Что такое процесс WmiPrvSE.exe и для чего он нужен?

Thursday, April 25, 2024

Вы столкнулись с WmiPRvSE.exe, запущенным в диспетчере задач, и теперь вы хотите знать, что это такое? Вы не одиноки. Я обнаружил, что этот процесс включается сразу после загрузки Windows 10, но он также встречается в XP, Vista и Windows 7 и 8.

Microsoft отвечает за его создание и загрузку в качестве неотъемлемой части Windows. Вирусы иногда можно замаскировать под этот процесс и заставить подрожать ему, но эти уязвимости в последние годы не использовались в массовом масштабе.

Эта статья является частью моей текущей серии, объясняющей различные процессы, обнаруженные в диспетчере задач, такие как dwm.exe, ctfmon.exe, mDNSResponder.exe, conhost.exe, rundll32.exe, Adobe_Updater.exe и многие другие. Не знаете, что это за процессы? Начните читать!

WmiPrvSE является аббревиатурой для поставщика услуг инструментария управления Windows. Как упоминается в описании диспетчера задач, это узел поставщика WMI. Просматривая строки процесса в Process Explorer, он отображает его как часть системы управления веб-сервером Microsoft (WBEM) и Microsoft Operations Manager (MIM) общей информационной модели (CIM), которая теперь известна как SCOM (System Center Operations Manager). Конечно, это ни о чем вам не скажет, если вы не понимаете, что означают эти вещи.

Во-первых, MOM (SCOM) - организатор и диспетчер событий и аналитики. Он обрабатывает разрешения безопасности, надежность сети, диагностику, целостность данных, составление отчетов и мониторинг производительности. CIM - это набор стандартов, которые обеспечивают соответствие между элементами, управляемыми ИТ-инфраструктурой. WBEM - это протокол технологии управления системой, основанный на стандартах Интернета, которые связаны с интерфейсом управления приложением или операционной системой. WMI - это более или менее способ использования Microsoft в WBEM.

Другими словами, без WmiPrvSE приложениями в Windows было бы очень сложно управлять, поскольку это хост, который позволяет использовать все необходимые службы управления. Пользователи и администраторы также вряд ли получат уведомления при возникновении ошибок. Проводник Process Explorer показывает его как дочерний элемент svchost.exe.

В Windows Server после выпуска процесс имел проблему, которая давала операционному серверу возможность чрезмерного использования ЦП. Проблема была исправлена Microsoft. Другие случаи, когда пользователи сообщили о высоком использовании ЦП с использованием этого процесса, были найдены как вирусы, которые копировали имя этого законного процесса.

Релевантными параметрами реестра и системных файлов для процесса являются:

HKEY_LOCAL_MACHINE / SOFTWARE / Microsoft / WBEM / CIMOM / CompatibleHostProviders
HKEY_LOCAL_MACHINE / SOFTWARE / Microsoft / WBEM / CIMOM / SecuredHostProviders
HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ Classes \ CLSID \ {1F87137D-0E7C-44d5-8C73-4EFFB68962F2} \ LocalServer32
C: \ Windows \ System32 \ WBEM \ Wmiprvse.exe

Вывод

WmiPrvSE - это безопасный процесс, созданный Microsoft и необходимый для нормальной работы Windows. Его не следует закрывать или останавливать, но это не приведет к катастрофическому сбою системы. В нормальных условиях он имеет небольшой системный след и будет работать только при первом запуске Windows. Если процесс вызывает проблемы, это, скорее всего, вирус с именем copy-cat.