Перейти к содержанию

Процесс wmiprvse.exe стал периодически вешать систему

9892301
 Поделиться

Рекомендуемые сообщения

9892301

9892301

Опубликовано
Опубликовано

Столкнулся с такой проблемой - данный процесс C:\WINDOWS\system32\wbem\Wmiprvse.exe (размер файла 227840 байт) периодически в течении дня подвешивает на секунд 15-20 процессор на 100% , см. ниже ссылку (в течении 10 минут 2 раза происходит нагрузка на процессор этим процессом)

Как только данный процесс начинает "вешать" процессор, в логах операционной системы возникает следующая ошибка:

 

Управление компьютером-Служебные программы-Просмотр событий-Система

 

Источник: DCOM

Код (ID): 10016

Пользователь: NT AUTHORITY\SYSTEM

Настройки разрешений зависящие от конкретного приложения не предоставляют разрешение Локально Запуск для приложения сервера COM Server с CLSID

{24FF4FDC-1D9F-4195-8C79-0DA39248FF48}

пользователю NT AUTHORITY\SYSTEM SID (S-1-5-18). Это разрешение можно изменить с помощью средства администрирования Component Services.

 

p.s. Компьютеры организации находятся в домене. Вышеописанная ошибка проявляется на всех компьютерах. ОС Windows XP Pro SP3 лицензионная, переустановленная с начала этого года.

Выводил компьютер из домена, заходил под локальным админом 0 ошибка по-прежнему наблюдается.

На компьютере установлен Антивирус Касперского 6.0 для Windows WorkStation и Агент администрирования 8.0.2090. Проверял все компьютеры на вируса следующими утилитами (AVZ, Dr.Web CureIt, HiJackThis, MALWAREBYTES' ANTI-MALWARE, McAfee AVERT Stinger), все чисто.

 

Отсутствует взаимодействие с Microsoft NAP Agent: Event ID 10016

http://support.kaspersky.ru/faq/?qid=208637110

 

1. Выполнил все, что указано по данной ссылке (создавал задачу удаленной установки инсталляционного пакета и создавал раздел NAP в реестер), ничего не изменилось, процесс по прежнему вешает процессор, но теперь ошибок, которые ранее писались в логах системы, нет.

2. Агент администрирования 8.0.2090, удалял с компьютера, ничего не изменяется. Проблема остается.

 

Получается проблема не в агенте администрирования, а в чем-то другом?

post-18936-1337058368_thumb.png

Roman_Five

Roman_Five

Опубликовано
Опубликовано
Проверял все компьютеры на вируса следующими утилитами (AVZ, Dr.Web CureIt, HiJackThis, MALWAREBYTES' ANTI-MALWARE, McAfee AVERT Stinger), все чисто.

возможно, в системе остались остатки от данных утилит.

 

сделайте лог GSI - http://forum.kasperskyclub.ru/index.php?sh...ost&p=55906

9892301

9892301

Опубликовано
  • Автор
Опубликовано
возможно, в системе остались остатки от данных утилит.

 

сделайте лог GSI - http://forum.kasperskyclub.ru/index.php?sh...ost&p=55906

 

выполнил

http://www.getsysteminfo.com/read.php?file...3cb91e8b4aab530

 

возможно, в системе остались остатки от данных утилит.

 

сделайте лог GSI - http://forum.kasperskyclub.ru/index.php?sh...ost&p=55906

 

еще с одного компьютера в организации

 

http://www.getsysteminfo.com/read.php?file...dd19b64eda3646c

 

 

 

Подобная ошибка не серверной системе (Win2003Server) не наблюдается, только на рабочих станциях (WinXPProfessional SP3).

 

Подобная ошибка не серверной системе (Win2003Server) не наблюдается, только на рабочих станциях (WinXPProfessional SP3).

GetSystemInfo_BRNL_GAVRINA_shaperinev_2012_05_15_13_09_23.zip

GetSystemInfo_BRNL_CHERNYAVSK_shaperinev_2012_05_15_13_33_18.zip

Roman_Five

Roman_Five

Опубликовано
Опубликовано
в системе остались остатки от данных утилит.

чисто.

Это разрешение можно изменить с помощью средства администрирования Component Services.

а Вы пробовали менять разрешения пользователю NT AUTHORITY\SYSTEM SID (S-1-5-18) на локальный запуск в этой оснастке для {24FF4FDC-1D9F-4195-8C79-0DA39248FF48}?

 

обновите на рабочих станциях драйвер для сетевой - http://downloadcenter.intel.com/SearchResu...f100%2b+Adapter

9892301

9892301

Опубликовано
  • Автор
Опубликовано
чисто.

 

а Вы пробовали менять разрешения пользователю NT AUTHORITY\SYSTEM SID (S-1-5-18) на локальный запуск в этой оснастке для {24FF4FDC-1D9F-4195-8C79-0DA39248FF48}?

 

обновите на рабочих станциях драйвер для сетевой - http://downloadcenter.intel.com/SearchResu...f100%2b+Adapter

 

Запускаем реестр системы regedit:

• Поиск - 24FF4FDC-1D9F-4195-8C79-0DA39248FF48

• Находим AppID={B292921D-AF50-400c-9B75-0C57A7F29BA1}

• Снова запускаем поиск , последнему соответствует NAP Agent Service

• Запускаем dcomcnfg

• Службы компонентов-Компьютеры-Мой компьютер-Настройка DCOM, выходит предупреждающее сообщение (см. ниже ссылку), жмем ДА

• Появляется еще одно предупреждающее сообщение, снова жмем кнопку ДА

• Находим NAP Agent Service-Свойство-Безопасность

Разрешение на запуск и активацию-Настроить-Изменить

NETWORK SERVICE-Локальная активация

SYSTEM-Локальная активация

Прошедшие проверку–Локальная активация

 

Права доступа-По умолчанию

 

Разрешения на настройку-Настроить-Изменить-

SYSTEM-Полный доступ,Чтение, Особые разрешения

Администраторы- Полный доступ,Чтение, Особые разрешения

Опытные пользователи- Чтение,Особые разрешения

Пользователи-Чтение,Особые разрешения

СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ-Особые разрешения

 

 

чисто.

 

а Вы пробовали менять разрешения пользователю NT AUTHORITY\SYSTEM SID (S-1-5-18) на локальный запуск в этой оснастке для {24FF4FDC-1D9F-4195-8C79-0DA39248FF48}?

 

обновите на рабочих станциях драйвер для сетевой - http://downloadcenter.intel.com/SearchResu...f100%2b+Adapter

 

с какой целью обновлять драйвер для сетевой?

Roman_Five

Roman_Five

Опубликовано
Опубликовано
Разрешение на запуск и активацию-Настроить-Изменить

NETWORK SERVICE-Локальная активация

SYSTEM-Локальная активация

Прошедшие проверку–Локальная активация

копать здесь. где права для конкретного пользователя на локальный запуск?

 

с какой целью обновлять драйвер для сетевой?

странный вопрос для админа.

9892301

9892301

Опубликовано
  • Автор
Опубликовано
копать здесь. где права для конкретного пользователя на локальный запуск?

 

 

странный вопрос для админа.

 

 

так?

post-18936-1337147478_thumb.png

Roman_Five

Roman_Five

Опубликовано
Опубликовано
так?

да.

 

перезагрузитесь и проверьте, исчезла ли ошибка.

9892301

9892301

Опубликовано
  • Автор
Опубликовано
да.

 

перезагрузитесь и проверьте, исчезла ли ошибка.

 

Результат - ошибки теперь в логах ситсемы не отображаются, а проблема по прежнему имеет быть место

post-18936-1337151215_thumb.png

Roman_Five

Roman_Five

Опубликовано
Опубликовано
проблема по прежнему имеет быть место

судя по данной теме - проблема уже решена?

SQ

SQ

Опубликовано
Опубликовано (изменено)

может есть смысл сделать запрос в уничтожение вирусов?

как вариант в Windows XP есть ограничение на одновременные подключение до 10 коннектов, может с этим связанно нагрузка и тайм-аут в 15-20 сек?

 

 

также надо проверить утилитой "WMI Diagnosis Utility"

Изменено пользователем SQ
9892301

9892301

Опубликовано
  • Автор
Опубликовано
судя по данной теме - проблема уже решена?

 

решена на 50%, удаление программы не решает проблему, программа BB нужна для мониторинга достпуности компьютера в сети и других параметров

 

Источник: DCOM

Код (ID): 10016

Пользователь: NT AUTHORITY\SYSTEM

 

а как выяснить причину данной ошибки? из-за чего то она ведь появляется в логах

 

 

 

может есть смысл сделать запрос в уничтожение вирусов?

как вариант в Windows XP есть ограничение на одновременные подключение до 10 коннектов, может с этим связанно нагрузка и тайм-аут в 15-20 сек?

 

 

также надо проверить утилитой "WMI Diagnosis Utility"

 

напишите как пользоватся данной утилитой

Dubai

Dubai

Опубликовано
Опубликовано (изменено)
напишите как пользоватся данной утилитой

 

Если срочно нужно - поищите в Google.

Изменено пользователем Dubai
9892301

9892301

Опубликовано
  • Автор
Опубликовано
Если срочно нужно - поищите в Google.

 

После установки всех обновлений (Kaspersky Administration Kit 8.0.2177 и Агент администрирования 8.0.2177)

и выполнения инструкции по ссылке - http://support.kaspersky.ru/faq/?qid=208637110 (в разделе NAP не создал DWORD ключ с именем Enable),

ошибка с кодом 10016 исчезла из лога системного винды.

См. ссылки:

 

Как было раньше, куча ошибок с колом 10016 - http://s41.radikal.ru/i092/1205/3a/daf6639fba76.jpg

Как теперь стало, ни одной ошибки нет - http://s019.radikal.ru/i616/1205/9d/ee154f428e4d.jpg

 

Причину почему вешал процессор файл C:\WINDOWS\system32\wbem\Wmiprvse.exe, выяснил, причина была в программе

Big Brother Professional Edition Client 4.00 (http://bb4.com/)

C:\Program Files\Quest Software\Big Brother\BBNT\4.00\bin\bbnt.exe

Временно отключил данную службу (поставил режим запуска службы - вручную), wmiprvse.exe изчез из списка загруженных процессов, и больше не появляется. Процессор не загружает.

Буду теперь копатся с процессом bbnt.exe

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • snake2
      Зашифровали систему
      Автор snake2
      В ночь с 17.10 на 18.10  зашифровались все файлы на пк, всё теневое копирование было отключено и удалено. Просят выкуп.
      Зашифрованые файлы.rar Логи FRST.rar Требование.rar
    • ABuganov
      Периодически зависает компьютер
      Автор ABuganov
      У меня дома два компьютера один старый куплен лет 20 назад другой новый куплен года два назад. На обоих одна и та же проблема. Периодически оба компьютера зависают. При этом курсор мышки двигается но на щелчки мышкой экран не реагирует. Клавиатура тоже отключается. Сначала я думал что это проблемы с электричеством, купил дорогой онлайн бесперебойник, но проблема осталась. Проверял на вирусы Касперским фрии и доктором вебом но ничего не нашел. Подозреваю что это какие то очень древние вирусы из 90-х, которые современные антивирусы не выявляют. Помогите решить эту проблему.
    • dexter
      Процессы Касперского
      Автор dexter
      Здравствуйте. Может кто-то объяснит, что это такой за "перец" висит в памяти и  кушает больше 130 Мб памяти ?
      Где хвалёная оптимизация  продукта ? И не надо говорить, чтобы добавил ещё плашек.

    • Freudis
      Вирусы под систем файлами
      Автор Freudis
      После недавно установленного zip файла компьютер начал тупить, нагреваться и шуметь. Данный файл не запрашивал права администратора да и сам файл я не запускал. Проверял компьютер куреитами, ничего не нашли. Один касперский обнаружил 1 файл, но этот файл был под именем систем файла, точный файл не знаю, но в процессе лечения после перезагрузки я решил открыть диспетчер задач, выявило ошибку "нет доступа или администратор запретил доступ". Решил запустить хоть гугл, та же ошибка. Перевзловнованный выдернул из розетки включатель компьютера, доступ ко всему вернулся, касперский ничего не сделал, но после этого компьютер начал нагреваться и в один момент очень сильно зашумел, я начал подозревать что есть вирусы под именем системных файлов, ведь зная касперский, лишь он нашёл 1 вирус и именно при его удалении с перезагрузкой доступ пропал к приложениям. Перерыл интернет, ноль информации. Но и заканчивать работу каких нибудь svchost.exe или подобное я очень боюсь. Решил обратиться за помощью к единственному кто нашёл этот вирус. Помогите, пожалуйста.
      У меня windows 10
       
    • ЕвгенийA
      Непонятный процесс Code.exe
      Автор ЕвгенийA
      Здравствуйте! Играл в игру A Dance of Fire and Ice и хотел оставить в фоне Process Hacker. После игры захотел посмотреть логи и заметил непонятный мне процесс Code.exe который за несколько секунд зачем то открыл cmd, conhost и wsl. Потом создал своих копий и закрылся. Это может быть вирус или просто обычное поведение системы?

×
×
  • Создать...