Данный процесс C:\WINDOWS\system32\wbem\Wmiprvse.exe (размер файла 227840 байт) периодически в течении дня подвешивает на секунд 15-20 процессор на 100% , см. ниже ссылку (в течении 10 минут 2 раза происходит нагрузка на процессор этим процессом) Как только данный процесс начинает "вешать" процессор, в логах операционной системы возникает следующая ошибка:
Управление компьютером-Служебные программы-Просмотр событий-Система
Настройки разрешений зависящие от конкретного приложения не предоставляют разрешение Локально Запуск для приложения сервера COM Server с CLSID {24FF4FDC-1D9F-4195-8C79-0DA39248FF48} пользователю NT AUTHORITY\SYSTEM SID (S-1-5-18). Это разрешение можно изменить с помощью средства администрирования Component Services.
Запускаем реестр системы regedit: • Поиск - 24FF4FDC-1D9F-4195-8C79-0DA39248FF48 • Находим AppID={B292921D-AF50-400c-9B75-0C57A7F29BA1} • Снова запускаем поиск , последнему соответствует NAP Agent Service • Запускаем dcomcnfg • Службы компонентов-Компьютеры-Мой компьютер-Настройка DCOM, выходит предупреждающее сообщение (см. ниже ссылку), жмем ДА • Появляется еще одно предупреждающее сообщение, снова жмем кнопку ДА • Находим NAP Agent Service-Свойство-Безопасность Разрешение на запуск и активацию-Настроить-Изменить NETWORK SERVICE-Локальная активация SYSTEM-Локальная активация Прошедшие проверку–Локальная активация
Права доступа-По умолчанию
Разрешения на настройку-Настроить-Изменить- SYSTEM-Полный доступ,Чтение, Особые разрешения Администраторы- Полный доступ,Чтение, Особые разрешения Опытные пользователи- Чтение,Особые разрешения Пользователи-Чтение,Особые разрешения СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ-Особые разрешения
• Загрузился в безопасном режиме, переименовал файл wmiprvse.exe в wmiprvse.exe_old • Запустил систему, теперь wmiprvse.exe не вешает процессор, что уже радует , но теперь в логах системы куча подобных сообщений (см. ниже ссылку):
Не удается запустить сервер DCOM: {1F87137D-0E7C-44D5-8C73-4EFFB68962F2}. Ошибка: "Не удается найти указанный файл. " возникла при запуске команды: C:\WINDOWS\system32\wbem\wmiprvse.exe -secured -Embedding
p.s. Компьютеры организации находятся в домене. Вышеописанная ошибка проявляется на всех компьютерах. ОС Windows XP Pro SP3 лицензионная, переустановленная с начала этого года. Выводил компьютер из домена, ошибка по-прежнему наблюдается. На компьютере установлен Антивирус Касперского 6.0 для Windows WorkStation. Проверял все компьютеры на вируса следующими утилитами (AVZ, Dr.Web CureIt, HiJackThis, MALWAREBYTES' ANTI-MALWARE, McAfee AVERT Stinger), все чисто.
Ответ Центр Информационной и Технической поддержки Microsoft: в данном случае, поддержка возможна на платной основе (стоимость одного обращения в рабочее время (по телефону или через Интернет) составляет 149 долл. США + НДС) или в виде самостоятельного поиска информации на ресурсах Microsoft: http://support.microsoft.com, http://answers.microsoft.com, http://technet.microsoft.com. На форум (http://support.microsoft.com) обращался, никакого результата.
Хотелось бы все-таки выяснить и устранить причину, по которой этот процесс вешает компьютер
переименовали вы его рановато (много кем юзается), но в безопасном режиме повисели бы мин 15 и проверили будет ли загрузка на 100% (скорее всего не будет), я бы начал убивать лишние процессы в системе (кроме Wmiprvse.exe) и ждать после чего нагрузка не будет (или из автозагрузки повырезал почти всё) з.ы. каспера не отключайте он тут не причём
Агент администрирования 8.0.2090 еще вот эта штука стоит
- Ключи ветвей Run в реестре проверял, ничего лишнего, все нужное - Msconfig – тоже ничего лишнего нет - Адаптер производительности WMI (C:\WINDOWS\system32\wbem\wmiapsrv.exe), Тип запуска – Вручную - Справка и поддержка (C:\WINDOWS\System32\svchost.exe -k netsvcs), Тип запуска – Вручную - Свободное место на разделе, где стоит система, имеется в достаточном количестве. - HPTLBXFX.exe - тулбокс от принтера – на компьютерах отсутствует
После установки всех обновлений (Kaspersky Administration Kit 8.0.2177 и Агент администрирования 8.0.2177) и выполнения инструкции по ссылке - http://support.kaspersky.ru/faq/?qid=208637110 (в разделе NAP не создал DWORD ключ с именем Enable), ошибка с кодом 10016 исчезла из лога системного винды. См. ссылки:
Причину почему вешал процессор файл C:\WINDOWS\system32\wbem\Wmiprvse.exe, выяснил, причина была в программе Big Brother Professional Edition Client 4.00 (http://bb4.com/) C:\Program Files\Quest Software\Big Brother\BBNT\4.00\bin\bbnt.exe Временно отключил данную службу (поставил режим запуска службы - вручную), wmiprvse.exe изчез из списка загруженных процессов, и больше не появляется. Процессор не загружает. Буду теперь копатся с процессом bbnt.exe