа WMIC пытается удалить профили пользователей.
Примечание. Объект создается как часть перечисления профилей пользователей. Кроме того этот объект используется для сопоставления профилей отдельных пользователей по идентификатору безопасности (SID).
Решение
Сведения об исправлении
Существует исправление от корпорации Майкрософт. Однако данное исправление предназначено для устранения только проблемы, описанной в этой статье. Применяйте это исправление только в тех случаях, когда наблюдается проблема, описанная в данной статье. Это исправление может проходить дополнительное тестирование. Таким образом если вы не подвержены серьезно этой проблеме, рекомендуется дождаться следующего пакета обновления, содержащего это исправление.
Если исправление доступно для скачивания, имеется раздел «Пакет исправлений доступен для скачивания» в верхней части этой статьи базы знаний. Если этот раздел не отображается, обратитесь в службу поддержки для получения исправления.
Примечание. Если наблюдаются другие проблемы или необходимо устранить неполадки, вам может понадобиться создать отдельный запрос на обслуживание. Стандартная оплата за поддержку будет взиматься только за дополнительные вопросы и проблемы, которые не соответствуют требованиям конкретного исправления. Для получения полного списка телефонов поддержки и обслуживания клиентов корпорации Майкрософт, или для создания отдельного запроса на обслуживание, посетите следующий веб-сайт Майкрософт:
http://support.microsoft.com/contactus/?ws=supportПримечание. В форме «Пакет исправлений доступен для скачивания» отображаются языки, для которых доступно исправление. Если нужный язык не отображается, значит исправление для данного языка отсутствует.
Предварительные условия
Чтобы применить это исправление, необходимо использовать одну из следующих операционных систем:
- Windows 7
- Windows 7 с пакетом обновления 1 (SP1)
- Windows Server 2008 R2
- Windows Server 2008 R2 с пакетом обновления 1 (SP1)
Для получения дополнительных сведений о получении пакета обновления для Windows 7 или Windows Server 2008 R2 см. следующую статью базы знаний Майкрософт:
976932 Сведения о пакете обновления 1 для Windows 7 и Windows Server 2008 R2
Сведения о реестре
Для установки этого исправления нет необходимости вносить изменения в реестр.
Необходимость перезагрузки
После установки исправления компьютер необходимо перезагрузить.
Сведения о замене исправлений
Это исправление не заменяет ранее выпущенные исправления.
Устранение неполадок с высокой загрузкой ЦП WMI
В этой статье описывается, как диагностировать проблемы с высокой загрузкой ЦП инструментария управления Windows (WMI) в любой операционной системе Windows.
Определение проблемы
В большинстве случаев ЦП потребляется процессомWmiPrvse.exe , и есть несколько экземпляров, в которых svchost.exe , размещающая службу WMI (Winmgmt), потребляет высокую загрузку ЦП.
Просмотрите область «Процессы» или «Сведения» диспетчера задач, чтобы определить точный процесс.
Определите, является ли процесс WmiPrvse.exe или svchost.exe (размещена служба WMI Winmgmt), и определите идентификатор процесса.
Может потребоваться вручную добавить столбец PID , чтобы просмотреть идентификатор всех процессов в диспетчере задач.
Ниже приведен пример. Перейдите враздел Сведения одиспетчере> задач, отсортируйте по имени и найдите WmiPrvse.exe процесс, который потребляет высокую загрузку ЦП. Запишите идентификатор процесса (PID).
На этом снимку экрана показаны активные несколько экземпляров узла поставщика WMI ( процессWmiPrvse.exe ) и загрузка ЦП.
На этом снимку экрана показан узел служб: инструментирование управления Windows (svchost.exe размещения службы Winmgmt) и загрузка ЦП.
Перейдите враздел Службыдиспетчера> задач, выполните сортировку по имени и найдите службу Winmgmt. Запишите PID. Щелкните правой кнопкой мыши службу и выберите Перейти к сведениям , чтобы найти процессsvchost.exe следующим образом:
В этом примере из трех экземпляровWmiPrvse.exe находится PID 3648, который потребляет около 25 % загрузки ЦП. Winmgmt размещается в процессеsvchost.exe с PID 2752.
Общие сведения о потреблении ЦП
Это в основном включает в себя наблюдение за общим потреблением ЦП и выявленным PID. Важно отметить, когда, как и частоту потребления ЦП.
Оцените ситуацию, поняв, является ли потребление ЦП высоким в течение определенного времени. Проверьте, есть ли какие-либо действия, например выполнение определенных задач или служб, запуск приложений для мониторинга или выполнение сценариев, приводящих к WmiPrvse.exe или высокой загрузке ЦП Winmgmt.
Узнайте, есть ли какая-либо закономерность. Это означает, что загрузка ЦП является согласованной, несогласованной, случайной, спорадической или имеет регулярные пики.
Определите частоту потребления ЦП. Проверьте, происходит ли это только в рабочее время, в нерабочее время или в случайное время суток. Это также может произойти во время определенного действия, например при входе или выходе пользователя.
Вы можете использовать диспетчер задач и визуально заметить, как используется шаблон использования ЦП.
Ниже приведен пример использования средства Монитор производительности (Perfmon) для идентификации точных экземпляров WmiPrvse.exe с идентификатором PID, который вы определили. Вы также можете получить графическое представление потребления ЦП любым процессом (WmiPrvse.exe или svchost.exe , где размещается служба WMI).
- Откройте командную строку с повышенными привилегиями и введите Perfmon.
- Выберите Монитор производительности в левой области и выберите знак плюса (+) в правой области, чтобы открыть окно Добавление счетчиков.
- Разверните узел Процесс и выберите Процесс идентификации. Выберите все экземпляры WmiPrvse# , а затем нажмите кнопку Добавить>ОК.
- В окне Добавление счетчиков разверните узел Процесс и выберите %Время процессора. Выберите параметр WmiPrvse# , соответствующий PID, потребляющий высокую загрузку ЦП, и нажмите кнопку Добавить>ОК.
- Для счетчика «Процесс идентификации» все значения Last, Average, Minimum и Maximum представляют piD соответствующего процессаWmiPrvse.exe . После определения точного экземпляра, который потребляет высокую загрузку ЦП, вы можете удалить оставшиеся экземпляры экземпляров WmiPrvse# из списка, нажав кнопку Удалить .
В примере отмечается, что WmiPrvse.exe PID 556 потреблял высокую загрузку ЦП, а WmiPrvse#1 соответствует PID 556 в Монитор производительности.
Затем добавляется счетчик %Время процессораWmiPrvse#1 , чтобы просмотреть динамическое графическое представление использования ЦП в этом процессе. В этом примере цвет %Processor Timeдля WmiPrvse#1 изменяется с желтого на красный.
Действия по поиску правильного Svchost# в Монитор производительности в случае высокой загрузки ЦП с помощьюsvchost.exe размещения службы Wmimgmt.
Если вы заметили, что процессsvchost.exe , в котором размещена служба WMI, вызывает высокую загрузку ЦП и подозреваете, что WMI способствует возникновению проблемы, можно проверить, является ли piD процессаsvchost.exe , где размещена служба WMI, выполнив следующую команду:
tasklist /svc /fi "Services eq Winmgmt" Если процессsvchost.exe содержит несколько служб, вы можете разбить службу WMI на собственный процессsvchost.exe , выполнив следующие действия.
- Откройте командную строку с повышенными привилегиями.
- Выполните следующую команду:
sc config Winmgmt type= own После перезапуска службы можно выполнить Tasklist /svc команду, чтобы проверка, если служба Winmgmt работает в собственном svchost.exe процессе.
После устранения проблемы или после того, как служба больше не должна находиться в собственном svchost.exe процессе, вы можете поместить ее обратно в общий процессsvchost.exe . Это действие можно выполнить, выполнив следующую команду из командной строки и повторно перезапустив службу WMI:
sc config Winmgmt type= share Диагностика WmiPrvse.exe
До сих пор у вас есть только точный PID WmiPrvse.exe , который потребляет высокую загрузку ЦП. Затем соберите как можно больше сведений об этом PID. Это помогает оценить ситуацию или определить то, что может вызвать проблему. Соберите сведения об использовании других ресурсов или определите точный поставщик WMI (DLL), размещенный WmiPrvse.exe PID.
Другое использование ресурсов, например память, дескрипторы, потоки и имя пользователя
Соберите сведения об использовании других ресурсов, таких как память, дескриптора, потоки и имя пользователя, во время высокой загрузки ЦП. Вы можете использовать вкладку Сведения в диспетчере задач, выбрать точный piD и просмотреть его.
При необходимости добавьте дополнительные столбцы.
Определение точного поставщика WMI (DLL), размещенного WmiPrvse.exe PID.
Обработка Обозреватель может помочь вам определить точных поставщиков, размещенных в определяемом PID. Выполните следующие действия:
- Запустите Обозреватель процесса от имени администратора. Найдите идентифицированный WmiPrvse.exe PID, перейдите к его свойствам и перейдите на вкладку Поставщики WMI .
- В следующем примере обнаружена WmiPrvse.exe PID 556:
- Поставщик WMI: MS_NT_EVENTLOG_PROVIDER
- Пространства имен: root\CIMV2
- Путь к DLL: %systemroot%\system32\wbem\ntevt.dll
В большинстве случаев может быть загружено несколько поставщиков. Это может быть любой из поставщиков, которые тратят время на ЦП, что приводит к большим проблемам с ЦП.
В некоторых случаях, если проблема возникает периодически или редко, WmiPrvse.exe , вызывающая проблему, может быть завершена со временем. При повторном возникновении проблемы это могут быть те же поставщики в новом экземпляреWmiPrvse.exe . В этой ситуации, как только поставщики отмечены, выполните следующий командлет, чтобы отобразить текущий PID WmiPrvse.exe процесса, содержащего этот поставщик:
tasklist /m
tasklist /m ntevt.dll 
Поэтому важно понимать, какие поставщики загружаются в процессеWmiPrvse.exe , и каждый раз заносить piD WmiPrvse.exe процесса.
После того как у вас есть поставщики, которые загружаются в WmiPrvse.exe что приводит к высокой загрузке ЦП, вы можете понять, обрабатывает ли он какие-либо задачи.
Задачи могут быть входящими запросами WMI, которые отправляются клиентским процессом в службу WMI, которая затем назначается соответствующему процессу поставщика WMI. В этом примере задача отправляется поставщику MS_NT_EVENTLOG_PROVIDER . Поэтому следующим шагом будет изучение входящих запросов и задач к поставщику MS_NT_EVENTLOG_PROVIDER .
Анализ входящих запросов
Изучение входящих запросов включает в себя:
- Определение запросов WMI, которые обрабатываются поставщиками WMI, что приводит к высокой загрузке ЦП.
- Запросы классов WMI.
- Связанный пользователь.
- Клиентский процесс, инициирующий запрос.
Приведенные выше сведения можно собрать с помощью общедоступного средства WMIMon или WMI-Activity операционных журналов и WMI-Tracing доступных в Просмотр событий.
Операционные журналы: Microsoft-Windows-WMI-Activity/Operational
Входящие запросы регистрируются как операционные события в журнале Microsoft-Windows-WMI-Activity/Operational, который доступен в следующих разделах:
> Просмотр событий Журналы приложений и служб>Microsoft>Windows>WMI-Activity
Регистрируются события нескольких типов.
Если время от времени завершается процессWmiPrvse.exe , потребляющий большой объем ЦП, и вы уже знаете, какие поставщики загружены, следующее событие может помочь определить текущий активный процессWmiPrvse.exe , в котором размещен соответствующий поставщик.
Log Name: Microsoft-Windows-WMI-Activity/Operational Source: Microsoft-Windows-WMI-Activity Event ID: 5857 Task Category: None User: NETWORK SERVICE Description: MS_NT_EVENTLOG_PROVIDER provider started with result code 0x0. HostProcess = wmiprvse.exe; ProcessID = 556; ProviderPath = %systemroot%\system32\wbem\ntevt.dll Включение «Журналы аналитики и отладки» для включения трассировки WMI
В Просмотр событий выберите Просмотреть>журналы аналитики и отладки, чтобы включить отладку и трассировку для WMI-Activity.
Отладка и трассировка отключены по умолчанию, и каждый из них можно включить вручную, щелкнув правой кнопкой мыши Трассировку или Отладка , а затем выбрав Включить журнал.
Включение show Analytics и Debug Logs позволяет выполнять отладку и трассировку почти для всех источников событий, а также создавать дополнительные журналы. Таким образом, этот параметр должен быть отключен после завершения исследования и больше не будет использоваться.
Эта трассировка может быть включена, когда вы наблюдаете высокую загрузку ЦП WmiPrvse.exe процессом или достаточно долго, чтобы зафиксировать поведение высокой загрузки ЦП, чтобы сохранить журналы в чистоте и умеренном размерах для упрощения анализа трассировок.
- Экспортируйте трассировки, щелкнув правой кнопкой мыши трассировку и выбрав Сохранить все события как. .
- Выберите .xml или .csv в поле Сохранить как тип.
Примечание. При необходимости можно выбрать другие знакомые форматы .EVTX .
Просмотр файлов трассировки WMI
В трассировке WMI есть несколько важных операций, которые являются частью входящих запросов WMI. Операции описаны в интерфейсе IWbemServices (wbemcli.h).
Вот некоторые из важных операций:
- IWbemServices::ExecQuery method (wbemcli.h)
- IWbemServices::ExecMethod method (wbemcli.h)
- IWbemServices::ExecQueryAsync method (wbemcli.h)
Вот одна из записей журнала из сохраненного CSV-файла WMI-Tracing:
| Уровень | дата и время; | Source | Идентификатор события | Категория задачи | Описание |
|---|---|---|---|---|---|
| Сведения | 05-05-23 14:48 | Действие Microsoft-Windows-WMI | 11 | Нет | CorrelationId = ; GroupOperationId = 30693; OperationId = 30694; Operation = Start IWbemServices::ExecQuery — root\cimv2 : select * из Win32_Product; ClientMachine = 21H2W10M; User = CONTOSO\; ClientProcessId = 5484; NamespaceName = 133277000000783520 |
Аналогичное событие в формате XML выглядит следующим образом:
11 0 4 0 0 0x8000000000000000 112 "/> Microsoft-Windows-WMI-Activity/Trace 21H2W10M.contoso.com 28089 28090 Start IWbemServices::ExecQuery - root\cimv2 : select * from Win32_Product 21H2W10M 21H2W10M.contoso.com CONTOSO\ 5484 133277000000783520 \\.\root\cimv2 true CorrelationId = ; GroupOperationId = 28089; OperationId = 28090; Operation = Start IWbemServices::ExecQuery - root\cimv2 : select * from Win32_Product; ClientMachine = 21H2W10M; User = CONTOSO\; ClientProcessId = 5484; NamespaceName = 133277000000783520 Information Info Microsoft-Windows-WMI-Activity
Из приведенного выше примера выходных данных операции можно получить и понять следующие сведения:
- Запрос был инициирован: 2023-05-05 в 13:09:18
- На компьютере: 21H2W10M,
- Из PID клиента: 5484
- Идентификатор операции: 28089
- Запрос: select * from Win32_Product .
- Пространства имен: \\.\root\cimv2
- Операции: IWbemServices::ExecQuery
Вот еще один журнал:
| Уровень | дата и время; | Source | Идентификатор события | Категория задачи | Описание |
|---|---|---|---|---|---|
| Сведения | 05-05-23 14:47 | Действие Microsoft-Windows-WMI | 12 | Нет | ProviderInfo для GroupOperationId = 30641; Operation = Provider::CreateInstanceEnum — MS_NT_EVENTLOG_PROVIDER : Win32_NTLogEvent; HostID = 556; ProviderName = MS_NT_EVENTLOG_PROVIDER; ProviderGuid = ; Путь = %systemroot%\system32\wbem\ntevt.dll |
То же самое событие в формате XML:
12 0 4 0 0 0x8000000000000000 120 "/> Microsoft-Windows-WMI-Activity/Trace 21H2W10M.contoso.com 28096 Provider::CreateInstanceEnum - MS_NT_EVENTLOG_PROVIDER : Win32_NTLogEvent 556 MS_NT_EVENTLOG_PROVIDER %systemroot%\system32\wbem\ntevt.dll ProviderInfo for GroupOperationId = 28096; Operation = Provider::CreateInstanceEnum - MS_NT_EVENTLOG_PROVIDER : Win32_NTLogEvent; HostID = 556; ProviderName = MS_NT_EVENTLOG_PROVIDER; ProviderGuid = ; Path = %systemroot%\system32\wbem\ntevt.dll Information Info Microsoft-Windows-WMI-Activity Из выходных данных операции второго примера можно получить и понять следующие сведения:
- Операция CreateInstanceEnum инициируется от имени пользователя с идентификатором безопасности: UserID=»S-1-5-21-00000000000-000000000000-0000000-1103″
- 05.05.2023 в 13:09
- Точная операция: Provider::CreateInstanceEnum — MS_NT_EVENTLOG_PROVIDER : Win32_NTLogEvent
- Идентификатор узла: 556
- Имя поставщика: MS_NT_EVENTLOG_PROVIDER
- Путь к поставщику: %systemroot%\system32\wbem\ntevt.dll
Поиск идентификаторов PID клиента, которые вызывают высокую загрузку ЦП
Идея просмотра этого файла журнала заключается в перечислении операций, связанных с идентифицированным WmiPrvse.exe PID, который потребляет высокую загрузку ЦП, понимать входящие запросы и кто их инициирует (клиентский процесс).
В приведенном выше примере именно PID 552 вызывает высокую загрузку ЦП.
Во втором примере выходных данных журнала операция CreateInstanceEnum инициируется для определенного класса Win32_NTLogEvent WMI .
Дополнительные сведения см. в Win32_NTLogEvent, включающую сведения о поставщике WMI, связанном с классом WMI.
Теперь вы знаете точный поставщик WMI, размещенный ( MS_NT_EVENTLOG_PROVIDER ) в WmiPrvse.exe который вызывает высокую загрузку ЦП, идентификатор узла (552) и класс WMI (Win32_NTLogEvent), который запрашивается каким-то клиентским процессом.
В зависимости от средства, используемого для проверки файлов трассировки, можно применить необходимые фильтры для проверки только операций, связанных с Win32_NTLogEvent PID 552 или WmiPrvse.exe идентификатором узла 552 или ntevt.dll.
Если фильтр отображает только строки или операции, включающие «Win32_NTLogEvent», результаты будут следующими:
| Уровень | Source | Идентификатор события | Описание |
|---|---|---|---|
| Сведения | Действие Microsoft-Windows-WMI | 11 | CorrelationId = ; GroupOperationId = 30641; OperationId = 30642; Operation = Start IWbemServices::CreateInstanceEnum — root\cimv2 : Win32_NTLogEvent; ClientMachine = 21H2W10M; User = CONTOSO\; ClientProcessId = 5484; NamespaceName = 133277000000783520 |
| Сведения | Действие Microsoft-Windows-WMI | 12 | ProviderInfo для GroupOperationId = 30641; Operation = Provider::CreateInstanceEnum — MS_NT_EVENTLOG_PROVIDER : Win32_NTLogEvent; HostID = 556; ProviderName = MS_NT_EVENTLOG_PROVIDER; ProviderGuid = ; Путь = %systemroot%\system32\wbem\ntevt.dll |
| Сведения | Действие Microsoft-Windows-WMI | 11 | CorrelationId = ; GroupOperationId = 30697; OperationId = 30698; Operation = Start IWbemServices::CreateInstanceEnum — root\cimv2 : Win32_NTLogEvent; ClientMachine = 21H2W10M; User = CONTOSO\; ClientProcessId = 5484; NamespaceName = 133277000000783520 |
| Сведения | Действие Microsoft-Windows-WMI | 12 | ProviderInfo для GroupOperationId = 30697; Operation = Provider::CreateInstanceEnum — MS_NT_EVENTLOG_PROVIDER : Win32_NTLogEvent; HostID = 556; ProviderName = MS_NT_EVENTLOG_PROVIDER; ProviderGuid = ; Путь = %systemroot%\system32\wbem\ntevt.dll |
Из приведенных выше операций можно получить следующие дополнительные сведения:
- Timestamp
- Идентификатор операции: 30642;
- Точная операция = Start IWbemServices::CreateInstanceEnum — root\cimv2 : Win32_NTLogEvent ;
- Клиентский компьютер = 21H2W10M
- User = CONTOSO\
- ИДЕНТИФИКАТОР клиента, который инициировал запрос: 5484
Наконец, у вас есть PID клиентского процесса 5484, который инициирует запрос к Win32_NTLogEvent . Это обрабатывается поставщиком MS_NT_EVENTLOG_PROVIDER и размещается в WmiPrvse.exe PID 552, что приводит к высокой загрузке ЦП.
После сужения идентификаторов PID клиента используйте одно из следующих средств, чтобы найти имя процесса.
- Диспетчер задач
- Обозреватель процессов
- Системный монитор
- WMIMon
Дополнительные сведения о WmiMon
WMImon.exe — это мощное средство мониторинга, позволяющее отслеживать и отслеживать системные события и использование ресурсов службой WMI.
Он служит важной функцией идентификации вызовов WMI и запросов, выполняемых другими процессами, а также предоставления сведений о частоте запросов, учетной записи пользователя, используемой для запросов, и запрошенной информации.
Эти данные могут быть полезны системным администраторам, которым необходимо устранить проблемы с производительностью.
Чтобы собрать и проанализировать эти данные, выполните пошаговые инструкции:
- Определите PID WmiPrvSE.exe , который потребляет загрузку ЦП, с помощью описанных выше методов.
- Скачайте средствоWMIMon.exe из GitHub — luctalpe/WMIMon. Это средство предназначено для мониторинга активности WMI в Windows.
- Извлеките содержимое файлаWMIMon_Binaries.zip в папку на компьютере.
- Откройте командную строку от имени администратора и перейдите в папку, в которой вы извлекли файлы WMIMon.
- Выполните файлWMIMon.exe , введя WMIMon.exe в командной строке и нажав клавишу ВВОД .
- Теперь WMIMon начнет мониторинг вызовов WMI, выполняемых процессами в системе, включая те, которые определены на шаге 1.
- WMIMon отображает такие сведения, как идентификатор процесса клиента, пространство имен WMI, вызываемое операцией, имя класса WMI и учетная запись пользователя, используемая для выполнения запроса.
- Проанализируйте выходные данные из WMIMon, чтобы определить, какие процессы часто вызывают WMI и могут привести к высокой загрузке ЦП.
Выполнив эти действия, вы можете эффективно использовать WMIMon.exe для мониторинга активности WMI в системе и выявления проблем с производительностью или безопасностью, вызванных чрезмерным использованием WMI.
Данные, захваченные WMIMon, можно экспортировать в текстовый файл, выполнив WMIMon.exe > Data.txt команду в командной строке. Чтобы остановить захват данных, нажмите клавиши CTRL + C .
Могут возникнуть сложные ситуации, в которых невозможно сузить определенный piD клиента, приложение или EXE. В таких случаях может быть полезно рассмотреть общую сущность, например имя пользователя или связанный компьютер.
Это значит, что пользователь, инициирующий запрос, является учетной записью службы или связан с определенным приложением.
Другие решения
После завершения работы с подозреваемым можно временно отключить службу или удалить связанное с ней приложение и проверить, устранена ли проблема с высокой загрузкой ЦП.
Ниже приведены некоторые сценарии, в которых отключение может проверить ваши наблюдения.
- Мониторинг приложений и служб
- System Center Configuration Manager (SCCM) (policyhost.exe или Monitoringhost.exe)
- Powershell.exe выполнение скриптов, содержащих запросы WMI
- Любое стороннее приложение
Сбор данных
Если вам нужна помощь со стороны службы поддержки Майкрософт, рекомендуем собрать информацию, выполнив действия, описанные в статье Сбор информации с помощью TSS для проблем с взаимодействием с пользователем.
Вы также можете собирать сведения с помощью средства WMI-Collect. Эти этапы описаны ниже.
- Скачайте WMI-Collect.zip и извлеките его в папку, например C:\temp.
- В командной строке PowerShell с повышенными привилегиями запустите сценарий WMI-Collect.ps1 из папки, в которой сохранен скрипт. Например:
C:\temp\WMI-Collect.ps1 -Logs -Trace -Activity -Kernel -WPR -PerfMonWMIPrvSE - Оставьте командную строку PowerShell открытой с сообщением «Нажмите ВВОД, чтобы остановить запись», и убедитесь, что процессWmiPrvse.exe или проблема с высокой загрузкой ЦП службы WMI воспроизведена.
- Не включайте трассировку более одной минуты.
Скрипт создаст вложенную папку, содержащую результаты всех трассировок и диагностические сведения. Сжать папку. После создания обращения в службу поддержки этот файл можно отправить в безопасную рабочую область для анализа.
Обратная связь
Были ли сведения на этой странице полезными?
Процесс WMI Provider Host грузит систему – что делать
При старте операционной системы Windows запускается ряд служб и процессов. Каждый из них отвечает за функционирование определенных компонентов, они никак не мешают пользователю. При возникновении сбоев некоторые процессы могут работать нестабильно и вследствие этого производить загрузку центрального процессора (ЦПУ). Системная утилита wmiprvse.exe довольно часто провоцирует подобную ситуацию.
Что это за файл
WmiPrvSE.exe – это исполняемый файл утилиты поставщика инструментария управления WMI Provider Host для Windows. Он является одним из компонентов управления веб-сервером Microsoft (WBEM) и Microsoft Operations Manager (MIM). С помощью утилиты, программы и скрипты могут получить данные о внутреннем состоянии операционной системы. В Windows также внедрены WMI-провайдеры, которые позволяют выполнить соединение с интернетом, получить настройки DNS, а также отслеживать функции и сообщать о критических ошибках.
Исполняемый файл лежит в директории «\system32\wbem\», запускается из-под svchost.exe, имеет права «NETWORK SERVICE».
Подведем итог — WmiPrvSE.exe является безопасным системным процессом, который необходим для нормального функционирования операционной системы. Приостановка его работы или отключение нежелательно, но критических сбоев не будет.
Как видно на скриншоте, стандартно системной активности процесс WmiPrvSE.exe практически не вызывает.
Если файл не является вирусом, то грузить процессор он может в случае обращения к нему какого-либо софта, который использует функции WMI. Например, подобная ситуация возникает, когда загруженность ЦПУ обусловлена работой «NB Probe Application» — это утилита Asus для получение температурных данных ядер процессора, оборотов кулера и состоянии других аппаратных компонентов.
Определяем приложение, которое запускает процесс
WMI Provider Host может грузить процессор в Windows 7/8/10 в следующих случаях:
- подключение новых периферийных устройств;
- запуск обновления системы и драйверов;
- запуск приложений, которые получают информацию о системе, а также скриптов.
Ошибка Google Chrome – ваше подключение не защищено
Для наглядного примера мы подключили к ПК USB Mouse (мышку) и можем наблюдать изменения в активности процесса:
Системная активность в этих случаях длится недолго, через некоторое время процесс пропадает из диспетчера задач. Если процесс по-прежнему висит и грузит ЦПУ необходимо определить, какое приложение производит его запуск:
- открываем окно утилиты «Выполнить», сочетанием клавиш «Win+R»;
- в пустую строку вводим команду «msconfig»;
- откроется «Конфигурация системы», здесь переходим во вкладку «Службы»;
- в нижней части окна отмечаем чекбокс «Не отображать службы Microsoft»;
- кликаем «Отключить все» для деактивация сторонних служб;
- переходим во вкладку «Автозагрузка» (для ОС Windows 7 и 8) и деактивируем все элементы. Для пользователей Windows 10 настройка параметров автозагрузки производится в диспетчере задач, запускаем его сочетанием клавиш «Ctrl+Alt+Del». Во вкладке «Автозагрузка» выделяем все компоненты и кликаем «Отключить»;
- в завершении перезагружаем ПК.
Если после перезагрузки проблем не наблюдается, то причина скрывалась в службах и программах, которые были отключены. Для окончательного решения понадобится определить, какой компонент приводит к нестабильной работе системы. Необходимо поочередно включать каждый элемент, перезагружать ПК и проверять работоспособность. При обнаружении источника сбоя, требуется выполнить отключение (если это служба) или деинсталляцию (в случае с программой), на усмотрение пользователя.
Есть более подробный способ узнать, что конкретно приводит к нестабильной работе. Здесь мы будем использовать «Просмотр событий Windows»:
- вызываем утилиту «Выполнить»;
- вписываем «eventvwr.msc» и жмем «Enter». Запуск может занять некоторое время – это связано с добавлением оснастки в консоль;
- в окне «Просмотр событий» щелкаем по вкладке «Вид» и в контекстном меню выбираем «Отобразить аналитический и отладочный журнал»;
- в панели навигации разворачиваем дерево «Журналы приложений и служб – Microsoft – Windows – WMI-Activity»;
- раскрываем пункт и выбираем «Trace», в блоке «Действие» открываем «Свойства»;
- во вкладке «Общие» отмечаем чекбокс «Включить ведение журнала», кликаем «Применить»;
- после обновления логов, на главной странице появится информация об активных процессах;
- во вкладке «Общие» будет отражена информация о параметре «ClientProcessId». Это является идентификатором того процесса, который обращается к «WmiPrvSE.exe»;
- открываем «Диспетчер задач» и вкладку «Подробности», где ищем «ИД процесса», указанного в «ClientProcessId». После обнаружения источника действуем по своему усмотрению, деинсталлируем софт или выполняем отключение.
Устраняем ошибку: «На компьютере недостаточно памяти»
Откат обновлений системы
Сбои при установке обновлений могут стать причиной нестабильной работы wmiprvse.exe. Для решения проблемы потребуется выполнить откат обновлений в хронологическом порядке, пока не будет найден тот элемент, который вызывает нарушения в работе ОС.
Выполняем откат обновлений для Windows (способ актуален для версий ОС Windows 7 и выше):
- открываем «Панель управления» и переходим к пункту «Программы и компоненты»;
- в левой части окна выбираем «Просмотр установленных обновлений»;
- откроется список установленных компонентов, в столбце «Установлено» можно узнать дату загрузки;
- выделяем первый элемент щелкая по нему правой кнопкой мыши (ПКМ) и в контекстном меню, выбираем «Удалить». Перезагружаем ПК и проверяем работоспособность, при сохранении проблемы повторяем операцию.
Проверяем компьютер на вирусы
Если никакие способы не привели к снижению нагрузки процесса WMI Provider, то в этом случае можно подозревать вирусную активность. Одноименный вирус «wmiprvse.exe» вносит изменения в настройки DNS, а также изменяет файл Hosts. В этом случае пользователь не только сталкивается с нестабильным функционированием ОС, но и с проблемами доступа к интернету.
Необходимо убедиться, что перед нами действительно вредоносная программа:
- переходим в «Диспетчер задач» запустив его сочетанием клавиш «Ctrl+Shift+Esc»;
- выбираем процесс «WmiPrvSE» и щелкаем по нему ПКМ, в контекстном меню кликаем «Открыть расположение файлов»;
- откроется проводник, где будет показана директория в которой расположен файл. По умолчанию путь к директории выглядит так: «C (буква системного диска может отличаться): /Windows/System32/wbem». Если путь отличается — можно сделать вывод, что это вирус. Для дополнительной диагностики, проверим свойства файла;
- щелкаем ПКМ по «WmiPrvSE» и в контекстном меню выбираем «Свойства». Во вкладке «Подробно» обращаем внимание на пункт «Авторские права», должно быть указано «Корпорация Майкрософт», если написано иное, переда нами вредоносное ПО замаскированное под системный компонент.
Почему быстро разряжается батарея на телефоне Андроид
Очистку системы от вирусов производим с помощью антивирусного программного обеспечения установленного на ПК. Для эффективного обнаружения потребуется запустить глубокую проверку системы.
Если антивируса нет, можно скачать утилиту Dr.Web Cureit или Kaspersky Virus Removal Tool.
Отключаем службу
При отключении службы будет остановлен процесс «WmiPrvSE.exe», его деактивация может отразиться на функционировании системы:
- открываем утилиту «Выполнить» и вводим команду «services.msc»;
- в главном окне находим службу «Инструментарий управления Windows»;
- щелкаем по ней и в пункте «Состояние» выбираем «Остановить»;
