Что такое WmiPrvSE.exe и почему он работает?

Как

ПоОстин

Последнее обновление12 августа 2018 г.

Вы сталкивались с WmiPRvSE.exe, запущенным в диспетчере задач, и теперь вы хотите знать, что это такое? Вы не одиноки. Этот процесс запускается сразу после загрузки Windows 10, но он также встречается в Windows 7 и 8.

Microsoft создала WmiPRvSE.exe и загружает его как неотъемлемую часть Windows. Иногда вирус может захватывать или имитировать WmiPRvSE.exe, но в последние годы эти уязвимости массово не эксплуатировались.

Что такое WmiPrvSE?

WmiPrvSE - это аббревиатура от службы поставщика инструментария управления Windows. Или, как говорится в описании в диспетчере задач, это хост провайдера WMI.

Просмотр строк процесса в Process Explorer показывает, что WmiPrvSE является частью системы управления предприятием на основе веб-технологий Microsoft (WBEM) и Общей информационной модели. (CIM) Microsoft Operations Manager (MOM, который теперь известен как SCOM [System Center Operations Manager.]) Конечно, это мало что значит, если вы не понимаете, что это за вещи жадный.

Что такое SCOM, CIM и WBEM?

Прежде всего, MOM (SCOM) - организатор и диспетчер событий и аналитики. Он управляет разрешениями безопасности, надежностью сети, диагностикой, исправностью данных, написанием отчетов и мониторингом производительности.

CIM - это набор стандартов, которые обеспечивают соответствие между элементами, управляемыми ИТ-инфраструктурой.

WBEM - это протокол технологии управления системой, основанный на интернет-стандартах, которые связаны с интерфейсом управления приложением или операционной системой. WMI более или менее является способом Microsoft использовать WBEM.

Другими словами, без WmiPrvSE приложениями в Windows было бы очень сложно управлять, поскольку этот процесс является хостом, который позволяет работать всем необходимым службам управления. Пользователи и администраторы вряд ли будут получать уведомления при возникновении ошибок. Просмотр Process Explorer показывает, что WmiPrvSE является потомком svchost.exe.

В Windows Server у процесса возникла проблема после выпуска, из-за которой операционному серверу было перегружено использование процессора. Но Microsoft исправила проблему. Другие случаи, когда пользователи сообщали о высокой загрузке ЦП, связанной с этим процессом, были обнаружены как вирусы, которые скопировали название этого законного процесса.

Расположение реестра и системных файлов для WmiPrvSE

Соответствующие местоположения реестра и системных файлов для процесса:

HKEY_LOCAL_MACHINE \ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ \ Microsoft \ Wbem \ CIMOM \ CompatibleHostProviders HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Wbem \ CIMOM \ SecuredHostProviders HKEY_LOCAL_MACHINE \ SOFTWARE \ WOW6432Node \ Classes \ CLSID \ {1F87137D-0E7C-44d5-8C73-4EFFB68962F2} \ LocalServer32 C: \ Windows \ System32 \ WBEM \ Wmiprvse.exe

Не беспокойтесь, WmiPrvSE.exe является безопасным

WmiPrvSE.exe - безопасный процесс, созданный Microsoft и необходимый для правильной работы Windows. Вы не должны выключать его или связываться с ним, но это не приведет к катастрофическому отказу системы.

При нормальных условиях WmiPrvSE занимает мало места в системе и запускается только при первом запуске Windows. Если этот процесс вызывает проблемы, скорее всего это вирус с именем подражателя