Процесс wmiprvse.exe стал периодически вешать систему

Автор 9892301, 12 Травень 2012, 13:54:22

Попередня тема - Наступна тема

9892301

Данный процесс C:\WINDOWS\system32\wbem\Wmiprvse.exe (размер файла 227840 байт) периодически в течении дня подвешивает на секунд 15-20 процессор на 100% , см. ниже ссылку (в течении 10 минут 2 раза происходит нагрузка на процессор этим процессом)
Как только данный процесс начинает "вешать" процессор, в логах операционной системы возникает следующая ошибка:

Управление компьютером-Служебные программы-Просмотр событий-Система

Настройки разрешений  зависящие от конкретного приложения не предоставляют разрешение Локально Запуск для приложения  сервера COM Server с CLSID
{24FF4FDC-1D9F-4195-8C79-0DA39248FF48}
пользователю NT AUTHORITY\SYSTEM SID (S-1-5-18).  Это разрешение  можно изменить с помощью средства администрирования Component Services.

Запускаем реестр системы regedit:
•   Поиск - 24FF4FDC-1D9F-4195-8C79-0DA39248FF48
•   Находим AppID={B292921D-AF50-400c-9B75-0C57A7F29BA1}
•   Снова запускаем поиск , последнему соответствует NAP Agent Service
•   Запускаем dcomcnfg
•   Службы компонентов-Компьютеры-Мой компьютер-Настройка DCOM, выходит предупреждающее сообщение (см. ниже ссылку), жмем ДА
•   Появляется еще одно предупреждающее сообщение, снова жмем кнопку ДА
•   Находим NAP Agent Service-Свойство-Безопасность
Разрешение на запуск и активацию-Настроить-Изменить
NETWORK SERVICE-Локальная активация
SYSTEM-Локальная активация
Прошедшие проверку–Локальная активация

Права доступа-По умолчанию

Разрешения на настройку-Настроить-Изменить-
SYSTEM-Полный доступ,Чтение, Особые разрешения
Администраторы- Полный доступ,Чтение, Особые разрешения
Опытные пользователи- Чтение,Особые разрешения
Пользователи-Чтение,Особые разрешения
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ-Особые разрешения

•   Загрузился в безопасном режиме, переименовал файл wmiprvse.exe в wmiprvse.exe_old
•   Запустил систему, теперь wmiprvse.exe не вешает процессор, что уже радует , но теперь в логах системы куча подобных сообщений (см. ниже ссылку):

Не удается запустить сервер DCOM: {1F87137D-0E7C-44D5-8C73-4EFFB68962F2}. Ошибка:
"Не удается найти указанный файл. "
возникла при запуске команды:
C:\WINDOWS\system32\wbem\wmiprvse.exe -secured -Embedding

p.s. Компьютеры организации находятся в домене. Вышеописанная ошибка проявляется на всех компьютерах. ОС Windows XP Pro SP3 лицензионная, переустановленная с начала этого года.
Выводил компьютер из домена, ошибка по-прежнему наблюдается.
На компьютере установлен Антивирус Касперского 6.0 для Windows WorkStation. Проверял все компьютеры на вируса следующими утилитами (AVZ, Dr.Web CureIt, HiJackThis, MALWAREBYTES' ANTI-MALWARE, McAfee AVERT Stinger), все чисто.

Ответ Центр Информационной и Технической поддержки Microsoft: в данном случае, поддержка возможна на платной основе (стоимость одного обращения в рабочее время (по телефону или через Интернет) составляет 149 долл. США + НДС) или в виде самостоятельного поиска информации на ресурсах Microsoft: http://support.microsoft.com, http://answers.microsoft.com, http://technet.microsoft.com.
На форум (http://support.microsoft.com) обращался, никакого результата.

Хотелось бы все-таки выяснить и устранить причину, по которой  этот процесс вешает компьютер

Ссылки на скриншоты:
Ошибка после удаления процесса - http://s019.radikal.ru/i626/1205/0c/ba00a158ca53.jpg
Процесс в диспетчере задач - http://s019.radikal.ru/i610/1205/46/b04617aed839.jpg
Процесс в диспетчере задач - http://s59.radikal.ru/i166/1205/17/4c15f68e44ff.jpg
Лог ошибки в системе - http://s017.radikal.ru/i439/1205/cf/13d7d2ad0d6a.jpg

Mantikor

Причину не скажу, но переименовывать файл - не выход. Лучше отключить его из автозагрузки, смотрите здесь (HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run)

9892301

-   Ключи ветвей Run в реестре проверял, ничего лишнего, все нужное
-   Msconfig – тоже ничего лишнего нет
-   Адаптер производительности WMI (C:\WINDOWS\system32\wbem\wmiapsrv.exe), Тип запуска – Вручную
-   Справка и поддержка (C:\WINDOWS\System32\svchost.exe -k netsvcs), Тип запуска – Вручную
-   Свободное место на разделе, где стоит система, имеется в достаточном количестве.
-   HPTLBXFX.exe - тулбокс от принтера – на компьютерах отсутствует

9892301

После установки всех обновлений (Kaspersky Administration Kit 8.0.2177 и Агент администрирования 8.0.2177)
и выполнения инструкции по ссылке - http://support.kaspersky.ru/faq/?qid=208637110 (в разделе NAP не создал DWORD ключ с именем Enable),
ошибка с кодом 10016 исчезла из лога системного винды.
См. ссылки:

Как было раньше, куча ошибок с колом 10016 - http://s41.radikal.ru/i092/1205/3a/daf6639fba76.jpg
Как теперь стало, ни одной ошибки нет - http://s019.radikal.ru/i616/1205/9d/ee154f428e4d.jpg

Причину почему вешал процессор файл C:\WINDOWS\system32\wbem\Wmiprvse.exe, выяснил, причина была в программе
Big Brother Professional Edition Client 4.00 (http://bb4.com/)
C:\Program Files\Quest Software\Big Brother\BBNT\4.00\bin\bbnt.exe
Временно отключил данную службу (поставил режим запуска службы - вручную), wmiprvse.exe изчез из списка загруженных процессов, и больше не появляется. Процессор не загружает.
Буду теперь копатся с процессом bbnt.exe