Geheugen loopt vol, wmiprvse.exe - Privacy en beveiliging

dinsdag 22 juni 2004 12:29

Acties:

Verwijderd

Topicstarter

M'n server was zo goed als ingesteld.
Helemaal gepatcht en virusscanners up-to-date enz.
Maar vandaag kwam ik erachter dat het proces wmiprvse.exe wel HEEL veel voorkomt.

Wel meer dan 20x en dan 3 tot 4 mb geheugengebruik.

Ook kan ik niet meer bij de Eigenschappen van de netwerkkaart.
Die staat gewoon niet meer bij netwerkverbindingen.

Besturingsysteem Windows 2003 Smaal Business Server

dinsdag 22 juni 2004 12:33

Acties:

Elteor

doet wat met computers ....

Process name: Windows Management Instrumentation

Product: Windows

Company: Microsoft

File: wmiprvse.exe

Note: The wmiprvse.exe file is located in the c:\windows\System32 folder. In other cases, wmiprvse.exe is a virus, spyware, trojan or worm!

Virus with same name:
W32/Sonebot-B

Controleren dus waarvandaan het opgestart wordt, het kan dus een virus zijn.

Distributed Computing - TEB - Elteor-statspage

dinsdag 22 juni 2004 13:33

Acties:

Verwijderd

Topicstarter

In de System32 folder staat het bestand niet.
Wel in Windows/System32/wbem/wmiprvse.exe

Het bestand door Jotti-scan gehaald, niets gevonden.

Met HijackThis, Autoruns, en Msconfig kan ik niet achterhalen wat het proces opstart.
Hier de log, misschien kunnen jullie er wel iets ontdekken wat er fout is.

code:

Logfile of HijackThis v1.97.7
Scan saved at 13:29:51, on 22-6-2004
Platform: Unknown Windows (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 (6.00.3790.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmt.exe
C:\PROGRA~1\SAV\DefWatch.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\dns.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\GFI\MailSecurity\msecatt.exe
C:\Program Files\GFI\MailEssentials\msecatt.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\system32\cba\pds.exe
C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Program Files\Microsoft SQL Server\MSSQL$SBSMONITORING\Binn\sqlservr.exe
C:\Program Files\Microsoft SQL Server\MSSQL$SHAREPOINT\Binn\sqlservr.exe
C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\PROGRA~1\SAV\Rtvscan.exe
C:\PROGRA~1\Symantec\SYMANT~1\NSCTOP.EXE
C:\WINDOWS\system32\ntfrs.exe
C:\WINDOWS\system32\r_server.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Microsoft SQL Server\MSSQL$SBSMONITORING\Binn\sqlagent.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\ups.exe
C:\WINDOWS\System32\wins.exe
C:\Program Files\GFI\MailSecurity\autdlsvc.exe
C:\Program Files\GFI\MailEssentials\pop2exch.exe
C:\WINDOWS\system32\ams_ii\hndlrsvc.exe
C:\WINDOWS\system32\MsgSys.EXE
C:\WINDOWS\system32\ams_ii\iao.exe
C:\WINDOWS\system32\cba\xfr.exe
C:\Program Files\Exchsrvr\bin\exmgmt.exe
C:\Program Files\Exchsrvr\bin\mad.exe
C:\Program Files\Common Files\System\MSSearch\Bin\mssearch.exe
C:\Program Files\Exchsrvr\bin\store.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
C:\PROGRA~1\SAV\vptray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Documents and Settings\Administrator\Bureaublad\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://companyweb
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DWPersistentQueuedReporting] C:\PROGRA~1\COMMON~1\MICROS~1\DW\DWTRIG20.EXE -a
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SAV\vptray.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Serverbeheer.lnk = ?
O4 - Global Startup: Servicebeheer.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://companyweb
O16 - DPF: {3EB4F9EA-51A6-48DA-846A-0D69DCBA39EF} (DownloadManager Control) - http://download.akamaitools.com.edgesuite.net/dlmanager/live/veritas/code/DownloadManager.ocx
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38133.0073263889
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = DND.local
O17 - HKLM\Software\..\Telephony: DomainName = DND.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{F3F1A43E-34D8-4325-9872-7F79746C7435}: NameServer = 127.0.0.1,10.0.1.4
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = DND.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = DND.local

Die Mssearch hoort er iig niet denk ik.
Maar verder zou ik het zo niet weten.

CPU load is nu inmiddels 100% (Xeon 2,4GHz...)

edit:

dit vond ik op internet:

This will help you,

Windows Management Instrumentation Provider Service first introduced in Windows XP, and then in Windows 2003. WMIPRVSE is a host process for WMI provider services. It is a new Windows architecture intended to eliminate the previous problems in Windows 2000 where the failure of a WMI provider service would make the whole WMI service fail as, then, WMI provider services were loaded in-process with the WMI Service (a new request to WMI would restart the WMI Service). With the new WMIPRVSE model, failure of a single WMI provider service affects that service only rather than the entire WMI Service. For the layman : this is an essential Windows XP/2003 service which will start whenever a specific piece of software requires its facilities.

Recommendation :
Essential ? leave alone. Note that, as with SVCHOST, there may be more than one instance of WMIPRVSE running in your Task List : this is normal. Also, some users will never have witnessed the WMIPRVSE service running on their Windows XP/2003 PC, and then notice it running one day and every day thereafter : this is also normal and will in most cases be the result of some software having been installed (and installing WMI provider services) or the result of a Windows Update. Finally, as with SVCHOST, if you experience errors or excess CPU usage with WMIPRVSE, the problem will in almost all cases be with the WMI provider process that WMIPRVSE is hosting, not with WMIPRVSE itself, or you may have a hardware problem or incompatibility which is not yet at the "serious" stage ? see if Microsoft?s Windows Update has WMI related fixes for your PC/Server; also, on a network, we have empirical evidence that poor network card drivers or chipsets on any part of the network may result in excessive CPU usage by WMIPRVSE.

Ik heb nog steeds niet kunnen vinden, het proces staat wel meer als 40/50 keer in de taskmanager

[ Voor 17% gewijzigd door Verwijderd op 22-06-2004 15:38 ]

dinsdag 22 juni 2004 17:39

Acties:

twiekert

staat er niets in de event log van windows? (control panel>admin. tools>event viewer)

woensdag 23 juni 2004 08:48

Acties:

Verwijderd

Topicstarter

Moet dit proces Windows Management Instrumentation Provider Service _ALTIJD_ opgestart worden?
Want als ik deze uitschakel met opstarten dan werkt het vaak wel. Alleen soms blijven de netwerkverbindingen niet zichtbaar.

In de eventlog staat deze fout wel een aantal keer.

Type gebeurtenis: Fout
Bron van gebeurtenis: MSExchangeSA
Categorie van gebeurtenis: Monitoring
Gebeurtenis-id 9097
Datum: 23-6-2004
Tijd: 8:40:30
Gebruiker: n.v.t.
Computer: XEON
Beschrijving:
The MAD Monitoring thread was unable to connect to WMI, error '0x80070422'.

For more information, click http://www.microsoft.com/contentredirect.asp.

Maar deze fout komt dus als ik die service uitschakel.
Dus daar schiet ik ook niets mee op.

Ben bang dat ik de server opnieuw moet installeren

Laatste stageweek...

Edit 2:
Bij verschillende programma's krijg ik fouten met de melding dat er onvoldoende geheugen beschikbaar is. (bijvoorbeeld bij BackupExec.)
Terwijl het geheugen niet eens vol zit. (Wel heb ik het WMI proces nu uitgeschakeld).
Geheugengebruik is: 808/2467MB (zit 1GB intern in)

[ Voor 32% gewijzigd door Verwijderd op 23-06-2004 09:30 ]

woensdag 23 juni 2004 11:23

Acties:

Verwijderd

Topicstarter

Het waarschijnlijke probleem gevonden

http://support.microsoft....aspx?scid=kb;en-us;839493

Er bestaat een 2de domein in het netwerk waardoor SBS2003 z'n geheugen vol vreet

woensdag 23 juni 2004 18:53

Acties:

twiekert

aha, daarom vraagt windows server altijd bij het aanmaken van het domein of er al een bestaande server in het netwerk staat