Wmiprvse exe windows server

WmiPrvSE.exe потребляет 100 % CPU в Windows Server 2008R2

Всем привет! Сегодня хочу рассказать, как бороться с тем, что wmiprvse.exe потребляет 100 % CPU в Windows Server 2008R2. Согласитесь, что ни один процесс в нормальном состоянии не может потреблять все процессорные мощности, так как из-за этого будет страдать вся система и ее производительность в целом. WmiPrvSE.exe — это процесс, который использует механизм WMI для получения неких данных о сервере и слежению за ним. Бывают случаи когда этот процесс кушает 100 процентов процессора и весь сервер начинает тормозить. Мы рассмотрим как определить, кто это делает и как с этим бороться.

Почему Wmiprvse.exe грузит процессор?

• Ситуация следующая есть сервер IBM System x3650 M3, на котором крутится некий сервис, в одно время сервер начинает тормозить, обнаруживается, что процесс Wmiprvse.exe грузит почти все CPU мощности.

Данный процесс является системным и должен запускаться из C:\Windows\System32\wbem ну максимум из C:\Windows\System32, если файл лежит в другом месте, то поздравляю у вас вирус, можете его вычищать.

• Вторым моментом, который может нагружать вашу систему через процесс Wmiprvse.exe, может выступать обновление Windows. Оно могло установиться некорректно или быть поврежденным, в следствии чего данный процесс может себя вести подобным образом. В таком случае я вам советую почистить папку SoftwareDistribution. В результате чего вы удалите и устраните все сбойные или поврежденные обновления.
• Если данный метод не помог, то можно попробовать восстановить систему и откатиться на момент, когда у вас не наблюдалась проблема. Произвести восстановление можно описанным по ссылке методом.
• Еще можно попробовать просканировать ваши системные файлы на наличие ошибок

Выясняем кто вызывает WmiPrvSE

Открываем просмотр событий, либо нажимаем сочетание клавиш Win+r и пишем eventvwr.msc, либо Пуск-Администрирование-Просмотр событий.

Выбираем сверху вид-Отобразить аналитический и отладочный журналы

теперь слева открываем «Журналы Windows-Журналы приложений и службы-Microsoft-Windows»

Находим там журнал «WMI-Activity» и заходим в его свойства

Включаем ведение журнала

Начался мониторинг «WMI-Activity активности»

Обновляем страницу и видим, побежали логи, в моем случает это был SCOM 2012 R2 его определил по PID и по учетке от имени которой он запускался. В своей практике среди приложений нагружающих через Wmiprvse.exe ваш процессор я наблюдал:

Когда появилось понимание из-за какой утилиты проблемы, то пробуем ее переустановить или обновить до последней версии. Если будите ее удалять, то обязательно после деинсталляции очистите Windows от оставшегося мусора.

High CPU usage by the WMI Provider Host (WmiPrvSE.exe) process at regular intervals in Windows

This article provides a workaround for the issue of high CPU usage by WmiPrvSE.exe process at regular intervals.

Original product version: В Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Window 10 — all editions
Original KB number: В 4483874

Symptoms

When you use a Windows-based computer, you notice that the Windows Management Instrumentation (WMI) Provider Host (WmiPrvSE.exe) process is using high CPU capacity (close to 100 percent) for several minutes every 15 to 20 minutes.

When the issue occurs, use Task Manager to identify the process identifier (PID) of the WmiPrvSE.exe process that’s consuming high CPU. Then, open an elevated command prompt and run the following command:

The list of WmiPrvSE.exe processes that have this module loaded will be displayed. ‎Usually only one process is listed. However, if you have both 32-bit and 64-bits clients, you may see two processes.‎ This is example output:

Image Name    PID    Modules
========== ======== ==========================
WmiPrvSE.exe   2140   WmiPerfClass.dll

If the PID of the listed process matches the one that you found in Task Manager, it is likely that you are encountering the issue that’s described in this article.

Cause

This issue can be caused by either of the following factors.

One or more processes are using a high number of handles

All the handles are stored in the kernel structure \BaseNamedObjects. The WMIPerfClass provider must scan this structure when creating the performance class that is related to the Job objects.

If this structure is bloated because of the high number of handles, the operation will have high CPU usage and will take longer than normal.

‎You may expect an impact for this condition when a process is using more than about 30,000 handles, or the total number of handles on the system exceeds 50,000.

An update that is released in March 2020 for supported operating system versions includes some performance optimization and addresses some variants of this issue. Refer to the Windows Updates history for more information on the update that applies to your Windows version.

One or more processes running on the system are using lots of memory

This affects the creation of the Process performance classes because the memory area of each running process will have to be queried. The memory that’s used by the process may be fragmented, and this makes the operation more resource-intensive. This happens because WMIPerfClass is also querying “Costly” performance counters.

‎You can check whether Costly performance counters are enabled by running the following PowerShell command:

If the command returns results, this indicates the Costly performance counters that are enabled. For example:

Win32_PerfFormattedData_PerfProc_FullImage_Costly
Win32_PerfRawData_PerfProc_FullImage_Costly
Win32_PerfFormattedData_PerfProc_Image_Costly
Win32_PerfRawData_PerfProc_Image_Costly
Win32_PerfFormattedData_PerfProc_ProcessAddressSpace_Costly
Win32_PerfRawData_PerfProc_ProcessAddressSpace_Costly
Win32_PerfFormattedData_PerfProc_ThreadDetails_Costly
Win32_PerfRawData_PerfProc_ThreadDetails_Costly

Workaround

To fix the issue, identify the process that’s using a large number of handles or a large amount of memory.‎ The process may have a memory leak or a handle leak issue. As a workaround, restart the process.

By default if you’re using Windows Server 2016 or a later version of Windows, the Costly performance counters are disabled starting from the following Cumulative Updates:

After the cumulative update is installed, if you need the classes that are related to the Costly performance counters, set the value Enable Costly Providers to 1 (DWORD) under the following registry subkey to make them available again:

The cumulative update will not affect the behavior when a process is using a large number of handles.

This issue happens when a client is querying the performance classes. This is usually a monitoring application.

As a workaround, you can also disable the monitoring application to prevent the creation of the performance classes.

More information

WMI provides several performance classes. For more information, see Performance Counter Classes.

These classes are created dynamically based on the Performance Counters that are available on the system. All the classes are created at the same time, not only the classes that are being queried.

WMIPerfClass is the module that handles creating these classes when the WMI client queries any of them or enumerates the available classes.

These performance classes are stored in a cache that’s invalidated after 15 to 20 minutes. ‎As soon as the cache is invalidated, the performance classes must be created again if a client requests them.

Высокий уровень использования ЦП в процессе хост-WmiPrvSE.exe поставщика WMI на регулярной основе в Windows

В этой статье предоставляется обходное решение проблемы с высоким уровнем использования ЦП WmiPrvSE.exe процессом через регулярные промежутки времени.

Оригинальная версия продукта: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Window 10 — все выпуски
Исходный номер КБ: 4483874

Симптомы

При использовании компьютера на базе Windows вы заметите, что в процессе поставщика средств управления Windows (WMI) (WmiPrvSE.exe) используется высокая емкость ЦП (около 100 процентов) в течение нескольких минут каждые 15-20 минут.

Когда возникает проблема, используйте диспетчер задач для определения идентификатора процесса (PID) процесса WmiPrvSE.exe, потребляемого высоким процессором. Затем откройте повышенную командную подсказку и запустите следующую команду:

Будет отображаться WmiPrvSE.exe процессов, загруженных этим модулем. ‎Usually only one process is listed. However, if you have both 32-bit and 64-bits clients, you may see two processes.‎ Вот пример вывода:

Если PID перечисленного процесса совпадает с тем, который вы нашли в Task Manager, скорее всего, вы столкнулись с проблемой, описанной в этой статье.

Причина

Эта проблема может быть вызвана одним из следующих факторов.

Один или несколько процессов используют большое количество обработок

Все ручки хранятся в структуре ядра \BaseNamedObjects. Поставщик WMIPerfClass должен сканировать эту структуру при создании класса производительности, связанного с объектами Job.

Если эта структура раздута из-за большого количества рули, операция будет иметь высокий уровень использования ЦП и займет больше времени, чем обычно.

‎You may expect an impact for this condition when a process is using more than about 30,000 handles, or the total number of handles on the system exceeds 50,000.

Обновление, выпущенное в марте 2020 г. для поддерживаемых версий операционной системы, включает оптимизацию производительности и решает некоторые варианты этой проблемы. Дополнительные сведения об обновлении, которое применяется к вашей версии Windows, обратитесь в историю обновлений Windows.

Один или несколько процессов, запущенных в системе, используют много памяти

Это влияет на создание классов производительности process, так как область памяти каждого запущенного процесса должна быть запрашиваема. Память, используемая в процессе, может быть фрагментирована, что делает операцию более ресурсоемкой. Это происходит потому, что WMIPerfClass также запрашивает счетчики производительности «Costly».

‎You can check whether Costly performance counters are enabled by running the following PowerShell command:

Если команда возвращает результаты, это указывает на включенные счетчики производительности Costly. Например:

Win32_PerfFormattedData_PerfProc_FullImage_Costly
Win32_PerfRawData_PerfProc_FullImage_Costly
Win32_PerfFormattedData_PerfProc_Image_Costly
Win32_PerfRawData_PerfProc_Image_Costly
Win32_PerfFormattedData_PerfProc_ProcessAddressSpace_Costly
Win32_PerfRawData_PerfProc_ProcessAddressSpace_Costly
Win32_PerfFormattedData_PerfProc_ThreadDetails_Costly
Win32_PerfRawData_PerfProc_ThreadDetails_Costly

Обходной путь

To fix the issue, identify the process that’s using a large number of handles or a large amount of memory.‎ В процессе может возникнуть утечка памяти или проблема с утечкой ручки. В качестве обходного пути перезапустите процесс.

По умолчанию, если вы используете Windows Server 2016 или более поздние версии Windows, счетчики производительности costly отключены, начиная со следующих накопительных обновлений:

После установки накопительного обновления, если вам нужны классы, связанные со счетчиками производительности costly, установите значение Включить дорогостоящих поставщиков до 1 (DWORD) в следующем подкайке реестра, чтобы сделать их снова доступными:

Накопительное обновление не повлияет на поведение, когда в процессе используется большое количество рули.

Эта проблема происходит, когда клиент запрашивает классы производительности. Обычно это приложение мониторинга.

В качестве обхода можно также отключить приложение мониторинга, чтобы предотвратить создание классов производительности.

Дополнительная информация

WMI предоставляет несколько классов производительности. Дополнительные сведения см. в дополнительных сведениях о классах счетчиков производительности.

Эти классы создаются динамически на основе счетчиков производительности, доступных в системе. Все классы создаются одновременно, а не только запрашиваются.

WMIPerfClass — это модуль, который обрабатывает создание этих классов, когда клиент WMI запрашивает любой из них или составляет список доступных классов.

Эти классы производительности хранятся в кэше, который недействителен через 15-20 минут. ‎As soon as the cache is invalidated, the performance classes must be created again if a client requests them.

Процесс WMI Provider Host грузит систему – что делать

При старте операционной системы Windows запускается ряд служб и процессов. Каждый из них отвечает за функционирование определенных компонентов, они никак не мешают пользователю. При возникновении сбоев некоторые процессы могут работать нестабильно и вследствие этого производить загрузку центрального процессора (ЦПУ). Системная утилита wmiprvse.exe довольно часто провоцирует подобную ситуацию.

Что это за файл

WmiPrvSE.exe – это исполняемый файл утилиты поставщика инструментария управления WMI Provider Host для Windows. Он является одним из компонентов управления веб-сервером Microsoft (WBEM) и Microsoft Operations Manager (MIM). С помощью утилиты, программы и скрипты могут получить данные о внутреннем состоянии операционной системы. В Windows также внедрены WMI-провайдеры, которые позволяют выполнить соединение с интернетом, получить настройки DNS, а также отслеживать функции и сообщать о критических ошибках.

Исполняемый файл лежит в директории «\system32\wbem\», запускается из-под svchost.exe, имеет права «NETWORK SERVICE».

Подведем итог — WmiPrvSE.exe является безопасным системным процессом, который необходим для нормального функционирования операционной системы. Приостановка его работы или отключение нежелательно, но критических сбоев не будет.

Как видно на скриншоте, стандартно системной активности процесс WmiPrvSE.exe практически не вызывает.

Если файл не является вирусом, то грузить процессор он может в случае обращения к нему какого-либо софта, который использует функции WMI. Например, подобная ситуация возникает, когда загруженность ЦПУ обусловлена работой «NB Probe Application» — это утилита Asus для получение температурных данных ядер процессора, оборотов кулера и состоянии других аппаратных компонентов.

Определяем приложение, которое запускает процесс

WMI Provider Host может грузить процессор в Windows 7/8/10 в следующих случаях:

• подключение новых периферийных устройств;
• запуск обновления системы и драйверов;
• запуск приложений, которые получают информацию о системе, а также скриптов.

Для наглядного примера мы подключили к ПК USB Mouse (мышку) и можем наблюдать изменения в активности процесса:

Системная активность в этих случаях длится недолго, через некоторое время процесс пропадает из диспетчера задач. Если процесс по-прежнему висит и грузит ЦПУ необходимо определить, какое приложение производит его запуск:

• открываем окно утилиты «Выполнить», сочетанием клавиш «Win+R»;
• в пустую строку вводим команду «msconfig»;
• откроется «Конфигурация системы», здесь переходим во вкладку «Службы»;
• в нижней части окна отмечаем чекбокс «Не отображать службы Microsoft»;
• кликаем «Отключить все» для деактивация сторонних служб;
• переходим во вкладку «Автозагрузка» (для ОС Windows 7 и 8) и деактивируем все элементы. Для пользователей Windows 10 настройка параметров автозагрузки производится в диспетчере задач, запускаем его сочетанием клавиш «Ctrl+Alt+Del». Во вкладке «Автозагрузка» выделяем все компоненты и кликаем «Отключить»;
• в завершении перезагружаем ПК.

Если после перезагрузки проблем не наблюдается, то причина скрывалась в службах и программах, которые были отключены. Для окончательного решения понадобится определить, какой компонент приводит к нестабильной работе системы. Необходимо поочередно включать каждый элемент, перезагружать ПК и проверять работоспособность. При обнаружении источника сбоя, требуется выполнить отключение (если это служба) или деинсталляцию (в случае с программой), на усмотрение пользователя.

Есть более подробный способ узнать, что конкретно приводит к нестабильной работе. Здесь мы будем использовать «Просмотр событий Windows»:

• вызываем утилиту «Выполнить»;
• вписываем «eventvwr.msc» и жмем «Enter». Запуск может занять некоторое время – это связано с добавлением оснастки в консоль;
• в окне «Просмотр событий» щелкаем по вкладке «Вид» и в контекстном меню выбираем «Отобразить аналитический и отладочный журнал»;
• в панели навигации разворачиваем дерево «Журналы приложений и служб – Microsoft – Windows – WMI-Activity»;
• раскрываем пункт и выбираем «Trace», в блоке «Действие» открываем «Свойства»;
• во вкладке «Общие» отмечаем чекбокс «Включить ведение журнала», кликаем «Применить»;
• после обновления логов, на главной странице появится информация об активных процессах;
• во вкладке «Общие» будет отражена информация о параметре «ClientProcessId». Это является идентификатором того процесса, который обращается к «WmiPrvSE.exe»;
• открываем «Диспетчер задач» и вкладку «Подробности», где ищем «ИД процесса», указанного в «ClientProcessId». После обнаружения источника действуем по своему усмотрению, деинсталлируем софт или выполняем отключение.

Откат обновлений системы

Сбои при установке обновлений могут стать причиной нестабильной работы wmiprvse.exe. Для решения проблемы потребуется выполнить откат обновлений в хронологическом порядке, пока не будет найден тот элемент, который вызывает нарушения в работе ОС.

Выполняем откат обновлений для Windows (способ актуален для версий ОС Windows 7 и выше):

• открываем «Панель управления» и переходим к пункту «Программы и компоненты»;
• в левой части окна выбираем «Просмотр установленных обновлений»;
• откроется список установленных компонентов, в столбце «Установлено» можно узнать дату загрузки;
• выделяем первый элемент щелкая по нему правой кнопкой мыши (ПКМ) и в контекстном меню, выбираем «Удалить». Перезагружаем ПК и проверяем работоспособность, при сохранении проблемы повторяем операцию.

Проверяем компьютер на вирусы

Если никакие способы не привели к снижению нагрузки процесса WMI Provider, то в этом случае можно подозревать вирусную активность. Одноименный вирус «wmiprvse.exe» вносит изменения в настройки DNS, а также изменяет файл Hosts. В этом случае пользователь не только сталкивается с нестабильным функционированием ОС, но и с проблемами доступа к интернету.

Необходимо убедиться, что перед нами действительно вредоносная программа:

• переходим в «Диспетчер задач» запустив его сочетанием клавиш «Ctrl+Shift+Esc»;
• выбираем процесс «WmiPrvSE» и щелкаем по нему ПКМ, в контекстном меню кликаем «Открыть расположение файлов»;
• откроется проводник, где будет показана директория в которой расположен файл. По умолчанию путь к директории выглядит так: «C (буква системного диска может отличаться): /Windows/System32/wbem». Если путь отличается — можно сделать вывод, что это вирус. Для дополнительной диагностики, проверим свойства файла;
• щелкаем ПКМ по «WmiPrvSE» и в контекстном меню выбираем «Свойства». Во вкладке «Подробно» обращаем внимание на пункт «Авторские права», должно быть указано «Корпорация Майкрософт», если написано иное, переда нами вредоносное ПО замаскированное под системный компонент.

Очистку системы от вирусов производим с помощью антивирусного программного обеспечения установленного на ПК. Для эффективного обнаружения потребуется запустить глубокую проверку системы.

Если антивируса нет, можно скачать утилиту Dr.Web Cureit или Kaspersky Virus Removal Tool.

Отключаем службу

При отключении службы будет остановлен процесс «WmiPrvSE.exe», его деактивация может отразиться на функционировании системы:

• открываем утилиту «Выполнить» и вводим команду «services.msc»;
• в главном окне находим службу «Инструментарий управления Windows»;
• щелкаем по ней и в пункте «Состояние» выбираем «Остановить»;