При старте операционной системы Windows запускается ряд служб и процессов. Каждый из них отвечает за функционирование определенных компонентов, они никак не мешают пользователю. При возникновении сбоев некоторые процессы могут работать нестабильно и вследствие этого производить загрузку центрального процессора (ЦПУ). Системная утилита wmiprvse.exe довольно часто провоцирует подобную ситуацию.
Что это за файл
WmiPrvSE.exe – это исполняемый файл утилиты поставщика инструментария управления WMI Provider Host для Windows. Он является одним из компонентов управления веб-сервером Microsoft (WBEM) и Microsoft Operations Manager (MIM). С помощью утилиты, программы и скрипты могут получить данные о внутреннем состоянии операционной системы. В Windows также внедрены WMI-провайдеры, которые позволяют выполнить соединение с интернетом, получить настройки DNS, а также отслеживать функции и сообщать о критических ошибках.
Исполняемый файл лежит в директории «\system32\wbem\», запускается из-под svchost.exe, имеет права «NETWORK SERVICE».
Подведем итог — WmiPrvSE.exe является безопасным системным процессом, который необходим для нормального функционирования операционной системы. Приостановка его работы или отключение нежелательно, но критических сбоев не будет.
Как видно на скриншоте, стандартно системной активности процесс WmiPrvSE.exe практически не вызывает.
Если файл не является вирусом, то грузить процессор он может в случае обращения к нему какого-либо софта, который использует функции WMI. Например, подобная ситуация возникает, когда загруженность ЦПУ обусловлена работой «NB Probe Application» — это утилита Asus для получение температурных данных ядер процессора, оборотов кулера и состоянии других аппаратных компонентов.
Определяем приложение, которое запускает процесс
WMI Provider Host может грузить процессор в Windows 7/8/10 в следующих случаях:
- подключение новых периферийных устройств;
- запуск обновления системы и драйверов;
- запуск приложений, которые получают информацию о системе, а также скриптов.
Для наглядного примера мы подключили к ПК USB Mouse (мышку) и можем наблюдать изменения в активности процесса:
Системная активность в этих случаях длится недолго, через некоторое время процесс пропадает из диспетчера задач. Если процесс по-прежнему висит и грузит ЦПУ необходимо определить, какое приложение производит его запуск:
- открываем окно утилиты «Выполнить», сочетанием клавиш «Win+R»;
- в пустую строку вводим команду «msconfig»;
- откроется «Конфигурация системы», здесь переходим во вкладку «Службы»;
- в нижней части окна отмечаем чекбокс «Не отображать службы Microsoft»;
- кликаем «Отключить все» для деактивация сторонних служб;
- переходим во вкладку «Автозагрузка» (для ОС Windows 7 и 8) и деактивируем все элементы. Для пользователей Windows 10 настройка параметров автозагрузки производится в диспетчере задач, запускаем его сочетанием клавиш «Ctrl+Alt+Del». Во вкладке «Автозагрузка» выделяем все компоненты и кликаем «Отключить»;
- в завершении перезагружаем ПК.
Если после перезагрузки проблем не наблюдается, то причина скрывалась в службах и программах, которые были отключены. Для окончательного решения понадобится определить, какой компонент приводит к нестабильной работе системы. Необходимо поочередно включать каждый элемент, перезагружать ПК и проверять работоспособность. При обнаружении источника сбоя, требуется выполнить отключение (если это служба) или деинсталляцию (в случае с программой), на усмотрение пользователя.
Есть более подробный способ узнать, что конкретно приводит к нестабильной работе. Здесь мы будем использовать «Просмотр событий Windows»:
- вызываем утилиту «Выполнить»;
- вписываем «eventvwr.msc» и жмем «Enter». Запуск может занять некоторое время – это связано с добавлением оснастки в консоль;
- в окне «Просмотр событий» щелкаем по вкладке «Вид» и в контекстном меню выбираем «Отобразить аналитический и отладочный журнал»;
- в панели навигации разворачиваем дерево «Журналы приложений и служб – Microsoft – Windows – WMI-Activity»;
- раскрываем пункт и выбираем «Trace», в блоке «Действие» открываем «Свойства»;
- во вкладке «Общие» отмечаем чекбокс «Включить ведение журнала», кликаем «Применить»;
- после обновления логов, на главной странице появится информация об активных процессах;
- во вкладке «Общие» будет отражена информация о параметре «ClientProcessId». Это является идентификатором того процесса, который обращается к «WmiPrvSE.exe»;
- открываем «Диспетчер задач» и вкладку «Подробности», где ищем «ИД процесса», указанного в «ClientProcessId». После обнаружения источника действуем по своему усмотрению, деинсталлируем софт или выполняем отключение.
Откат обновлений системы
Сбои при установке обновлений могут стать причиной нестабильной работы wmiprvse.exe. Для решения проблемы потребуется выполнить откат обновлений в хронологическом порядке, пока не будет найден тот элемент, который вызывает нарушения в работе ОС.
Выполняем откат обновлений для Windows (способ актуален для версий ОС Windows 7 и выше):
- открываем «Панель управления» и переходим к пункту «Программы и компоненты»;
- в левой части окна выбираем «Просмотр установленных обновлений»;
- откроется список установленных компонентов, в столбце «Установлено» можно узнать дату загрузки;
- выделяем первый элемент щелкая по нему правой кнопкой мыши (ПКМ) и в контекстном меню, выбираем «Удалить». Перезагружаем ПК и проверяем работоспособность, при сохранении проблемы повторяем операцию.
Проверяем компьютер на вирусы
Если никакие способы не привели к снижению нагрузки процесса WMI Provider, то в этом случае можно подозревать вирусную активность. Одноименный вирус «wmiprvse.exe» вносит изменения в настройки DNS, а также изменяет файл Hosts. В этом случае пользователь не только сталкивается с нестабильным функционированием ОС, но и с проблемами доступа к интернету.
Необходимо убедиться, что перед нами действительно вредоносная программа:
- переходим в «Диспетчер задач» запустив его сочетанием клавиш «Ctrl+Shift+Esc»;
- выбираем процесс «WmiPrvSE» и щелкаем по нему ПКМ, в контекстном меню кликаем «Открыть расположение файлов»;
- откроется проводник, где будет показана директория в которой расположен файл. По умолчанию путь к директории выглядит так: «C (буква системного диска может отличаться): /Windows/System32/wbem». Если путь отличается — можно сделать вывод, что это вирус. Для дополнительной диагностики, проверим свойства файла;
- щелкаем ПКМ по «WmiPrvSE» и в контекстном меню выбираем «Свойства». Во вкладке «Подробно» обращаем внимание на пункт «Авторские права», должно быть указано «Корпорация Майкрософт», если написано иное, переда нами вредоносное ПО замаскированное под системный компонент.
Очистку системы от вирусов производим с помощью антивирусного программного обеспечения установленного на ПК. Для эффективного обнаружения потребуется запустить глубокую проверку системы.
Если антивируса нет, можно скачать утилиту Dr.Web Cureit или Kaspersky Virus Removal Tool.
Отключаем службу
При отключении службы будет остановлен процесс «WmiPrvSE.exe», его деактивация может отразиться на функционировании системы:
- открываем утилиту «Выполнить» и вводим команду «services.msc»;
- в главном окне находим службу «Инструментарий управления Windows»;
- щелкаем по ней и в пункте «Состояние» выбираем «Остановить»;