Wmi provider host что это
Перейти к содержимому

Wmi provider host что это

  • автор:

Почему WMI Provider Host нагружает процессор?

Сабж грузит процессор на ~20%, начинается это сразу как только ноут вылезает из спячки/включается.

5db5429d13eff239370264.png

Посмотрел что на него так воздействует:

5db542c6e8c1a062196743.png

Нашел, что это wscript.

5db542d81a620908225490.png

Что с ним не так? Можно снять задачу с ним и всё станет отлично, но до следующего открытия/закрытия крышки.
з.ы. Если что, в винде я близок к ламеру

  • Вопрос задан более трёх лет назад
  • 753 просмотра

Комментировать
Решения вопроса 1
Developer, ex-admin

wscript — это утилита выполняющая vbs/js скрипты в винде. Это не с ней не так, это не так со скриптом который она выполняет в этот момент времени.
Включите отображение командной строки в менеджере задач, там увидите путь к скрипту, который передан утилите как параметр командной строки. Скрипт может стартовать где-нибудь в автозагрузке или в шедулере или быть частью какого-то установленного ПО.

Ответ написан более трёх лет назад
Комментировать
Нравится 2 Комментировать
Ответы на вопрос 1
Cloud infrastructure, monitoring engineer. SRE

Причина высокого потребления CPU процессом WMI host является реализация WMI.
Общеизвестно что работа с WMI ощутимо грузит CPU и пользоваться WMI лучше только в случаях мануальных задач или когда по другому не обойтись.
Хорошо, что вы определили кто дергает WMI — теперь нужно понять, нужен ли вам этот wscript
res2001 написал куда, в принципе, смотреть чтобы понять что это за процесс вообще.

WMI Provider Host (WmiPrvSE.exe): что это за процесс и почему он грузит компьютер?

WiFiGid

Всем привет! Неважно какой Windows вы пользуетесь (10, 11, 7, 8, 8.1 или XP) – почти у каждой в диспетчере задач может висеть процесс WMI Provider Host или утилита WmiPrvSE.exe. И ладно бы просто висел, так это ПО сильно нагружает компьютер или ноутбук. На мощных ПК это несильно заметно, но вот на слабом компе вы можете заметить лаги, тормоза, а некоторые программы, в том числе и браузер – начинают работать с запозданием. В статье ниже мы разберемся, что это за процессы, и что с ними можно сделать.

Что это такое?

WMI Provider Host (WmiPrvSE.exe): что это за процесс и почему он грузит компьютер?

WmiPrvSE.exe и WMI Provider Host – это два важных процесса в системе, а точнее функции, которые занимаются обменом информацией между ядром операционной системы и работающими программами, утилитами и функциями. Причем тут имеется ввиду как установленные программы, так и системные, которые не находятся в поле ядра ОС.

Как правило, они почти не активны, когда человек не пользуется компьютером, а система простаивает. Но бывают и обратные случаи, когда системник или ноутбук начинает жужжать в момент простоя. Вообще все утилиты, имеющие приставку WMI – это те программы, которые обмениваются данными с системой.

Например, о загруженности процессора, о занятости оперативной памяти и файла подкачки. Также они получают информацию о характеристиках компа и железа. Например, если запустить командную строку, то с помощью команд:

wmic baseboard get manufacturer
wmic baseboard get product

WMI Provider Host (WmiPrvSE.exe): что это за процесс и почему он грузит компьютер?

Вы можете получить информацию о производителе и модели вашей материнской платы. С помощью этой утилиты и программы получают эту информацию.

Можно ли отключить или удалить эту функцию?

Утилита WmiPrvSE.exe находится в папке System32 на системном диске:

WMI Provider Host (WmiPrvSE.exe): что это за процесс и почему он грузит компьютер?

Удалять её или выключать в диспетчере устройств я не рекомендую – так как она активно используется системой и программами. Без неё комп будет функционировать неправильно.

Что делать если она сильно грузит систему?

Нужно в первую очередь понять, в какой момент система нагружается, и каким образом оба этих процесса пожирают возможности ПК. Если система нагружается, только в момент запуска какой-то программы или игры – то это нормально. В момент загрузки утилита собирает информацию о железе, о системе и отдает в «руки» запущенной программе.

Но вот если нагрузка постоянная или длится долгое время – то нужно попытаться что-то сделать. Можно попробовать перезапустить службу «Инструментарий управления Windows», которая и работает с данной утилитой.

+ R

WMI Provider Host (WmiPrvSE.exe): что это за процесс и почему он грузит компьютер?

  1. Находим службу, жмем правой кнопкой и перезапускаем.

WMI Provider Host (WmiPrvSE.exe): что это за процесс и почему он грузит компьютер?

Можно также просто попробовать перезагрузить компьютер. Если это не поможет, то можно посмотреть, какая программа вызывает нагрузку на нашу системную утилиту. Возможно, где-то идет постоянно повторяющийся цикл в функции запроса:

  1. Откройте «Просмотр событий».

WMI Provider Host (WmiPrvSE.exe): что это за процесс и почему он грузит компьютер?

  1. Открываем основной раздел – «Журналы приложений и служб», находим в нем «Microsoft» — «Windows». Теперь нам нужна папка «WMI-Activity». В ней находим лист с информацией «Operational». Обычно загруженность процесса выдает ошибки – найдите последние по дате и раскройте информацию. На вкладке «Подробности» нам нужно узнать «ClientProcessID».

WMI Provider Host (WmiPrvSE.exe): что это за процесс и почему он грузит компьютер?

  1. На вкладке «Процессы» нажмите правой кнопкой по первому столбцу «Имя» и поставьте галочку «ИД процесса».

WMI Provider Host (WmiPrvSE.exe): что это за процесс и почему он грузит компьютер?

  1. Появится новый столбец, чтобы было проще найти проблемную программу по ID, один раз кликните по названию столбца, чтобы отсортировать список по возрастанию или убыванию.

WMI Provider Host (WmiPrvSE.exe): что это за процесс и почему он грузит компьютер?

Как только процесс будет найден, уже отталкиваемся от этого. Если это сторонняя программа, то её можно удалить и переустановить повторно. Советую скачивать это ПО с официального сайта. Можно также попробовать его обновить.

Если ничего не помогает, то вот ряд профилактических действий, которые должны помочь:

  • Выполните откат системы, если данная проблема появилась после установки дров или программ.
  • Почистите компьютера от мусора и лишнего кеша.
  • Проверьте компьютер антивирусной программой.
  • Проверьте на целостность и работоспособность ваш жесткий диск (SSD/HDD)
  • Выполните проверку оперативной памяти.
  • Проверьте системные файлы на целостность.

Если вообще ничего не помогло, тогда напишите в комментариях – какой процесс вызывает нагрузку (WMI Provider Host или WmiPrvSE.exe). На этом я с вами прощаюсь. До встречи на портале WiFiGiD.RU.

Устранение неполадок с высокой загрузкой ЦП WMI

В этой статье описывается, как диагностировать проблемы с высокой загрузкой ЦП инструментария управления Windows (WMI) в любой операционной системе Windows.

Определение проблемы

В большинстве случаев ЦП потребляется процессомWmiPrvse.exe , и есть несколько экземпляров, в которых svchost.exe , размещающая службу WMI (Winmgmt), потребляет высокую загрузку ЦП.

Просмотрите область «Процессы» или «Сведения» диспетчера задач, чтобы определить точный процесс.

Определите, является ли процесс WmiPrvse.exe или svchost.exe (размещена служба WMI Winmgmt), и определите идентификатор процесса.

Может потребоваться вручную добавить столбец PID , чтобы просмотреть идентификатор всех процессов в диспетчере задач.

Ниже приведен пример. Перейдите враздел Сведения одиспетчере> задач, отсортируйте по имени и найдите WmiPrvse.exe процесс, который потребляет высокую загрузку ЦП. Запишите идентификатор процесса (PID).

На этом снимку экрана показаны активные несколько экземпляров узла поставщика WMI ( процессWmiPrvse.exe ) и загрузка ЦП.

Снимок экрана: процесс с помощью диспетчера задач.

На этом снимку экрана показан узел служб: инструментирование управления Windows (svchost.exe размещения службы Winmgmt) и загрузка ЦП.

Снимок экрана: сведения с помощью диспетчера задач.

Перейдите враздел Службыдиспетчера> задач, выполните сортировку по имени и найдите службу Winmgmt. Запишите PID. Щелкните правой кнопкой мыши службу и выберите Перейти к сведениям , чтобы найти процессsvchost.exe следующим образом:

Снимок экрана: службы с помощью диспетчера задач.

В этом примере из трех экземпляровWmiPrvse.exe находится PID 3648, который потребляет около 25 % загрузки ЦП. Winmgmt размещается в процессеsvchost.exe с PID 2752.

Общие сведения о потреблении ЦП

Это в основном включает в себя наблюдение за общим потреблением ЦП и выявленным PID. Важно отметить, когда, как и частоту потребления ЦП.

Оцените ситуацию, поняв, является ли потребление ЦП высоким в течение определенного времени. Проверьте, есть ли какие-либо действия, например выполнение определенных задач или служб, запуск приложений для мониторинга или выполнение сценариев, приводящих к WmiPrvse.exe или высокой загрузке ЦП Winmgmt.

Узнайте, есть ли какая-либо закономерность. Это означает, что загрузка ЦП является согласованной, несогласованной, случайной, спорадической или имеет регулярные пики.

Определите частоту потребления ЦП. Проверьте, происходит ли это только в рабочее время, в нерабочее время или в случайное время суток. Это также может произойти во время определенного действия, например при входе или выходе пользователя.

Вы можете использовать диспетчер задач и визуально заметить, как используется шаблон использования ЦП.

Ниже приведен пример использования средства Монитор производительности (Perfmon) для идентификации точных экземпляров WmiPrvse.exe с идентификатором PID, который вы определили. Вы также можете получить графическое представление потребления ЦП любым процессом (WmiPrvse.exe или svchost.exe , где размещается служба WMI).

  1. Откройте командную строку с повышенными привилегиями и введите Perfmon.
  2. Выберите Монитор производительности в левой области и выберите знак плюса (+) в правой области, чтобы открыть окно Добавление счетчиков.
  3. Разверните узел Процесс и выберите Процесс идентификации. Выберите все экземпляры WmiPrvse# , а затем нажмите кнопку Добавить>ОК. Снимок экрана: добавление счетчиков процесса идентификации.Снимок экрана: сведения о счетчиках процесса идентификации.
  4. В окне Добавление счетчиков разверните узел Процесс и выберите %Время процессора. Выберите параметр WmiPrvse# , соответствующий PID, потребляющий высокую загрузку ЦП, и нажмите кнопку Добавить>ОК. Снимок экрана: добавление счетчиков времени процессора.Снимок экрана: сведения о счетчиках %Processor Time.
  5. Для счетчика «Процесс идентификации» все значения Last, Average, Minimum и Maximum представляют piD соответствующего процессаWmiPrvse.exe . После определения точного экземпляра, который потребляет высокую загрузку ЦП, вы можете удалить оставшиеся экземпляры экземпляров WmiPrvse# из списка, нажав кнопку Удалить .

В примере отмечается, что WmiPrvse.exe PID 556 потреблял высокую загрузку ЦП, а WmiPrvse#1 соответствует PID 556 в Монитор производительности.

Затем добавляется счетчик %Время процессораWmiPrvse#1 , чтобы просмотреть динамическое графическое представление использования ЦП в этом процессе. В этом примере цвет %Processor Timeдля WmiPrvse#1 изменяется с желтого на красный.

Действия по поиску правильного Svchost# в Монитор производительности в случае высокой загрузки ЦП с помощьюsvchost.exe размещения службы Wmimgmt.

Если вы заметили, что процессsvchost.exe , в котором размещена служба WMI, вызывает высокую загрузку ЦП и подозреваете, что WMI способствует возникновению проблемы, можно проверить, является ли piD процессаsvchost.exe , где размещена служба WMI, выполнив следующую команду:

tasklist /svc /fi "Services eq Winmgmt" 

Если процессsvchost.exe содержит несколько служб, вы можете разбить службу WMI на собственный процессsvchost.exe , выполнив следующие действия.

  1. Откройте командную строку с повышенными привилегиями.
  2. Выполните следующую команду:

sc config Winmgmt type= own 

После перезапуска службы можно выполнить Tasklist /svc команду, чтобы проверка, если служба Winmgmt работает в собственном svchost.exe процессе.

После устранения проблемы или после того, как служба больше не должна находиться в собственном svchost.exe процессе, вы можете поместить ее обратно в общий процессsvchost.exe . Это действие можно выполнить, выполнив следующую команду из командной строки и повторно перезапустив службу WMI:

sc config Winmgmt type= share 

Диагностика WmiPrvse.exe

До сих пор у вас есть только точный PID WmiPrvse.exe , который потребляет высокую загрузку ЦП. Затем соберите как можно больше сведений об этом PID. Это помогает оценить ситуацию или определить то, что может вызвать проблему. Соберите сведения об использовании других ресурсов или определите точный поставщик WMI (DLL), размещенный WmiPrvse.exe PID.

Другое использование ресурсов, например память, дескрипторы, потоки и имя пользователя

Соберите сведения об использовании других ресурсов, таких как память, дескриптора, потоки и имя пользователя, во время высокой загрузки ЦП. Вы можете использовать вкладку Сведения в диспетчере задач, выбрать точный piD и просмотреть его.

При необходимости добавьте дополнительные столбцы.

Снимок экрана: служба высокой загрузки ЦП в диспетчере задач.

Определение точного поставщика WMI (DLL), размещенного WmiPrvse.exe PID.

Обработка Обозреватель может помочь вам определить точных поставщиков, размещенных в определяемом PID. Выполните следующие действия:

  1. Запустите Обозреватель процесса от имени администратора. Найдите идентифицированный WmiPrvse.exe PID, перейдите к его свойствам и перейдите на вкладку Поставщики WMI .
  2. В следующем примере обнаружена WmiPrvse.exe PID 556:
    • Поставщик WMI: MS_NT_EVENTLOG_PROVIDER
    • Пространства имен: root\CIMV2
    • Путь к DLL: %systemroot%\system32\wbem\ntevt.dll

Снимок экрана: свойства WmiPrvSE.exe:556.

В большинстве случаев может быть загружено несколько поставщиков. Это может быть любой из поставщиков, которые тратят время на ЦП, что приводит к большим проблемам с ЦП.

В некоторых случаях, если проблема возникает периодически или редко, WmiPrvse.exe , вызывающая проблему, может быть завершена со временем. При повторном возникновении проблемы это могут быть те же поставщики в новом экземпляреWmiPrvse.exe . В этой ситуации, как только поставщики отмечены, выполните следующий командлет, чтобы отобразить текущий PID WmiPrvse.exe процесса, содержащего этот поставщик:

tasklist /m
tasklist /m ntevt.dll 

Снимок экрана: выходные данные списка задач ntevt.dll файла.

Поэтому важно понимать, какие поставщики загружаются в процессеWmiPrvse.exe , и каждый раз заносить piD WmiPrvse.exe процесса.

После того как у вас есть поставщики, которые загружаются в WmiPrvse.exe что приводит к высокой загрузке ЦП, вы можете понять, обрабатывает ли он какие-либо задачи.

Задачи могут быть входящими запросами WMI, которые отправляются клиентским процессом в службу WMI, которая затем назначается соответствующему процессу поставщика WMI. В этом примере задача отправляется поставщику MS_NT_EVENTLOG_PROVIDER . Поэтому следующим шагом будет изучение входящих запросов и задач к поставщику MS_NT_EVENTLOG_PROVIDER .

Анализ входящих запросов

Изучение входящих запросов включает в себя:

  • Определение запросов WMI, которые обрабатываются поставщиками WMI, что приводит к высокой загрузке ЦП.
  • Запросы классов WMI.
  • Связанный пользователь.
  • Клиентский процесс, инициирующий запрос.

Приведенные выше сведения можно собрать с помощью общедоступного средства WMIMon или WMI-Activity операционных журналов и WMI-Tracing доступных в Просмотр событий.

Операционные журналы: Microsoft-Windows-WMI-Activity/Operational

Входящие запросы регистрируются как операционные события в журнале Microsoft-Windows-WMI-Activity/Operational, который доступен в следующих разделах:

> Просмотр событий Журналы приложений и служб>Microsoft>Windows>WMI-Activity

Регистрируются события нескольких типов.

Если время от времени завершается процессWmiPrvse.exe , потребляющий большой объем ЦП, и вы уже знаете, какие поставщики загружены, следующее событие может помочь определить текущий активный процессWmiPrvse.exe , в котором размещен соответствующий поставщик.

Log Name: Microsoft-Windows-WMI-Activity/Operational Source: Microsoft-Windows-WMI-Activity Event ID: 5857 Task Category: None User: NETWORK SERVICE Description: MS_NT_EVENTLOG_PROVIDER provider started with result code 0x0. HostProcess = wmiprvse.exe; ProcessID = 556; ProviderPath = %systemroot%\system32\wbem\ntevt.dll 

Включение «Журналы аналитики и отладки» для включения трассировки WMI

В Просмотр событий выберите Просмотреть>журналы аналитики и отладки, чтобы включить отладку и трассировку для WMI-Activity.

Снимок экрана: операции в Просмотр событий.

Отладка и трассировка отключены по умолчанию, и каждый из них можно включить вручную, щелкнув правой кнопкой мыши Трассировку или Отладка , а затем выбрав Включить журнал.

Включение show Analytics и Debug Logs позволяет выполнять отладку и трассировку почти для всех источников событий, а также создавать дополнительные журналы. Таким образом, этот параметр должен быть отключен после завершения исследования и больше не будет использоваться.

Эта трассировка может быть включена, когда вы наблюдаете высокую загрузку ЦП WmiPrvse.exe процессом или достаточно долго, чтобы зафиксировать поведение высокой загрузки ЦП, чтобы сохранить журналы в чистоте и умеренном размерах для упрощения анализа трассировок.

  1. Экспортируйте трассировки, щелкнув правой кнопкой мыши трассировку и выбрав Сохранить все события как. .
  2. Выберите .xml или .csv в поле Сохранить как тип.

Примечание. При необходимости можно выбрать другие знакомые форматы .EVTX .

Просмотр файлов трассировки WMI

В трассировке WMI есть несколько важных операций, которые являются частью входящих запросов WMI. Операции описаны в интерфейсе IWbemServices (wbemcli.h).

Вот некоторые из важных операций:

  • IWbemServices::ExecQuery method (wbemcli.h)
  • IWbemServices::ExecMethod method (wbemcli.h)
  • IWbemServices::ExecQueryAsync method (wbemcli.h)

Вот одна из записей журнала из сохраненного CSV-файла WMI-Tracing:

Level дата и время; Source Идентификатор события Категория задачи Описание
Сведения 05-05-23 14:48 Действие Microsoft-Windows-WMI 11 Нет CorrelationId = ; GroupOperationId = 30693; OperationId = 30694; Operation = Start IWbemServices::ExecQuery — root\cimv2 : select * из Win32_Product; ClientMachine = 21H2W10M; User = CONTOSO\; ClientProcessId = 5484; NamespaceName = 133277000000783520

Аналогичное событие в формате XML выглядит следующим образом:

    11 0 4 0 0 0x8000000000000000 112 "/> Microsoft-Windows-WMI-Activity/Trace 21H2W10M.contoso.com    28089 28090 Start IWbemServices::ExecQuery - root\cimv2 : select * from Win32_Product 21H2W10M 21H2W10M.contoso.com CONTOSO\ 5484 133277000000783520 \\.\root\cimv2 true   CorrelationId = ; GroupOperationId = 28089; OperationId = 28090; Operation = Start IWbemServices::ExecQuery - root\cimv2 : select * from Win32_Product; ClientMachine = 21H2W10M; User = CONTOSO\; ClientProcessId = 5484; NamespaceName = 133277000000783520 Information Info Microsoft-Windows-WMI-Activity   

Из приведенного выше примера выходных данных операции можно получить и понять следующие сведения:

  • Запрос был инициирован: 2023-05-05 в 13:09:18
  • На компьютере: 21H2W10M,
  • Из PID клиента: 5484
  • Идентификатор операции: 28089
  • Запрос: select * from Win32_Product .
  • Пространства имен: \\.\root\cimv2
  • Операции: IWbemServices::ExecQuery

Вот еще один журнал:

Level дата и время; Source Идентификатор события Категория задачи Описание
Сведения 05-05-23 14:47 Действие Microsoft-Windows-WMI 12 Нет ProviderInfo для GroupOperationId = 30641; Operation = Provider::CreateInstanceEnum — MS_NT_EVENTLOG_PROVIDER : Win32_NTLogEvent; HostID = 556; ProviderName = MS_NT_EVENTLOG_PROVIDER; ProviderGuid = ; Путь = %systemroot%\system32\wbem\ntevt.dll

То же самое событие в формате XML:

   12 0 4 0 0 0x8000000000000000 120 "/> Microsoft-Windows-WMI-Activity/Trace 21H2W10M.contoso.com   28096 Provider::CreateInstanceEnum - MS_NT_EVENTLOG_PROVIDER : Win32_NTLogEvent 556 MS_NT_EVENTLOG_PROVIDER %systemroot%\system32\wbem\ntevt.dll   ProviderInfo for GroupOperationId = 28096; Operation = Provider::CreateInstanceEnum - MS_NT_EVENTLOG_PROVIDER : Win32_NTLogEvent; HostID = 556; ProviderName = MS_NT_EVENTLOG_PROVIDER; ProviderGuid = ; Path = %systemroot%\system32\wbem\ntevt.dll Information Info Microsoft-Windows-WMI-Activity   

Из выходных данных операции второго примера можно получить и понять следующие сведения:

  • Операция CreateInstanceEnum инициируется от имени пользователя с идентификатором безопасности: UserID=»S-1-5-21-00000000000-000000000000-0000000-1103″
  • 05.05.2023 в 13:09
  • Точная операция: Provider::CreateInstanceEnum — MS_NT_EVENTLOG_PROVIDER : Win32_NTLogEvent
  • Идентификатор узла: 556
  • Имя поставщика: MS_NT_EVENTLOG_PROVIDER
  • Путь к поставщику: %systemroot%\system32\wbem\ntevt.dll

Поиск идентификаторов PID клиента, которые вызывают высокую загрузку ЦП

Идея просмотра этого файла журнала заключается в перечислении операций, связанных с идентифицированным WmiPrvse.exe PID, который потребляет высокую загрузку ЦП, понимать входящие запросы и кто их инициирует (клиентский процесс).

В приведенном выше примере именно PID 552 вызывает высокую загрузку ЦП.

Во втором примере выходных данных журнала операция CreateInstanceEnum инициируется для определенного класса Win32_NTLogEvent WMI .

Дополнительные сведения см. в Win32_NTLogEvent, включающую сведения о поставщике WMI, связанном с классом WMI.

Теперь вы знаете точный поставщик WMI, размещенный ( MS_NT_EVENTLOG_PROVIDER ) в WmiPrvse.exe который вызывает высокую загрузку ЦП, идентификатор узла (552) и класс WMI (Win32_NTLogEvent), который запрашивается каким-то клиентским процессом.

В зависимости от средства, используемого для проверки файлов трассировки, можно применить необходимые фильтры для проверки только операций, связанных с Win32_NTLogEvent PID 552 или WmiPrvse.exe идентификатором узла 552 или ntevt.dll.

Если фильтр отображает только строки или операции, включающие «Win32_NTLogEvent», результаты будут следующими:

Level Source Идентификатор события Описание
Сведения Действие Microsoft-Windows-WMI 11 CorrelationId = ; GroupOperationId = 30641; OperationId = 30642; Operation = Start IWbemServices::CreateInstanceEnum — root\cimv2 : Win32_NTLogEvent; ClientMachine = 21H2W10M; User = CONTOSO\; ClientProcessId = 5484; NamespaceName = 133277000000783520
Сведения Действие Microsoft-Windows-WMI 12 ProviderInfo для GroupOperationId = 30641; Operation = Provider::CreateInstanceEnum — MS_NT_EVENTLOG_PROVIDER : Win32_NTLogEvent; HostID = 556; ProviderName = MS_NT_EVENTLOG_PROVIDER; ProviderGuid = ; Путь = %systemroot%\system32\wbem\ntevt.dll
Сведения Действие Microsoft-Windows-WMI 11 CorrelationId = ; GroupOperationId = 30697; OperationId = 30698; Operation = Start IWbemServices::CreateInstanceEnum — root\cimv2 : Win32_NTLogEvent; ClientMachine = 21H2W10M; User = CONTOSO\; ClientProcessId = 5484; NamespaceName = 133277000000783520
Сведения Действие Microsoft-Windows-WMI 12 ProviderInfo для GroupOperationId = 30697; Operation = Provider::CreateInstanceEnum — MS_NT_EVENTLOG_PROVIDER : Win32_NTLogEvent; HostID = 556; ProviderName = MS_NT_EVENTLOG_PROVIDER; ProviderGuid = ; Путь = %systemroot%\system32\wbem\ntevt.dll

Из приведенных выше операций можно получить следующие дополнительные сведения:

  • Timestamp
  • Идентификатор операции: 30642;
  • Точная операция = Start IWbemServices::CreateInstanceEnum — root\cimv2 : Win32_NTLogEvent ;
  • Клиентский компьютер = 21H2W10M
  • User = CONTOSO\
  • ИДЕНТИФИКАТОР клиента, который инициировал запрос: 5484

Наконец, у вас есть PID клиентского процесса 5484, который инициирует запрос к Win32_NTLogEvent . Это обрабатывается поставщиком MS_NT_EVENTLOG_PROVIDER и размещается в WmiPrvse.exe PID 552, что приводит к высокой загрузке ЦП.

После сужения идентификаторов PID клиента используйте одно из следующих средств, чтобы найти имя процесса.

  • Диспетчер задач
  • Обозреватель процессов
  • Системный монитор
  • WMIMon

Дополнительные сведения о WmiMon

WMImon.exe — это мощное средство мониторинга, позволяющее отслеживать и отслеживать системные события и использование ресурсов службой WMI.

Он служит важной функцией идентификации вызовов WMI и запросов, выполняемых другими процессами, а также предоставления сведений о частоте запросов, учетной записи пользователя, используемой для запросов, и запрошенной информации.

Эти данные могут быть полезны системным администраторам, которым необходимо устранить проблемы с производительностью.

Чтобы собрать и проанализировать эти данные, выполните пошаговые инструкции:

  1. Определите PID WmiPrvSE.exe , который потребляет загрузку ЦП, с помощью описанных выше методов.
  2. Скачайте средствоWMIMon.exe из GitHub — luctalpe/WMIMon. Это средство предназначено для мониторинга активности WMI в Windows.
  3. Извлеките содержимое файлаWMIMon_Binaries.zip в папку на компьютере.
  4. Откройте командную строку от имени администратора и перейдите в папку, в которой вы извлекли файлы WMIMon.
  5. Выполните файлWMIMon.exe , введя WMIMon.exe в командной строке и нажав клавишу ВВОД .
  6. Теперь WMIMon начнет мониторинг вызовов WMI, выполняемых процессами в системе, включая те, которые определены на шаге 1.
  7. WMIMon отображает такие сведения, как идентификатор процесса клиента, пространство имен WMI, вызываемое операцией, имя класса WMI и учетная запись пользователя, используемая для выполнения запроса.
  8. Проанализируйте выходные данные из WMIMon, чтобы определить, какие процессы часто вызывают WMI и могут привести к высокой загрузке ЦП.

Выполнив эти действия, вы можете эффективно использовать WMIMon.exe для мониторинга активности WMI в системе и выявления проблем с производительностью или безопасностью, вызванных чрезмерным использованием WMI.

Снимок экрана: данные, захваченные WMIMon.

Данные, захваченные WMIMon, можно экспортировать в текстовый файл, выполнив WMIMon.exe > Data.txt команду в командной строке. Чтобы остановить захват данных, нажмите клавиши CTRL + C .

Могут возникнуть сложные ситуации, в которых невозможно сузить определенный piD клиента, приложение или EXE. В таких случаях может быть полезно рассмотреть общую сущность, например имя пользователя или связанный компьютер.

Это значит, что пользователь, инициирующий запрос, является учетной записью службы или связан с определенным приложением.

Другие решения

После завершения работы с подозреваемым можно временно отключить службу или удалить связанное с ней приложение и проверить, устранена ли проблема с высокой загрузкой ЦП.

Ниже приведены некоторые сценарии, в которых отключение может проверить ваши наблюдения.

  • Мониторинг приложений и служб
  • System Center Configuration Manager (SCCM) (policyhost.exe или Monitoringhost.exe)
  • Powershell.exe выполнение скриптов, содержащих запросы WMI
  • Любое стороннее приложение

Сбор данных

Если вам нужна помощь со стороны службы поддержки Майкрософт, рекомендуем собрать информацию, выполнив действия, описанные в статье Сбор информации с помощью TSS для проблем с взаимодействием с пользователем.

Вы также можете собирать сведения с помощью средства WMI-Collect. Эти этапы описаны ниже.

  1. Скачайте WMI-Collect.zip и извлеките его в папку, например C:\temp.
  2. В командной строке PowerShell с повышенными привилегиями запустите сценарий WMI-Collect.ps1 из папки, в которой сохранен скрипт. Например:

C:\temp\WMI-Collect.ps1 -Logs -Trace -Activity -Kernel -WPR -PerfMonWMIPrvSE 
  • Оставьте командную строку PowerShell открытой с сообщением «Нажмите ВВОД, чтобы остановить запись», и убедитесь, что процессWmiPrvse.exe или проблема с высокой загрузкой ЦП службы WMI воспроизведена.
  • Не включайте трассировку более одной минуты.

Скрипт создаст вложенную папку, содержащую результаты всех трассировок и диагностические сведения. Сжать папку. После создания обращения в службу поддержки этот файл можно отправить в безопасную рабочую область для анализа.

Обратная связь

Были ли сведения на этой странице полезными?

WMI Provider Host загружает процессор

фото 1

Нередко пользователи операционной системы Windows жалуются на то, что WMI Provider Host загружает процессор, не давая полноценно пользоваться компьютером. Стоит разобраться, что собой представляет данный процесс, почему он может чрезмерно нагружать память компьютера и каков перечень наиболее эффективных способов устранения проблемы.

WMI Provider Host – что это за процесс и для чего нужен в Windows

Фото 2

WMI Provider Host – системный инструмент, призванный управлять операционной системой. Данный процесс требуется, чтобы утилиты и приложения могли запрашивать необходимую для их полноценного функционирования информацию у системы, а также максимально быстро получать к ней доступ.

Важно! С помощью процесса WMI Provider Host пользователь имеет возможность получить доступ к информации, которая не отображается в интерфейсе Windows. Он может узнать, например, серийный номер компьютера, модели функциональных элементов в системном блоке, текущее состояние твердотельного накопителя.

Помимо этого Windows Management Instrumentation (именно так расшифровывается аббревиатура «WMI») отвечает за подключение к системе периферийных устройств – сканеров, наушников, колонок.

Почему WMIPrvSE.exe начинает сильно грузить процессор и как найти источник

Фото 3

Пред тем, как разобраться, что делать, если WMI Provider Host загружает процессор windows 10, стоит рассмотреть наиболее частые причины этого:

  1. На компьютере присутствуют вирусные программы. Если периодически наблюдается повышенное увеличение нагрузки на память компьютера, есть высокая вероятность того, что причина этого не системный процесс WMI Provider Host, а вирус, который под него замаскировался.
  2. При обновлении Windows произошел сбой, вследствие которого апдейт установился некорректно.
  3. Одно из установленных приложений функционирует некорректно, постоянно запрашивая определенные данные у системы. Эти запросы провоцируют регулярную повышенную нагрузку на процессор.

Внимание! Во время работы процесс WMI Provider Host действительно оказывает повышенную нагрузку на жесткий диск, оперативную память и центральный процессор. При нормальной работе данный процесс не протекает долго. Если же нагрузка оказывается постоянно, значит, что-то не так.

Способы устранения проблемы с процессом «WMI Provider Host»

Если WMI Provider Host загружает процессор, как исправить данную проблему? Следует помнить, что процесс «WMI Provider Host» является системным – это значит, что он устанавливается со скачиванием сторонних программ.

Установить точную причину возникновения проблемы довольно сложно. Она может быть обусловлена как внутренними сбоями, так и временным подключением к системе периферийного устройства. Существует несколько наиболее действенных способов решения проблемы. На каждом из них стоит остановиться подробнее.

Способ 1: Проверка работы службы

Прежде всего, рекомендуется убедиться, что служба процесса «WMI Provider Host» функционирует корректно. Если потребуется, можно либо произвести ее перезапуск, либо полностью отключить. Для проверки требуется:

  1. Одновременно задать 2 клавиши – «Win» и «R».
  2. Откроется окно «Выполнить». В строке следует напечатать «services.msc», после чего нажать «Enter».

Фото 4

  1. Откроется окно, в котором можно ознакомиться со всеми доступными службами. Следует найти строку «Инструментарий управления Windows». По ней нужно кликнуть дважды левой кнопкой мыши (ЛКМ).

Фото 5

  1. Далее нужно убедиться, что в строке «Состояние» фигурирует слово «Выполняется». В этом случае служба работает. Потребуется выполнить ее перезапуск, кликнув по «Остановить».

Фото 6

  1. Далее нужно ознакомиться с предупреждением и нажать «Да».

Фото 7

  1. Далее следует кликнуть по «ОК» или «Применить». В противном случае внесенные изменения действовать не будут.

Фото 8

  1. Теперь нужно перезагрузить компьютер.

Необходимо протестировать систему. Если она работает стабильно, значит, проблема решена. Если неисправность сохранилась, потребуется вновь открыть «Инструментарий управления Windows» и запустить службу. По окончанию запуска следует не забыть кликнуть по «ОК».

Фото 9

Совет: если перезагрузка не помогла, можно попробовать выполнить деактивацию службы. Если и это действие не помогло, следует воспользоваться остальными способами.

Способ 2: Проверка на вирусы

Если WMI Provider Host загружает процессор windows 11 (или другой версии ОС), можно также проверить систему на наличие вирусов. Но сначала, следует понять, как отличить вирус «Wmiprvse.exe» от подлинного процесса. Для этого требуется последовательно выполнить несколько действий:

  1. Запустить «Диспетчер задач». На Windows 10 для этого нужно ПКМ кликнуть по «Панели задач», после чего из предложенных пунктов выдрать «Диспетчер задач».

Фото 10

  1. Далее следует во вкладке «Процессы» найти строку «WMI Provider Host».
  2. Далее нужно по этой строке кликнуть ПКМ, после чего выбрать «Свойства».

Фото 11

  1. Теперь потребуется акцентировать внимание на строке «Расположение». Оригинальный файл имеет название «Wmiprvse.exe». Нужно посмотреть, где конкретно он находится. По умолчанию, путь к данному файлу «C:\Windows\System32\wbem». Если на компьютере установлена 64-битная система, ту путь к рассматриваемому файлу – «C:\Windows\SysWOW64\wbem».

Фото 12

  1. Если указан иной путь, значит, требуется выполнить сканирование компьютера на наличие вредоносного ПО.

Рекомендуется использовать только проверенные временем, надежные антивирусные программы. Можно воспользоваться антивирусом «Kaspersky». Скачать его можно с официального сайта компании. В качестве альтернативы можно использовать антивирус «Avast». Скачать его бесплатную версию также возможно с официального ресурса.

Фото 13

Важно! Во избежание подобных ситуаций рекомендуется хотя бы раз в месяц проводить сканирование системы на наличие вредоносного ПО. Так получится обезопасить себя от посторонних процессов и кражи персональной информации.

Способ 3: Откат обновлений

Обновления для Windows 10 выпускаются регулярно. Их цель – повысить безопасность и стабильность работы системы. Но иногда стабильность работы некоторых процессов после очередного обновления может быть нарушена. Если наблюдаются проблемы с процессом «WMI Provider Host», можно выполнить откат внесенных изменений. Потребуется:

  1. Одновременно зажать 2 клавиши «Win» и «R», перейдя в «Параметры Windows» (также вызвать необходимое меню можно, кликнув по «Пуск»).

Фото 14

  1. Среди представленных плиток нужно выбрать «Обновления и безопасность», кликнув по ней ЛКМ.

Фото 15

  1. Среди вкладок, находящихся справа, нужно выбрать «Центра обновлений Windows». Следует перейти в журнал установленных обновлений.

Фото 16

  1. Далее нужно кликнуть по серой малозаметной надписи «Удалить обновления».

Фото 17

  1. Затем нужно ПКМ кликнуть по пункту, указанном на скриншоте, и нажать «Удалить».

Фото 18

Откат к предыдущей версии системы займет некоторое время. Когда он завершится, нужно протестировать систему на наличие рассматриваемой проблемы. Если она сохранилась, можно удалить еще одно обновление и так до тех пор, пока проблема не будет решена.

Для информации! Не стоит беспокоиться, что теперь у вас будет устаревшая версия Windows. Это не так. Система после проделанных манипуляций самостоятельно обновит себя. Только в этот раз апдейт уже будет установлен без ошибок.

Впрочем, если пользователем ранее отключались «Автоматические обновления», то он может скачать их самостоятельно, кликнув по соответствующей плашке в «Центре обновления Windows».

Полезное для ознакомления видео:

Способ 4: Отключение сторонних служб

Когда на ПК производится установка сторонних программ, вместе с ними могут загружаться зависимые службы. Именно они, иногда, становятся причиной перегрузки процесса «WMI Provider Host». Чтобы отключиться все второстепенные службы, понадобится:

  1. Запустить окно «Выполнить», путем одновременного нажатия клавиш «Win» и «R».
  2. В поле нужно ввести «msconfig», нажав после этого «ОК».

Фото 19

  1. Далее следует перейти во вкладку «Службы» и поставить галочку напротив «Не отображать службы Microsoft». Затем необходимо кликнуть ЛКМ по «Отключить все» и нажать «ОК».

Фото 20

После проделанных действий выполняется перезагрузка компьютера и тестирование его работы.

Способ 5: «Просмотр событий»

Через внутреннюю утилиту «Просмотр событий» можно выяснить, какое именно приложение обращалось к службе «WMI Provider Host». Выяснив это, можно удалить «проблемное» приложение и установить его заново, но уже без ошибок. Нужно:

  1. Открыть меню «Пуск», кликнув по указанным на скриншоте ниже ярлыкам.

Фото 21

  1. В разделе «Вид» кликнуть по «Отобразить аналитический…».

Фото 22

  1. Открыть каталог «WMI-Activity», кликнуть ПКМ по «Trace» и выбрать «Включить журнал».

Фото 23

  1. Подтвердить совершаемое действие, кликнув по «ОК».

Фото 24

  1. Открыть меню «Operational», выбрать ошибку и обратить внимание на код приложения, запрашивающего доступ к «поставщику» информации о системе.

Фото 25

Необходимая информация получена, остается удалить приложение, зайдя в «Диспетчер задач» и перейдя во вкладку «Подробности».

Фото 26

Там по коду можно узнать, какое конкретно приложение требуется удалить (переустановить).

Способ 6: Проверка оборудования

Подключаемое внешнее оборудование может служить источником проблемы. Чтобы понять, какое из устройств мешает системе корректно функционировать, следует их постепенно отключить. Необходимо:

  1. Зайти в «Диспетчер задач».

Фото 27

  1. Выбрать объект, кликнув по нему ПКМ и нажать «Отключить устройство».

Фото 28

Остается проверить, присутствует ли все еще процесс «WMI Provider Host».

WMI Provider Host – крайне важная служба. Если она периодически появляется на непродолжительное время, это норма. Если же она на постоянной основе грузит ПК, значит, какой-то механизм внутри системы работает некорректно. Рекомендуется использовать способы решения проблемы именно в том порядке, в котором они размещены в статье.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *