Čo je WmiPrvSE.exe a prečo je spustený?

Ako

podľaAustin

Posledná aktualizácia dňa12. augusta 2018

Stretli ste sa s WmiPRvSE.exe spusteným v Správcovi úloh a teraz by ste chceli vedieť, čo to je? Nie ste sami. Tento proces sa spustí hneď po zavedení systému Windows 10, ale nachádza sa aj vo Windows 7 a 8.

Spoločnosť Microsoft vytvorila súbor WmiPRvSE.exe a načíta ho ako neoddeliteľnú súčasť systému Windows. Vírus niekedy môže uniesť alebo napodobniť WmiPRvSE.exe, ale tieto zraniteľné miesta sa v posledných rokoch nevyužívali vo veľkom meradle.

Čo je to WmiPrvSE?

WmiPrvSE je skratka pre službu Windows Management Instrumentation Provider Service. Alebo, ako sa uvádza v popise Správcu úloh, ide o hostiteľa poskytovateľa služby WMI.

Prehľad procesných reťazcov v Process Explorer odhaľuje WmiPrvSE ako súčasť systému Microsoft Web-Based Enterprise Management (WBEM) a Common Information Model. (CIM) Microsoft Operations Manager (MOM, ktorý je teraz známy ako SCOM [System Center Operations Manager.]) Samozrejme to neznamená veľa, pokiaľ nepochopíte, čo tieto veci znamenajú znamenať.

Čo je SCOM, CIM a WBEM?

Po prvé, MOM (SCOM) je organizátor udalostí a analytikov a dispečer. Zaoberá sa bezpečnostnými povoleniami, spoľahlivosťou siete, diagnostikou, stavom údajov, písaním správ a monitorovaním výkonu.

CIM je súbor noriem, ktoré umožňujú súlad medzi prvkami spravovanými IT infraštruktúrou.

WBEM je technologický protokol pre správu systémov založený na internetových štandardoch, ktoré sa viažu na rozhranie spravovania aplikácie alebo operačného systému. WMI je viac-menej spôsob, akým spoločnosť Microsoft používa WBEM.

Inými slovami, bez WmiPrvSE by bolo spravovanie aplikácií vo Windows veľmi ťažké, pretože proces je hostiteľ, ktorý umožňuje fungovanie všetkých potrebných služieb riadenia. Používatelia a správcovia pravdepodobne nedostanú upozornenia, keď sa vyskytnú chyby. Pohľad cez Process Explorer ukazuje WmiPrvSE ako dieťa svchost.exe.

V systéme Windows Server mal tento proces problém po vydaní, ktorý spôsobil operačnému serveru nadmerné využitie CPU. Microsoft však problém vyriešil. Iné prípady, keď používatelia nahlásili vysoké využitie CPU, ktoré sa týka tohto procesu, sa našli ako vírusy, ktoré skopírovali názov tohto legitímneho procesu.

Umiestnenia registrov a systémových súborov pre WmiPrvSE

Relevantné umiestnenia registra a systémových súborov pre proces sú:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Wbem \ CIMOM \ CompatibleHostProviders HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Wbem \ CIMOM \ SecuredHostProviders HKEY_LOCAL_MACHINE \ SOFTWARE \ WOW6432Node \ Classes \ CLSID \ {1F87137D-0E7C-44d5-8C73-4EFFB68962F2} \ LocalServer32 C: \ Windows \ System32 \ wbem \ Wmiprvse.exe

Nerobte si starosti, WmiPrvSE.exe je bezpečný

WmiPrvSE.exe je bezpečný proces vytvorený spoločnosťou Microsoft a potrebný na správne fungovanie systému Windows. Nemali by ste ho vypnúť ani sa s ním neporiadať, ale nespôsobí to katastrofické zlyhanie systému.

Za normálnych podmienok má WmiPrvSE malý systémový rozmer a spustí sa iba pri prvom spustení systému Windows. Ak tento proces spôsobuje problémy, pravdepodobne ide o vírus s názvom copycat.