Warum hält der WMI Provider Host (WmiPrvSE.exe) meine CPU ständig an?

Wie Sathya in seiner Frage erwähnte, hatte ich bereits Erfahrung mit diesem Problem auf meinem ähnlichen HP-Laptop, und ich habe nun mithilfe der wissenschaftlichen Methode bestätigt, dass die CPU-Spitzen auf HP-Laptops vom HP Wireless Assistant verursacht werden. Oder HP CPU Assassin, da ich vielleicht anfange, es anzurufen.

Überblick über das Experiment

• Frage : Was bewirkt, dass die CPU von HP-Laptops in regelmäßigen Abständen stachelt, insbesondere der WmiPrvSE.exe Prozess?

• Hypothese : Der HP Wireless Assistant (HPWA) verursacht das Problem

• Methode :

  1. Überprüfen Sie, ob das Problem bei der Installation von HPWA auftritt.
  2. WmiPrvSE.exeStellen Sie fest, ob die CPU stoppt und der Prozess nicht mehr als 20% CPU verwendet, wenn der HPWA-Prozess angehalten wird.
  3. Prüfen Sie, ob die CPU erneut startet, wenn der HPWA-Prozess wieder aktiviert wird
  4. Wiederholen Sie die Schritte 2 und 3 für mehrere Versuche, um genaue Ergebnisse sicherzustellen
      

• Ergebnisse : HPWA verursacht extreme CPU-Auslastung

• Fazit : Sie sollten HPWA deinstallieren, da es nichts sinnvolles tut

Hintergrundinformation

Als ich meinen HP Pavillion dm4t-Laptop bekam, fiel mir auf, dass die CPU-Auslastung häufig bis zu 50% betrug, fast jede Sekunde. Dadurch wurde die Lebensdauer der Batterie erschöpft und der Laptop wurde heißer. fast die gleichen Symptome, die Sathya erlebt hat. Beim Betrachten des Ressourcenmonitors in Windows 7 konnte ich feststellen, dass der Prozess WmiPrvSE.exefehlerhaft war.

Eine schnelle Google-Suche bestätigte meine Annahme, dass dies der WMI-Hostprozess ( Windows Management Instrumentation ) war. Kurz gesagt, WMI kann zum Abfragen von Systeminformationen verwendet werden, z. B. zur Prozessorauslastung, laufenden Prozessen, wer angemeldet ist, und alle anderen Informationen. Der WMI-Hostprozess führt WMI-Abfragen für jeden anderen Prozess aus, der zu diesen Prozessen führt. Daher WmiPrvSE.exewar er selbst nicht der Täter, er war lediglich ein Vermittler.

Um herauszufinden, welcher bestimmte Prozess dieses Problem verursacht hat, habe ich den Systinternals Process Explorer verwendet . Ich fand heraus, welche Instanz des WmiPrvSE.exeProzesses sehr viel CPU benötigte, und klickte darauf, um detaillierte Informationen zu öffnen.

Leider konnte ich keinen Weg finden, um herauszufinden, welcher Prozess alle Abfragen durchführte. Da ich dies jedoch als Quelle für die CPU-Spitzen erkannt hatte und wusste, dass es sich um einen Dienst handelt, ging ich zum Servicemanager, um zu sehen, welche Die Dienste waren von WMI abhängig und dachten, ich könnte zu einem anderen Hinweis führen.

Ich nahm an, dass es sich nicht um einen integrierten Windows-Dienst handelt, der das Problem verursacht. Daher habe ich mich entschlossen, die Liste zu bearbeiten und jeden Dienst zu deaktivieren, um zu sehen, ob das Problem weiterhin besteht. Ganz oben auf der Liste stand der HP Wireless Assistant Service. Ich ging zurück zum Dienste-Menü und deaktivierte diesen Dienst. Im Task-Manager zurückblickend, sah ich, dass die CPU-Auslastung fast nichts mehr war. Ich habe den HPWA-Dienst wieder eingeschaltet. Die CPU-Auslastung wurde wieder hochgefahren. Ich hatte jetzt genug Daten, um meine Theorie zu bilden. Ich habe den HPWA-Dienst deinstalliert und hatte das Problem nie wieder.

Überprüfung der Hypothese

Einige Monate später stellt Sathya diese Frage. Ich entschied mich, einmal zu beweisen, dass dies an HPWA schuld ist. Ich habe den HP Wireless Assistant neu installiert, den ich seit Monaten nicht installiert hatte. Sofort stieg die Prozessorauslastung an. Ich habe dann das oben skizzierte Experiment durchlaufen.

Zuerst habe ich den für den HPWA-Dienst zuständigen Prozess im Ressourcenmonitor isoliert. HPWA_Service.exeund HPWA_Main.exesind die zwei. So sah die CPU-Auslastung aus, wenn beide verarbeitet wurden:

Dann habe ich beide Prozesse ausgesetzt. Die CPU-Auslastung ging sofort zurück; So sah es nach einigen Augenblicken aus, bis die vorherige CPU-Nutzung in der Grafik gelöscht wurde:

Ich habe die Prozesse erneut aktiviert, um zu sehen, ob die Verwendung wieder aufwärts geht. Es tat:

^{Der erste Spike als ich HPWA aktiviere}

^{Kurz danach habe ich HPWA aktiviert}

Das erneute Anhalten der Prozesse führte dazu, dass die CPU-Auslastung wieder zurückging:

Ich habe dies für eine weitere Iteration getestet, und beim dritten Versuch passierte genau das gleiche noch einmal. Ich habe dies als ausreichenden Beweis angesehen, um zu zeigen, dass der HP Wireless Assistant das Problem verursacht hat, und anschließend den Dienst deaktiviert und jetzt deinstallieren.

Das einzige, was der HPWA zu tun scheint, ist, den Benutzer darüber zu informieren, wenn das WLAN ein- oder ausgeschaltet ist, und die CPU zu verschlingen. Es gibt nichts, was Sie mit den integrierten Wireless-Management-Tools tun können. Daher würde ich Ihnen raten, diese Software zu entfernen, wenn Sie diese Software installiert haben.

Hinweis: Mindestens eine Person hat berichtet, dass die Deinstallation von HPWA dazu geführt hat, dass der Wireless-Schalter der Tastatur nicht mehr funktioniert. Auf meinem Laptop funktionierte es nach der Deinstallation von HPWA einwandfrei. Falls Sie jedoch nicht mehr funktionieren, können Sie die WLAN-Karte in Windows jederzeit deaktivieren. Drücken Sie + x, um das Windows-Mobilitätscenter zu öffnen, und klicken Sie dann auf die Turn Wireless OffSchaltfläche.

Laut einer Diskussion in den HP Support-Foren wurde das Problem in neueren Versionen des HP Wireless Assistant behoben. Wenn für Ihren Laptop HPWA erforderlich ist, um den WLAN-Ein / Aus-Schalter zu verwenden, können Sie die neueste Version von der HP Treiber-Website herunterladen. Dieses Problem ist wahrscheinlich nicht mehr vorhanden. Wenn Sie es jedoch nicht für die WLAN-Ein / Aus-Taste benötigen, scheint es dennoch keinen Mehrwert zu geben, wenn diese Software installiert wird.

Fehlerbehebung

1. Laden Sie ProcDump von Microsoft Sysinternals herunter .

2. Lassen Sie sich einen Dump machen, wenn die WmiPrvSE.EXE 1 Sekunde lang 25% erreicht:

   procdump.exe -c 25 -s 1 -x WmiPrvSE.EXE %HOMEPATH%\WmiPrvSE.dmp 

   Dadurch wird ein Speicherauszug in Ihrem Benutzerordner erstellt.

   Fühlen Sie sich frei, diese 1 - 2-mal mehr zu wiederholen, so dass Sie mehr Dumps haben und sich sicher sein können, dass die Ursache ausgegeben wird und nicht ein normales Ereignis.

3. Analysieren Sie Ihre Dumps online und teilen Sie sie optional auf SpeedyShare .

   Alternative : WinDBG kann mit dem Befehl verwendet werden. Achten Sie!analyze -v darauf, Symbole festzulegen .

4. Die angezeigte Stapelablaufverfolgung sollte die Prozedur enthalten, die dies verursacht.

Vielleicht google ein paar der Top-Prozeduren des Stacks, um eine bessere Vorstellung davon zu bekommen, was sie tun.
Wenn sie nicht helfen, benötigen Sie möglicherweise eine erweiterte Analyse. Siehe meinen nächsten Abschnitt:

1. Laden Sie das Setup von Windows Performance Analysis Tools für Ihre Windows-Version herunter .
2. Installieren Sie die Software auf Ihrem System.

3. Öffnen Sie eine Eingabeaufforderung als Administrator und fügen Sie den nächsten Befehl ein:

   xperf -start perf!GeneralProfiles.InBuffer -stackwalk profile && timeout -1 && xperf -stop perf!GeneralProfiles.InBuffer %HOMEPATH%\myTrace.etl 

4. Drücken Sie ENTER einmal den Befehl zu starten, jetzt müssen Sie warten, bis die Spitze aufgetreten ist.

5. Gleich nach deiner Spitze gehst du zur Konsole und drückst ENTER.
6. Nach einiger Zeit wird eine Protokolldatei myTrace.etl in Ihrem Benutzerordner erstellt.

7. Führen Sie den folgenden Befehl aus, um die Datei anzuzeigen und zu analysieren ( WinDBG / Symbols erforderlich):

   xperf %HOMEPATH%\myTrace.etl 

Wenn du willst, dass ich es mir anschaue:

8. Komprimieren Sie myTrace.etl aus Ihrem Benutzerordner in eine ZIP-Datei.
9. Teilen Sie die komprimierte ZIP-Datei auf SpeedyShare .
10. Teilen Sie den Link hier, ich werde versuchen, die Ursache Ihres Problems zu finden und Ihnen zu zeigen.

Da WmiPrvSE.EXE ein Host zum Ausführen von WMI-Abfragen für den CAPI-Speicher ist, können Sie die Ursache möglicherweise selbst mit XPerf aufgrund von IPC nicht finden. Eine andere Lösung, die ich gerade gefunden habe, wäre die WMI-Protokollierung und das Überprüfen der Protokolle Wie hier beschrieben, ist die ClientProcessId die PID des Prozesses, der die WMI-Abfrage durchgeführt hat. Diese PID kann zum Prozess zurückverfolgt werden, indem eine PID-Spalte zum Task-Manager oder zum Prozess-Explorer hinzugefügt wird oder tasklist /FI "PID eq X"wobei X die PID ist, die Sie gefunden haben.

Analyse von Speicherauszug 1 : Zeilen 94-115 zeigen einen Remote Procedure Call an .
Analyse von Speicherauszug 2 : Die Zeilen 84-105 zeigen einen Remote Procedure Call an .

Im Kernel wird ein neuer Thread gestartet , um einen Remote Procedure Call-Stub zu verarbeiten, der im Wesentlichen eine Abfrageanforderung ist, die der WMI-Provider ausführt und auf die er antwortet. Dies führt zu einer hohen CPU-Aktivität aufgrund des Lesens der Registrierungs- und / oder Leistungsinformationen.

Da ein Dump eine Momentaufnahme ist, können Sie nicht sehen, welcher Prozess den RPC ausgeführt hat.
Daher benötigen Sie ein Programm, das wie XPerf verfolgt, um den vorherigen Thread zu sehen, der den RPC ausführen würde.

Wenn Sie RPC- Statusinformationen aktivieren, können Sie mit rpcdbg feststellen, wer den Anruf initiiert hat.

Beispiel:

0:000> bp rpcrt4!RpcServerUseProtseqEpA 0:000> g Breakpoint 0 hit eax=00452000 ebx=7ffd5000 ecx=00452008 edx=00000014 esi=00d5f55c edi=7c911970 eip=77e97a0b esp=0012ff3c ebp=0012ff6c iopl=0 nv up ei pl nz na pe nc cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00000206 RPCRT4!RpcServerUseProtseqEpA: 77e97a0b 8bff mov edi,edi 0:000> kb ChildEBP RetAddr Args to Child 0012ff38 00401046 00452000 00000014 00452008 RPCRT4!RpcServerUseProtseqEpA 0012ff6c 00401e37 00000001 003330a0 00333120 hellos!main+0x46 [e:\projects\hello\hellos.c @ 21] 

Im obigen Beispiel wird ein Haltepunkt auf der RPC festgelegt, sodass Sie sehen, wer ihn in der zweiten Stapelzeile ausführt. Es ist jedoch unwahrscheinlich, dass Sie durch Festlegen eines Haltepunkts beim ersten Aufruf (dies ist Live-Debugging) Ihnen hilft zu sehen, wer den WMI-Provider jedes Mal anruft ...

In diesem Artikel gibt es viele weitere Informationen zu RPC-Statusinformationen, die helfen könnten, aber es ist nicht für schwache Nerven wie uns, all das durchzugehen, wenn wir stattdessen XPerf verwenden könnten. :-)

Da wir jetzt wissen, wie der RPC funktioniert, können wir auch API Monitor verwenden :

1. Laden Sie den API Monitor herunter, installieren Sie ihn und starten Sie ihn. _{( zweimal, wenn Sie 64 Bit haben: einmal x86, einmal x64)}
2. Gehen Sie zu Datei -> Als Administrator ausführen

3. Stellen Sie den API-Capture-Filter auf das Rpcrt4.dllModul ein.

   

4. Ähnlich wie beim Haltepunkt möchten wir wissen, wer die RpcServerUseProtSeqFunktionen aufruft :

   

5. Haken Sie jeden laufenden Prozess mit Ausnahme derjenigen mit einer niedrigen PID (um Abstürze zu vermeiden) an.
   Ideal, Sie wollen nicht, Haken dwm.exe/ winlogon.exeoder niedriger.
   Sie können auch einzelne Prozesse versuchen und aushängen sie später aus dem Hooked Processes Fenster ...

   Obwohl ... ich habe es ausprobiert und konnte mich über jeden Prozess haken.

6. Wenn alles gut geht, enthält der Hooked Process, der den RPC-Aufruf durchführt, Threads.
   Wenn Sie auf diese Threads klicken, sollten Sie eine Reihe von Anrufen sehen.
   Wenn Sie dies tun, haben Sie den Prozess gefunden, der das Problem verursacht!

Lösung

Halten Sie Ihren Computer up-to-date ist wichtig, die Installation HPWA 4.0.10.0 dies löst! ;-)

Der Microsoft-Blogeintrag Ist WMIprvse ein echter Bösewicht? zeigt, wie Sie ermitteln können, welcher Prozess für die von WmiPrvSE.exe verwendete CPU verantwortlich ist.

Die Methode verwendet die Ereignisanzeige-Option "Show Analytic and Debug Logs", um alle WMI-Aktivitäten zu verfolgen, und erhält dadurch die Prozess-ID des Schuldprozesses.

Wenn Sie dies für alle anderen Personen in demselben Boot hinzufügen, befindet sich diese Seite in Google. Ich hatte das gleiche Problem mit WmiProvderHost, der bis zu 50% CPU-Auslastung hatte, und dem Akku meines Lenovo Yoga2 Pro unter Windows 8.1.

Nach einigen der hervorragenden Untersuchungsempfehlungen oben stellte ich fest, dass es sich bei GoPro Studio um eine kostenlose Videoschnitt-Software handelte, die mit GoPro-Kameras geliefert wird. Es wird ein Überwachungsdienst installiert, der darauf wartet, dass Sie Ihre Kamera anschließen, und für mich war dies der Täter.

Zum Debuggen verwenden Sie xperf aus dem Windows Performance-Toolkit und führen Sie die folgende Cmd- Datei aus:

xperf -on PROC_THREAD+LOADER+PROFILE+INTERRUPT+DPC+DISPATCHER -stackwalk profile -BufferSize 1024 -MaxFile 256 -FileMode Circular -f Kernel.etl xperf -start WMILogger -on Microsoft-Windows-WMI-Activity::0xff -BufferSize 1024 -f WMI.etl  echo Please capture about 30s of the WMI activity.  pause  xperf -stop xperf -stop WMILogger xperf -merge WMI.etl kernel.etl WMItracing.etl  del WMI.etl del kernel.etl 

Öffnen Sie das generierte WMItracing.etl in WPA.exe, und ziehen Sie das Diagramm "Generic Events" von der linken Seite in den Analysebereich.

Jetzt filtern Sie nur nach Microsoft-Windows-WMI-Activity- Ereignissen und suchen Sie nach WMI-Vorgängen und der ClientProcessId.

In meinem Beispiel gehört diese CLientProcessId zu einem Tool namens Veeam ONE Monitor Server . Wenn Sie ihn anhalten, wurde das Problem mit der CPU-Nutzung behoben .

Und das zweite Beispiel wird hier gezeigt:

Sie sehen wiederkehrende Aufrufe eines Prozesses mit PID von 1924, der zum Intel ProSet Monitoring-Dienst gehört.

Hier wird auch die CPU-Auslastung in den CPU-Sampling-Callstacks angezeigt:

Daher führt das Intel-Tool zu oft WMI-Benachrichtigungsabfragen durch, was zu Problemen führt. Das Problem wurde behoben.

Haben Sie versucht zu sehen, ob es ein Virus ist? Manche Viren mögen es, als Windows-Dienste wie diese herumzuspielen. Stellen Sie sicher, dass sich der WmiPrvSE.exeProzess im c:\windows\system32\wbemVerzeichnis befindet. Wenn nicht, möchten Sie möglicherweise allgemeine Spyware-Erkennungsprogramme ausführen. Wenn es sich nicht um Spyware handelt, wird möglicherweise ein anderer Dienst aufgerufen. Ich weiß, dass auf meinem Computer einige wenige Gadgets ausgeführt werden. Ironischerweise führt das Leistungsmonitor-Gadget manchmal dazu, dass meine CPU etwas ansteigt. Es könnte auch ein anderer Dienst sein, der dieses Gas gelegentlich drückt. Zum Beispiel Bloatware von HP, Dell usw.

Abgesehen davon scheint die andere Antwort von TomWij ziemlich nett zu sein, um Probleme zu beheben!