Перейти к содержанию

Процесс wmiprvse.exe стал периодически вешать систему


Рекомендуемые сообщения

Столкнулся с такой проблемой - данный процесс C:\WINDOWS\system32\wbem\Wmiprvse.exe (размер файла 227840 байт) периодически в течении дня подвешивает на секунд 15-20 процессор на 100% , см. ниже ссылку (в течении 10 минут 2 раза происходит нагрузка на процессор этим процессом)

Как только данный процесс начинает "вешать" процессор, в логах операционной системы возникает следующая ошибка:

 

Управление компьютером-Служебные программы-Просмотр событий-Система

 

Источник: DCOM

Код (ID): 10016

Пользователь: NT AUTHORITY\SYSTEM

Настройки разрешений зависящие от конкретного приложения не предоставляют разрешение Локально Запуск для приложения сервера COM Server с CLSID

{24FF4FDC-1D9F-4195-8C79-0DA39248FF48}

пользователю NT AUTHORITY\SYSTEM SID (S-1-5-18). Это разрешение можно изменить с помощью средства администрирования Component Services.

 

p.s. Компьютеры организации находятся в домене. Вышеописанная ошибка проявляется на всех компьютерах. ОС Windows XP Pro SP3 лицензионная, переустановленная с начала этого года.

Выводил компьютер из домена, заходил под локальным админом 0 ошибка по-прежнему наблюдается.

На компьютере установлен Антивирус Касперского 6.0 для Windows WorkStation и Агент администрирования 8.0.2090. Проверял все компьютеры на вируса следующими утилитами (AVZ, Dr.Web CureIt, HiJackThis, MALWAREBYTES' ANTI-MALWARE, McAfee AVERT Stinger), все чисто.

 

Отсутствует взаимодействие с Microsoft NAP Agent: Event ID 10016

http://support.kaspersky.ru/faq/?qid=208637110

 

1. Выполнил все, что указано по данной ссылке (создавал задачу удаленной установки инсталляционного пакета и создавал раздел NAP в реестер), ничего не изменилось, процесс по прежнему вешает процессор, но теперь ошибок, которые ранее писались в логах системы, нет.

2. Агент администрирования 8.0.2090, удалял с компьютера, ничего не изменяется. Проблема остается.

 

Получается проблема не в агенте администрирования, а в чем-то другом?

post-18936-1337058368_thumb.png

Ссылка на комментарий
Поделиться на другие сайты

Проверял все компьютеры на вируса следующими утилитами (AVZ, Dr.Web CureIt, HiJackThis, MALWAREBYTES' ANTI-MALWARE, McAfee AVERT Stinger), все чисто.

возможно, в системе остались остатки от данных утилит.

 

сделайте лог GSI - http://forum.kasperskyclub.ru/index.php?sh...ost&p=55906

Ссылка на комментарий
Поделиться на другие сайты

Есть несколько сетевых дискуссий по этим вопросам. Например:

 

http://forum.oszone.net/thread-87340.html (про ошибку 10016)

http://forum.ru-board.com/topic.cgi?forum=62&topic=14900 (про wmiprvse)

 

Вы их уже читали? :)

Ссылка на комментарий
Поделиться на другие сайты

возможно, в системе остались остатки от данных утилит.

 

сделайте лог GSI - http://forum.kasperskyclub.ru/index.php?sh...ost&p=55906

 

выполнил

http://www.getsysteminfo.com/read.php?file...3cb91e8b4aab530

 

возможно, в системе остались остатки от данных утилит.

 

сделайте лог GSI - http://forum.kasperskyclub.ru/index.php?sh...ost&p=55906

 

еще с одного компьютера в организации

 

http://www.getsysteminfo.com/read.php?file...dd19b64eda3646c

 

 

 

Подобная ошибка не серверной системе (Win2003Server) не наблюдается, только на рабочих станциях (WinXPProfessional SP3).

 

Подобная ошибка не серверной системе (Win2003Server) не наблюдается, только на рабочих станциях (WinXPProfessional SP3).

GetSystemInfo_BRNL_GAVRINA_shaperinev_2012_05_15_13_09_23.zip

GetSystemInfo_BRNL_CHERNYAVSK_shaperinev_2012_05_15_13_33_18.zip

Ссылка на комментарий
Поделиться на другие сайты

в системе остались остатки от данных утилит.

чисто.

Это разрешение можно изменить с помощью средства администрирования Component Services.

а Вы пробовали менять разрешения пользователю NT AUTHORITY\SYSTEM SID (S-1-5-18) на локальный запуск в этой оснастке для {24FF4FDC-1D9F-4195-8C79-0DA39248FF48}?

 

обновите на рабочих станциях драйвер для сетевой - http://downloadcenter.intel.com/SearchResu...f100%2b+Adapter

Ссылка на комментарий
Поделиться на другие сайты

чисто.

 

а Вы пробовали менять разрешения пользователю NT AUTHORITY\SYSTEM SID (S-1-5-18) на локальный запуск в этой оснастке для {24FF4FDC-1D9F-4195-8C79-0DA39248FF48}?

 

обновите на рабочих станциях драйвер для сетевой - http://downloadcenter.intel.com/SearchResu...f100%2b+Adapter

 

Запускаем реестр системы regedit:

• Поиск - 24FF4FDC-1D9F-4195-8C79-0DA39248FF48

• Находим AppID={B292921D-AF50-400c-9B75-0C57A7F29BA1}

• Снова запускаем поиск , последнему соответствует NAP Agent Service

• Запускаем dcomcnfg

• Службы компонентов-Компьютеры-Мой компьютер-Настройка DCOM, выходит предупреждающее сообщение (см. ниже ссылку), жмем ДА

• Появляется еще одно предупреждающее сообщение, снова жмем кнопку ДА

• Находим NAP Agent Service-Свойство-Безопасность

Разрешение на запуск и активацию-Настроить-Изменить

NETWORK SERVICE-Локальная активация

SYSTEM-Локальная активация

Прошедшие проверку–Локальная активация

 

Права доступа-По умолчанию

 

Разрешения на настройку-Настроить-Изменить-

SYSTEM-Полный доступ,Чтение, Особые разрешения

Администраторы- Полный доступ,Чтение, Особые разрешения

Опытные пользователи- Чтение,Особые разрешения

Пользователи-Чтение,Особые разрешения

СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ-Особые разрешения

 

 

чисто.

 

а Вы пробовали менять разрешения пользователю NT AUTHORITY\SYSTEM SID (S-1-5-18) на локальный запуск в этой оснастке для {24FF4FDC-1D9F-4195-8C79-0DA39248FF48}?

 

обновите на рабочих станциях драйвер для сетевой - http://downloadcenter.intel.com/SearchResu...f100%2b+Adapter

 

с какой целью обновлять драйвер для сетевой?

Ссылка на комментарий
Поделиться на другие сайты

Разрешение на запуск и активацию-Настроить-Изменить

NETWORK SERVICE-Локальная активация

SYSTEM-Локальная активация

Прошедшие проверку–Локальная активация

копать здесь. где права для конкретного пользователя на локальный запуск?

 

с какой целью обновлять драйвер для сетевой?

странный вопрос для админа.

Ссылка на комментарий
Поделиться на другие сайты

копать здесь. где права для конкретного пользователя на локальный запуск?

 

 

странный вопрос для админа.

 

 

так?

post-18936-1337147478_thumb.png

Ссылка на комментарий
Поделиться на другие сайты

да.

 

перезагрузитесь и проверьте, исчезла ли ошибка.

 

Результат - ошибки теперь в логах ситсемы не отображаются, а проблема по прежнему имеет быть место

post-18936-1337151215_thumb.png

Ссылка на комментарий
Поделиться на другие сайты

может есть смысл сделать запрос в уничтожение вирусов?

как вариант в Windows XP есть ограничение на одновременные подключение до 10 коннектов, может с этим связанно нагрузка и тайм-аут в 15-20 сек?

 

 

также надо проверить утилитой "WMI Diagnosis Utility"

Изменено пользователем SQ
Ссылка на комментарий
Поделиться на другие сайты

судя по данной теме - проблема уже решена?

 

решена на 50%, удаление программы не решает проблему, программа BB нужна для мониторинга достпуности компьютера в сети и других параметров

 

Источник: DCOM

Код (ID): 10016

Пользователь: NT AUTHORITY\SYSTEM

 

а как выяснить причину данной ошибки? из-за чего то она ведь появляется в логах

 

 

 

может есть смысл сделать запрос в уничтожение вирусов?

как вариант в Windows XP есть ограничение на одновременные подключение до 10 коннектов, может с этим связанно нагрузка и тайм-аут в 15-20 сек?

 

 

также надо проверить утилитой "WMI Diagnosis Utility"

 

напишите как пользоватся данной утилитой

Ссылка на комментарий
Поделиться на другие сайты

напишите как пользоватся данной утилитой

 

Если срочно нужно - поищите в Google.

Изменено пользователем Dubai
Ссылка на комментарий
Поделиться на другие сайты

Если срочно нужно - поищите в Google.

 

После установки всех обновлений (Kaspersky Administration Kit 8.0.2177 и Агент администрирования 8.0.2177)

и выполнения инструкции по ссылке - http://support.kaspersky.ru/faq/?qid=208637110 (в разделе NAP не создал DWORD ключ с именем Enable),

ошибка с кодом 10016 исчезла из лога системного винды.

См. ссылки:

 

Как было раньше, куча ошибок с колом 10016 - http://s41.radikal.ru/i092/1205/3a/daf6639fba76.jpg

Как теперь стало, ни одной ошибки нет - http://s019.radikal.ru/i616/1205/9d/ee154f428e4d.jpg

 

Причину почему вешал процессор файл C:\WINDOWS\system32\wbem\Wmiprvse.exe, выяснил, причина была в программе

Big Brother Professional Edition Client 4.00 (http://bb4.com/)

C:\Program Files\Quest Software\Big Brother\BBNT\4.00\bin\bbnt.exe

Временно отключил данную службу (поставил режим запуска службы - вручную), wmiprvse.exe изчез из списка загруженных процессов, и больше не появляется. Процессор не загружает.

Буду теперь копатся с процессом bbnt.exe

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Milkuf
      От Milkuf
      Помогите дочистить систему от вирусов.
      https://forum.kasperskyclub.ru/topic/465233-zakryvaetsja-programma-ustanovki-kaspersky-free/-здесь мне посоветовали создать тут тему, чтобы полностью очистить систему от вирусов.
       
      CollectionLog-2024.12.10-08.48.zip
    • Сергей98352247
      От Сергей98352247
      Пропала мышь, Kaspersky, появилось много новых процессов. Выключил компьютер, выдернул сетевой шнур, включил. Получил помимо упомянутого, отсутствие всех установленных программ и на вкладке недавние те которые были ранее, ноне все, плюс новые. ничего не открывал, выключил комп.
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь в борьбе с шифровальщиками-вымогателями
    • LoWiX
      От LoWiX
      Здравствуйте, недавно установил обход блокировки системы и после этого при незначительном простое ПК нагружается на сотку видеокарта, процессор. Прикрепляю логи ниже. Буду признателен если поможете.CollectionLog-2024.12.22-15.08.zip
    • Freudis
      От Freudis
      После недавно установленного zip файла компьютер начал тупить, нагреваться и шуметь. Данный файл не запрашивал права администратора да и сам файл я не запускал. Проверял компьютер куреитами, ничего не нашли. Один касперский обнаружил 1 файл, но этот файл был под именем систем файла, точный файл не знаю, но в процессе лечения после перезагрузки я решил открыть диспетчер задач, выявило ошибку "нет доступа или администратор запретил доступ". Решил запустить хоть гугл, та же ошибка. Перевзловнованный выдернул из розетки включатель компьютера, доступ ко всему вернулся, касперский ничего не сделал, но после этого компьютер начал нагреваться и в один момент очень сильно зашумел, я начал подозревать что есть вирусы под именем системных файлов, ведь зная касперский, лишь он нашёл 1 вирус и именно при его удалении с перезагрузкой доступ пропал к приложениям. Перерыл интернет, ноль информации. Но и заканчивать работу каких нибудь svchost.exe или подобное я очень боюсь. Решил обратиться за помощью к единственному кто нашёл этот вирус. Помогите, пожалуйста.
      У меня windows 10
       
    • KL FC Bot
      От KL FC Bot
      Хотя автоматизация и машинное обучения используются в ИБ почти 20 лет, эксперименты в этой области не останавливаются ни на минуту. Защитникам нужно бороться с более сложными киберугрозами и большим числом атак без существенного роста бюджета и численности ИБ-отделов. ИИ помогает значительно разгрузить команду аналитиков и ускорить многие фазы работы с инцидентом — от обнаружения до реагирования. Но ряд очевидных, казалось бы, сценариев применения машинного обучения оказываются недостаточно эффективными.
      Автоматическое обнаружение киберугроз с помощью ИИ
      Предельно упрощая эту большую тему, рассмотрим два основных и давно протестированных способа применения машинного обучения:
      Поиск атак. Обучив ИИ на примерах фишинговых писем, вредоносных файлов и опасного поведения приложений, можно добиться приемлемого уровня обнаружения похожих угроз. Основной подводный камень — эта сфера слишком динамична, злоумышленники постоянно придумывают новые способы маскировки, поэтому модель нужно очень часто обучать заново, чтобы поддерживать ее эффективность. При этом нужен размеченный набор данных, то есть большой набор свежих примеров доказанного вредоносного поведения. Обученный таким образом алгоритм не эффективен против принципиально новых атак, которые он «не видел» раньше. Кроме того, есть определенные сложности при обнаружении атак, целиком опирающихся на легитимные ИТ-инструменты (LOTL). Несмотря на ограничения, этот способ применяется большинством производителей ИБ-решений, например, он весьма эффективен для анализа e-mail, поиска фишинга, обнаружения определенных классов вредоносного программного обеспечения. Однако ни полной автоматизации, ни 100%-ной надежности он не обещает. Поиск аномалий. Обучив ИИ на «нормальной» деятельности серверов и рабочих станций, можно выявлять отклонения от этой нормы, когда, например, бухгалтер внезапно начинает выполнять административные действия с почтовым сервером. Подводные камни — этот способ требует собирать и хранить очень много телеметрии, переобучать ИИ на регулярной основе, чтобы он поспевал за изменениями в ИТ-инфраструктуре. Но все равно ложных срабатываний будет немало, да и обнаружение атак не гарантировано. Поиск аномалий должен быть адаптирован к конкретной организации, поэтому применение такого инструмента требует от сотрудников высокой квалификации как в сфере кибербезопасности, так и в анализе данных и машинном обучении. И подобные «золотые» кадры должны сопровождать систему на ежедневной основе. Подводя промежуточный философский итог, можно сказать, что ИИ прекрасно подходит для решения рутинных задач, в которых предметная область и характеристики объектов редко и медленно меняются: написание связных текстов, распознавание пород собак и тому подобное. Когда за изучаемыми данными стоит активно сопротивляющийся этому изучению человеческий ум, статично настроенный ИИ постепенно становится менее эффективен. Аналитики дообучают и настраивают ИИ вместо того, чтобы писать правила детектирования киберугроз, — фронт работ меняется, но, вопреки распространенному заблуждению, экономии человеческих сил не происходит. При этом стремление повысить уровень ИИ-детектирования угроз (True Positive, TP) неизбежно приводит к увеличению и числа ложноположительных срабатываний (False Positive, FP), а это напрямую увеличивает нагрузку на людей. Если же попытаться свести FP почти к нулю, то понижается и TP, то есть растет риск пропустить кибератаку.
      В результате ИИ занимает свое место в ансамбле инструментов детектирования, но не способен стать «серебряной пулей», то есть окончательно решить проблемы детектирования в ИБ или работать целиком автономно.
      ИИ-напарник аналитика SOC
      ИИ нельзя целиком доверить поиск киберугроз, но он может снизить нагрузку на человека, самостоятельно разбирая простые предупреждения SIEM и подсказывая аналитикам в остальных случаях:
      Фильтрация ложных срабатываний. Обучившись на предупреждениях из SIEM-системы и вердиктах команды аналитиков, ИИ способен достаточно надежно фильтровать ложноположительные срабатывания (FP) — в практике сервиса Kaspersky MDR это снижает нагрузку на команду SOC примерно на 25%. Подробности реализации «автоаналитика» мы опишем в отдельном посте. Приоритизация предупреждений. Тот же механизм машинного обучения может не только фильтровать ложные срабатывания, но и оценивать вероятность того, что обнаружен признак серьезной вредоносной активности. Такие серьезные предупреждения передаются для приоритетного анализа экспертам. Альтернативно «вероятность угрозы» может быть просто визуальным индикатором, помогающим аналитику обрабатывать наиболее важные оповещения с наибольшим приоритетом. Поиск аномалий. ИИ может быстро предупреждать об аномалиях в защищаемой инфраструктуре, отслеживая такие явления, как всплеск количества предупреждений, резкое увеличение или уменьшение потока телеметрии с конкретных сенсоров или изменение ее структуры. Поиск подозрительного поведения. Хотя сложности поиска произвольных аномалий в сети значительны, некоторые частные сценарии хорошо автоматизируются и машинное обучение работает в них эффективней статичных правил. Примеры: поиск несанкционированного использования учетных записей из необычных подсетей, детектирование аномального обращения к файловым серверам и их сканирования, поиск атак с использованием чужих билетов TGS (атаки Pass-the-Ticket). Большие языковые модели в ИБ
      Наиболее модная тема ИИ-индустрии, большие языковые модели (LLM), тоже многократно опробована ИБ-компаниями. Оставляя полностью за скобками такие темы, как написание фишинговых писем и ВПО при помощи GPT, отметим многочисленные интересные эксперименты по привлечению LLM к рутинным работам:
      генерация расширенных описаний киберугроз; подготовка черновиков отчетов по расследованию инцидентов; нечеткий поиск в архивных данных и логах через чат; генерация тестов, тест-кейсов, кода для фаззинга; первичный анализ декомпилированного исходного кода при реверс-инжиниринге; снятие обфускации и объяснение длинных командных строк (такая технология уже используется нашим сервисом MDR); генерация подсказок и рекомендаций при написании детектирующих правил и скриптов. Большинство перечисленных по ссылке работ и статей являются нишевыми внедрениями или научными экспериментами, поэтому они не дают измеримой оценки эффективности. Более того, имеющиеся исследования эффективности квалифицированных работников, которым в помощь выданы LLM, показывают противоречивые результаты. Поэтому внедрение подобных решений должно проводиться медленно и поэтапно, с предварительной оценкой потенциала экономии, детальной оценкой вложенного времени и качества результата.
      View the full article
×
×
  • Создать...