Процесс wmiprvse.exe стал периодически вешать систему

[9892301]

Столкнулся с такой проблемой - данный процесс C:\WINDOWS\system32\wbem\Wmiprvse.exe (размер файла 227840 байт) периодически в течении дня подвешивает на секунд 15-20 процессор на 100% , см. ниже ссылку (в течении 10 минут 2 раза происходит нагрузка на процессор этим процессом)

Как только данный процесс начинает "вешать" процессор, в логах операционной системы возникает следующая ошибка:

 

Управление компьютером-Служебные программы-Просмотр событий-Система

 

Источник: DCOM

Код (ID): 10016

Пользователь: NT AUTHORITY\SYSTEM

Настройки разрешений зависящие от конкретного приложения не предоставляют разрешение Локально Запуск для приложения сервера COM Server с CLSID

{24FF4FDC-1D9F-4195-8C79-0DA39248FF48}

пользователю NT AUTHORITY\SYSTEM SID (S-1-5-18). Это разрешение можно изменить с помощью средства администрирования Component Services.

 

p.s. Компьютеры организации находятся в домене. Вышеописанная ошибка проявляется на всех компьютерах. ОС Windows XP Pro SP3 лицензионная, переустановленная с начала этого года.

Выводил компьютер из домена, заходил под локальным админом 0 ошибка по-прежнему наблюдается.

На компьютере установлен Антивирус Касперского 6.0 для Windows WorkStation и Агент администрирования 8.0.2090. Проверял все компьютеры на вируса следующими утилитами (AVZ, Dr.Web CureIt, HiJackThis, MALWAREBYTES' ANTI-MALWARE, McAfee AVERT Stinger), все чисто.

 

Отсутствует взаимодействие с Microsoft NAP Agent: Event ID 10016

http://support.kaspersky.ru/faq/?qid=208637110

 

1. Выполнил все, что указано по данной ссылке (создавал задачу удаленной установки инсталляционного пакета и создавал раздел NAP в реестер), ничего не изменилось, процесс по прежнему вешает процессор, но теперь ошибок, которые ранее писались в логах системы, нет.

2. Агент администрирования 8.0.2090, удалял с компьютера, ничего не изменяется. Проблема остается.

 

Получается проблема не в агенте администрирования, а в чем-то другом?

[Roman_Five]

Проверял все компьютеры на вируса следующими утилитами (AVZ, Dr.Web CureIt, HiJackThis, MALWAREBYTES' ANTI-MALWARE, McAfee AVERT Stinger), все чисто.

возможно, в системе остались остатки от данных утилит.

 

сделайте лог GSI - http://forum.kasperskyclub.ru/index.php?sh...ost&p=55906

[NickGolovko]

Есть несколько сетевых дискуссий по этим вопросам. Например:

 

http://forum.oszone.net/thread-87340.html (про ошибку 10016)

http://forum.ru-board.com/topic.cgi?forum=62&topic=14900 (про wmiprvse)

 

Вы их уже читали?

[9892301]

возможно, в системе остались остатки от данных утилит.

 

сделайте лог GSI - http://forum.kasperskyclub.ru/index.php?sh...ost&p=55906

 

выполнил

http://www.getsysteminfo.com/read.php?file...3cb91e8b4aab530

 

возможно, в системе остались остатки от данных утилит.

 

сделайте лог GSI - http://forum.kasperskyclub.ru/index.php?sh...ost&p=55906

 

еще с одного компьютера в организации

 

http://www.getsysteminfo.com/read.php?file...dd19b64eda3646c

 

 

 

Подобная ошибка не серверной системе (Win2003Server) не наблюдается, только на рабочих станциях (WinXPProfessional SP3).

 

Подобная ошибка не серверной системе (Win2003Server) не наблюдается, только на рабочих станциях (WinXPProfessional SP3).

GetSystemInfo_BRNL_GAVRINA_shaperinev_2012_05_15_13_09_23.zip

GetSystemInfo_BRNL_CHERNYAVSK_shaperinev_2012_05_15_13_33_18.zip

[Roman_Five]

в системе остались остатки от данных утилит.

чисто.

Это разрешение можно изменить с помощью средства администрирования Component Services.

а Вы пробовали менять разрешения пользователю NT AUTHORITY\SYSTEM SID (S-1-5-18) на локальный запуск в этой оснастке для {24FF4FDC-1D9F-4195-8C79-0DA39248FF48}?

 

обновите на рабочих станциях драйвер для сетевой - http://downloadcenter.intel.com/SearchResu...f100%2b+Adapter

[9892301]

чисто.

 

а Вы пробовали менять разрешения пользователю NT AUTHORITY\SYSTEM SID (S-1-5-18) на локальный запуск в этой оснастке для {24FF4FDC-1D9F-4195-8C79-0DA39248FF48}?

 

обновите на рабочих станциях драйвер для сетевой - http://downloadcenter.intel.com/SearchResu...f100%2b+Adapter

 

Запускаем реестр системы regedit:

• Поиск - 24FF4FDC-1D9F-4195-8C79-0DA39248FF48

• Находим AppID={B292921D-AF50-400c-9B75-0C57A7F29BA1}

• Снова запускаем поиск , последнему соответствует NAP Agent Service

• Запускаем dcomcnfg

• Службы компонентов-Компьютеры-Мой компьютер-Настройка DCOM, выходит предупреждающее сообщение (см. ниже ссылку), жмем ДА

• Появляется еще одно предупреждающее сообщение, снова жмем кнопку ДА

• Находим NAP Agent Service-Свойство-Безопасность

Разрешение на запуск и активацию-Настроить-Изменить

NETWORK SERVICE-Локальная активация

SYSTEM-Локальная активация

Прошедшие проверку–Локальная активация

 

Права доступа-По умолчанию

 

Разрешения на настройку-Настроить-Изменить-

SYSTEM-Полный доступ,Чтение, Особые разрешения

Администраторы- Полный доступ,Чтение, Особые разрешения

Опытные пользователи- Чтение,Особые разрешения

Пользователи-Чтение,Особые разрешения

СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ-Особые разрешения

 

 

чисто.

 

а Вы пробовали менять разрешения пользователю NT AUTHORITY\SYSTEM SID (S-1-5-18) на локальный запуск в этой оснастке для {24FF4FDC-1D9F-4195-8C79-0DA39248FF48}?

 

обновите на рабочих станциях драйвер для сетевой - http://downloadcenter.intel.com/SearchResu...f100%2b+Adapter

 

с какой целью обновлять драйвер для сетевой?

[Roman_Five]

Разрешение на запуск и активацию-Настроить-Изменить

NETWORK SERVICE-Локальная активация

SYSTEM-Локальная активация

Прошедшие проверку–Локальная активация

копать здесь. где права для конкретного пользователя на локальный запуск?

 

с какой целью обновлять драйвер для сетевой?

странный вопрос для админа.

[9892301]

копать здесь. где права для конкретного пользователя на локальный запуск?

 

 

странный вопрос для админа.

 

 

так?

[Roman_Five]

так?

да.

 

перезагрузитесь и проверьте, исчезла ли ошибка.

[9892301]

да.

 

перезагрузитесь и проверьте, исчезла ли ошибка.

 

Результат - ошибки теперь в логах ситсемы не отображаются, а проблема по прежнему имеет быть место

[Roman_Five]

проблема по прежнему имеет быть место

судя по данной теме - проблема уже решена?

[SQ]

может есть смысл сделать запрос в уничтожение вирусов?

как вариант в Windows XP есть ограничение на одновременные подключение до 10 коннектов, может с этим связанно нагрузка и тайм-аут в 15-20 сек?

 

 

также надо проверить утилитой "WMI Diagnosis Utility"

Изменено 16 мая, 2012 пользователем SQ

[9892301]

судя по данной теме - проблема уже решена?

 

решена на 50%, удаление программы не решает проблему, программа BB нужна для мониторинга достпуности компьютера в сети и других параметров

 

Источник: DCOM

Код (ID): 10016

Пользователь: NT AUTHORITY\SYSTEM

 

а как выяснить причину данной ошибки? из-за чего то она ведь появляется в логах

 

 

 

может есть смысл сделать запрос в уничтожение вирусов?

как вариант в Windows XP есть ограничение на одновременные подключение до 10 коннектов, может с этим связанно нагрузка и тайм-аут в 15-20 сек?

 

 

также надо проверить утилитой "WMI Diagnosis Utility"

 

напишите как пользоватся данной утилитой

[Dubai]

напишите как пользоватся данной утилитой

 

Если срочно нужно - поищите в Google.

Изменено 16 мая, 2012 пользователем Dubai

[9892301]

Если срочно нужно - поищите в Google.

 

После установки всех обновлений (Kaspersky Administration Kit 8.0.2177 и Агент администрирования 8.0.2177)

и выполнения инструкции по ссылке - http://support.kaspersky.ru/faq/?qid=208637110 (в разделе NAP не создал DWORD ключ с именем Enable),

ошибка с кодом 10016 исчезла из лога системного винды.

См. ссылки:

 

Как было раньше, куча ошибок с колом 10016 - http://s41.radikal.ru/i092/1205/3a/daf6639fba76.jpg

Как теперь стало, ни одной ошибки нет - http://s019.radikal.ru/i616/1205/9d/ee154f428e4d.jpg

 

Причину почему вешал процессор файл C:\WINDOWS\system32\wbem\Wmiprvse.exe, выяснил, причина была в программе

Big Brother Professional Edition Client 4.00 (http://bb4.com/)

C:\Program Files\Quest Software\Big Brother\BBNT\4.00\bin\bbnt.exe

Временно отключил данную службу (поставил режим запуска службы - вручную), wmiprvse.exe изчез из списка загруженных процессов, и больше не появляется. Процессор не загружает.

Буду теперь копатся с процессом bbnt.exe