Что это за процесс wmiprvse.exe (wmi provider host)?
Что за процесс WmiPrvSE.exe:
WmiPrvSE – сокращенно от Windows Management Instrumentation Provider Host Service.
Функция WMI: предоставление общего интерфейса и объектной модели для доступа к данным об управлении ОС, устройствами, приложениями, программами и службами.
В Windows 7 и более ранних версиях ОС в диспетчере задач отображается как WmiPrvSE.exe.
В Windows 10 процесс носит название WMI Provider Host.
В Windows 64-bit в диспетчере задач может присутствовать 2 процесса WmiPrvSE.exe одновременно. Это нормальное явление, так что не стоит переживать и грешить на вирус. Для 32-bit – максимум 1 процесс.
Почему wmiprvse.exe нагружает процессор
Сервис WMI Provider Host, теоретически, не должен как-либо нагружать процессор более 1-3%. Впрочем, когда у другого приложения или процесса возникает необходимость доступа к данным через Инструментарий управления Windows, может кратковременно увеличиваться нагрузка на CPU. Поэтому, если вы видите, что столбик CPU стал меняться напротив процесса WMI – скорее всего, речь именно об этом.
Тревогу нужно поднимать в ситуации, когда уровень нагрузки на CPU остается на стабильно высоком уровне долгое время и повышает его температуру.
Чтобы скорректировать работу WMI, можно задействовать 2 способа:
- Перезагрузить ПК.
- Перезапустить сервис Инструментарий управления windows (wmiprvse.exe).
С первым способов ничего сложного нет, поэтому рассмотрим второй.
- Откройте Пуск.
- Введите Services.msc, нажмите Ввод.
- Запустится инструмент Службы.
- Найдите в списке Инструментарий управления Windows.
- В контекстном меню (щелчок правой кнопкой мыши) выберите команду Перезапустить.
Одна из причин, вследствие которой “Инструментарий управления Windows” использует много ресурсов – использование данных WMI другой службой. Соответственно, можно поискать другие службы WIndows, которые могут потреблять много ресурсов процессора.
Для этого используйте встроенный в Windows инструмент “Просмотр событий”.
Инструкция:
- Откройте Пуск > Введите “Просмотр событий”. (Как вариант, откройте контекстное меню Пуск и найдите пункт “Просмотр событий”.)
- Через левую колонку навигации перейдите в Журналы приложений и служб > Microsoft > Windows > WMI-Activity > Operational.
- Обратите внимание на все события с уровнем Ошибка.
- Нажмите на событие с ошибкой
- Во вкладке Общие доступна детальная информация об ошибке. Найдите в тексте ClientProcessId и соответствующий номер.
- Этот номер закреплен за сервисом, который вызвал ошибку WMI.
- Ознакомьтесь с похожими ошибками. Если ClientProcessId имеет один и тот же номер, скорее всего, виновником загруженности процессора является именно он.
- Откройте Диспетчер задач от имени администратора. Правая кнопка мыши на Пуск > Диспетчер задач (или сочетание клавиш Ctrl Shift Escape).
- Убедитесь в том, что колонка “ИД процесса” доступна.
- Как вариант, перейдите во вкладку Подробности.
- Отсортируйте колонку “ИД процесса” по алфавиту.
- Найдите номер процесса, который, вероятно, является причиной сбоя (см. выше ClientProcessId).
- Вы можете снять задачу или деинсталлировать программу с компьютера, чтобы ошибка не повторялась.
- Воспользуйтесь пунктом контекстного меню “Открыть расположение файла”, чтобы перейти к приложению, которое закреплено за “ИД процесса”.
- Если предыдущие пункты не помогли исправить работу WMI, попробуйте в Интернете найти похожие проблемы и их решение.
Примечание. При каждом перезапуске, номер процесса меняется. Поэтому важно определить проблему в момент работы того или иного сервиса.
Wmiprvse.exe: расположение исходного файла
Место расположение исходного исполняемого файла приложения WmiPrvSE:
C:WindowsSystem32wbemwmiprvse.exe
Вирус
К сожалению, довольно часто под «WMI Provider Host» маскируется вирусное программное обеспечение, и, несмотря на простоту выявления «подделки», далеко не каждый пользователь своевременно и корректно реагирует на рассматриваемую проблему. К признакам действия вирусного ПО можно отнести:
Кроме того, косвенным признаком на действие вирусов можно назвать постоянство нагрузки, которая колеблется в районе 85 – 90% по отношению к «ЦП». Если проверяемый кандидат не прошёл данные проверки, воспользуйтесь любым антивирусным ПО, а также почистите реестр любым удобным способом.
Вирусная активность
Известно, что очень часто вирусное программное обеспечение маскируется под важные системные процессы, принимая их название и отображаясь в Диспетчере процессов под обозначением некоторой служебной функции.
В частности, вредоносное ПО очень «любит» подстраиваться именно под этот процесс,
принимая название WMIPrvSE.exe.
Необходимо помнить, что в одно и тоже время на компьютере может быть запущен только один такой процесс, и если вы видите, что в списке Диспетчера их два – это означает, что один из этих процессов является замаскированным вирусом.
Именно вирусные процессы отличаются особенно большой нагрузкой на центральный процессор.
Потому, если нагрузка в пределах 90-95% постоянна со стороны данного процесса, то, скорее всего, он вирусный.
Как определить какой из двух процессов вредоносный? На самом деле, маскировка у таких вирусов, чаще всего, поверхностная и отличить вредоносный процесс можно по цифровой подписи разработчика. Системный процесс будет подписан разработчиком Microsoft, тогда как вирусное ПО, обычно, вовсе не имеет подписи.
Также отличается и расположение файла. Системный файл всегда находится в папках Windows, System, System32.
При этом лишь редкий вирус может получить доступ к ним, потому он, обычно, локализуется в иных директориях.
Далее можно действовать несколькими способами:
- Найти и удалить файл вручную, после чего почистить системный реестр от его остатков;
- Просто запустить полное сканирование антивирусом и удалить все найденные угрозы (это более простой, но действенный вариант, так как, обычно, угрозы такого типа легко находятся).
Эффективнее всего такую вредоносную активность выявляют антивирусные утилиты AdwCleaner, Curelt, Malwarebytes.
Для чего нужен сервис wmi provider host
Служба wmiprvse.exe необходима для предоставления программам и сценариям различной служебной информации и данных о работе ОС Windows. Это происходит по запросу соответствующего софта.
Например, программное обеспечение может получить информацию о состоянии системных обновления, просмотреть записи из журнала событий или запросить данные об установленных приложениях.
Наиболее важна данная функция системным администраторам, которые, используя WMI, могут централизованно получить сведения о всех компьютерах в сети через административную консоль. В штатной ситуации, на домашних версиях ОС, также может быть задействован сервис Инструментарий управления Windows. Запрос данных может происходить от сторонних программ, которые используют вышеназванный WMI интерфейс в своей работе.
Рядовые пользователи не используют данный сервис повседневно, однако через него можно получить ряд необходимой информации о “железе”: например, модель видеокарты, состояние HDD, объем ОЗУ, серийный номер ПК и прочие сведения, хотя для этих целей часто используется платный сторонний софт вроде AIDA64.
Как отключить wmiprvse.exe (wmi provider host) в windows
WMI Provider Host – системное приложение операционной системы и отключать процесс WmiPrvSE.exe не рекомендуется, так как это может привести к некорректной работе приложений и программ, зависимых от данной службы.
Чтобы отключить WMI Provider Host (WmiPrvSE.exe) нужно:
- Запустить диспетчер задач. Сделать это можно с помощью комбинации клавиш Ctrl Shift Esc или Ctrl Alt Del, или – вызвав контекстное меню, кликнув правой кнопкой мыши по панели задач Windows;
- Перейти во вкладку «Процессы» или «Подробности»;
- Найти процесс WmiPrvSE (WMI Provider Host). Для быстрого поиска можно нажать на клавиатуре первую букву названия процесса – «W»;
- Кликнуть правой кнопкой мыши по приложению, вызвав контекстное меню;
- В меню следует выбрать пункт «Снять задачу».
Когда может помешать?
Процесс оказывает значительную нагрузку на операционную память и центральный процессор, снижая быстродействие компьютера (в большинстве случаев временно, но возможны и исключения).
Обычно, после значительного повышения нагрузки, затем происходит ее спад, и система снова работает нормально.
В каких же случаях процесс может начать оказывать на ПО существенную нагрузки?
- Подключение какого либо нового оборудования;
- Запуск автоматического процесса скачивания или обновления драйвера одного из подключенных устройств;
- Установка какого либо программного обеспечения;
- Обновление операционной системы компьютера;
- Включение анимированных виджетов, плиток, визуальных эффектов и другая нагрузка на видеокарту.
Любое из перечисленных выше действий ведет у всплеску активности обсуждаемого процесса, возрастанию нагрузки на ПК и снижению его быстродействия. И хотя такая проблема у пользователей возникает регулярно, универсального способа ее решения служба поддержки Виндовс пока не предлагает.
Определение
Когда же пользователь может непосредственно столкнуться с этим процессом?
Он может быть обнаружен в Диспетчере задач, при этом отмечено, что процесс оказывает приличную нагрузку на центральный процессор, из-за чего пользователь может попытаться его отключить, также, при осуществлении поиска в скрытых системных папках может быть найден исполнительный файл с таким названием, который и запускает этот процесс.
WMI Provider Host – это стандартный системный файл, который имеется во всех версиях операционной системы Виндовс, почти всегда носит в них одно и то же название, и выполняет одну и ту же задачу. Данный файл запускает системный процесс, необходимый для управления подключениями всего внешнего оборудования. Благодаря нему обеспечивается не только стабильность, но и сам факт функционирования этих устройств.
То есть, данный процесс, а значит, и данный файл, совершенно необходимы.
Останавливать процесс или удалять такой файл нельзя, так как это нанесет урон нормальному функционированию вашего ПК.
Запускается данный процесс в автоматическом режиме при обнаружении любого подключенного устройства, то есть почти всегда.
Даже после его принудительного завершения он тут же запускается снова.
Важно! На ноутбуках также есть подключенные устройства, просто они находятся в корпусе компьютера. Потому такой процесс свойственен не только для стационарны ПК с системным блоком, но и для мобильных типов компьютеров.
Чем же именно управляет процесс? Под его действие подпадают динамики, мыши, клавиатуры, принтеры и факсы, телефоны и внешние жесткие диски, карты памяти.
Под его действие не подпадают видео- и звуковые карты и другие подобные компоненты.
Отключение сервиса wmi provider host
Теоретически, вы можете отключить Инструментарий управления Windows, чтобы он не вызывал проблем с утечкой памяти и ресурсов процессора. Однако делать это категорически не желательно: скорее, это приведет ко множеству системных конфликтов, особенно что касается встроенных в Windows программ.
Советуем решить проблему вышеописанным способом – найти зависимый от службы WMI сервис и отключить его.
Перезапуск службы wmi
Для решения проблемы с высокой нагрузкой процессора службой WmiPrvSE.exe также можно выполнить перезапуск WMI.
Чтобы перезапустить WMI следует:
- Открыть диалоговое окно «Выполнить», нажав горячие клавиши Win R;
- Ввести в него команду services.msc и нажать кнопку «ОК»;
- Найти в списке служб «Инструментарий управления Windows». Для быстрого поиска можно нажать первую клавишу первой буквы названия приложения – «И»;
- Кликнуть по нему правой кнопкой мыши;
- В меню выбрать пункт «Перезапустить».
Стандартные провайдеры wmi
- Провайдер каталога ActiveDirectory (ActiveDirectoryprovider) – Позволяет обращаться к объектам Active Directory как к объектам WMI, динамическая библиотека Dsprov.dll
- Провайдер журнала событий (EventLogprovider) – Обеспечивает управление журналом событий (выборка по определенному критерию записей для чтения, создание резервных копий и очистка журнала, изменение настроек и т. д.). Также этот провайдер позволяет обрабатывать события, генерируемые журналом (например, добавление в журнал записи определенного типа), Ntevt.dll.
- Провайдер системных счетчиков производительности (Perfomance Counter provider) – Обеспечивает доступ к счетчикам производительности, т. е. к данным, позволяющим численно оценивать производительность системы, Wbemperf.dll
- Провайдер реестра (Registryprovider) – Позволяет читать данные из реестра, создавать и модифицировать там ключи и разделы. Кроме этого, провайдер обеспечивает генерацию события WMI при изменении определенного ключа или ветви реестра, Stdprov.dll
- Провайдер SNMP-устройств (SNMP provider) – Является шлюзом для доступа к системам и устройствам, которые управляются с помощью протокола SNMP (Simple Network Management Protocol), Snmpincl.dll
- Провайдер драйверов устройств (WDM provider) – Позволяет получить доступ к информации низкого уровня о драйверах устройств Windows Driver Model (WDM); в качестве таких устройств могут выступать, например, порты ввода/вывода или сетевые платы, Wmiprov.dll
- Провайдер подсистемы Win32 (Win32 provider) – Обеспечивает доступ к информации о компьютере, операционной системе, подсистеме безопасности, дисках, периферийных устройствах, файловых системах, файлах, папках, сетевых ресурсах, принтерах, процессах, сервисах и т. п, Cimwin32.dll
- Провайдер инсталлированных программных продуктов (WindowsInstallerprovider) – Позволяет получить информацию об инсталлированном программном обеспечении, Msiprov.dll
Один провайдер WMI может выполнять сразу несколько ролей, так, провайдер реестра (Registry provider) выполняет следующие роли:
- Провайдер событий
- Провайдер экземпляров
- Провайдер методов
- Провайдер свойств
Аналогично, провайдер EventLog также поддерживает несколько ролей. В его состав входят такие объекты как Event Log Computer, Event Log Record и Event Log File. Сам EventLog является провайдером типа Instance (провайдер экземпляров), поскольку позволяет определять несколько экземпляров для собственных классов.
Также, для объекта Event Log File реализованы методы backup и restore, которые позволяют создавать резервные копии файлов Event Log и далее восстанавливать их средствами Windows Management Instrumentation, что позволяет считать провайдер Event Log провайдером методов (Method).
Типы wmi провайдеров
- Class (провайдер классов) – Отвечает за предоставление, изменение, удаление и перечисление классов, которые являются специфичными для конкретного провайдера. Тип регистрации – __ClassProviderRegistration. Примером служит провайдер Active Directory и SNMP. WMI Provider.
- Instance (Провайдер экземпляров) – Отвечает за предоставление, изменение, удаление и перечисление экземпляров системных или специфичных для провайдера классов. Каждый экземпляр предоставляет управляемый объект. Также может поддерживать обработку запросов. Тип регистрации – __InstanceProviderRegistration. Например, провайдер реестра и Win32.
- Property (провайдер свойств) – Отвечает за предоставление и изменение значений свойств индивидуальных объектов. Тип регистрации – __PropertyProviderRegistration. Например, провайдер реестра.
- Method (провайдер методов) – Отвечает за предоставление методов класса, специфичного для провайдера. Тип регистрации – __MethodProviderRegistration. Например, провайдер реестра и Win32.
- Event (провайдер событий) – Отвечает за генерацию уведомления о событиях WMI. Тип регистрации – __EventProviderRegistration. Например, провайдер реестра и SNMP. WMI Provider
- Event Consumer (провайдер потребителя событий) – Просто действуют как потребитель событий WMI. Тип регистрации – __EventConsumerProviderRegistration. Например, потребитель событий командной строки, SMTP и скрипта.
Ниже показан список стандартных провайдеров WMI и связанных с ними динамических библиотек.
Заключение
В заключение стоит отметить, что приведённые выше действия подходят и для многих иных подобных проблем с системными процессами, а о полезности периодической проверки операционной системы на наличие вирусной активность уже давно известно. По сути, наиболее оптимальным решением будет проведение анализа всех подключаемых устройств, в том числе на внешних носителях данных, так как и они могут являться носителями вирусного программного обеспечения.
И последнее, что следует сказать, это бессмысленность попыток принудительного завершения «WMI», так как даже после успешного его закрытия, что происходит далеко не всегда, он в любом случае будет автоматически перезапущен.