Windows: Hohe CPU-Auslastung durch WmiPrvSE.exe

Gleich auf mehreren unterschiedlichen Systemen fiel unangenehm auf, das diese sporadisch und mal mehr oder weniger lange Stocken. Ein Blick in den Task-Manager zeigte, das der Prozess „WmiPrvSE.exe“ sehr viel Leistung des Prozessor in Anspruch nimmt.

Workarounds für auf die Schnelle

Wenn nicht zeitnah geklärt werden kann was die Ursache ist, kann man den Prozess beenden, mitunter hilft das bereits. Als weiteres, damit die Störung nicht mehr ganz so gravierend ins Gewicht fällt, kann man die Priorität des Prozesses auf „Niedrig“ setzen. Zu guterletzt kann man den Dienst „Windows-Verwaltungsinstrumentation“ (Dienstname: Winmgmt) beenden und deaktivieren.

Fehler- bzw. Ursachensuche

Um der Quelle des Übels auf die Schliche zu kommen hilft ein Blick ins Ereignisprotokoll unter

Anwendungs- und Dienstprotokolle - Microsoft - Windows - WMI-Activity

In diesem Szenario findet sich beispielsweise folgendes:

Protokollname: Microsoft-Windows-WMI-Activity/Operational
Quelle:        Microsoft-Windows-WMI-Activity
Datum:         19.11.2019 07:42:20
Ereignis-ID:   5858
Aufgabenkategorie:Keine
Ebene:         Fehler
Schlüsselwörter:
Benutzer:      SYSTEM
Computer:      srv01
Beschreibung:
ID: {7F417761-7F2A-0003-0392-427F2A7FD501}; Clientcomputer: SRV01; Benutzer: NT-AUTORITÄT\SYSTEM; Clientprozess-ID: 1736; Komponente: Unknown; Vorgang: Start IWbemServices::ExecQuery - root\cimv2 : SELECT * FROM Win32_Process WHERE CommandLine='C:\Windows\sysWOW64\wbem\wmiprvse.exe -secured -Embedding'; Ergebniscode: 0x80041017; mögliche Ursache: Unknown

Im vorliegenden Fall finden sich pro Minute 20 solcher Meldungen und diese über den ganzen Tag verteilt. Ob das die Ursache für die hohe CPU-Auslastung ist, ist zumindest fraglich, da das Problem ja, so die Annahme, ganztätig vorhanden sein müssten und nicht nur sporadisch.

Mittels der „Clientprozess-ID“ kann man über den Task-Manager ermitteln um welchen Prozess es sich handelt. Hier ist es „PSANHost.exe“, dieser gehört zu Panda Adaptive Defense 360. Der Support ist informiert und wir warten auf Antwort.

Auf der Microsoft Support-Seite findet sich zusätzlich folgendes:

Hohe CPU-Auslastung durch WMIPRVSE.EXE-Prozess in regelmäßigen Abständen unter Windows

Mit Hilfe des dieses Befehls, ausgeführt in einer Eingabeaufforderung mit erhöhten Rechten, lassen sich weitere Informationen sammeln:

tasklist /m wmiperfclass.dll

Bislang hatten wir damit leider keinen Erfolg. Allerdings handelt es sich bei den uns bekannten betroffenen Systemn um Windows Server 2012 R2 Standard. Unbekannt scheinen solche Schwierigkeiten nicht zu sein, wie man beispielsweise im TechNet Forum nachlesen kann:

windows 2012 R2 wmiprvse.exe high CPU usage — URGENT

Update 22.11.2019

Seitens des Panda Supports wurde gestern eine Aktualisierung auf „Schutzversion 8.00.15.0030“ angestoßen. Nach dem zugehörigen Neustart sind zumindest die Panda-abhängigen WMI-Fehler bis jetzt (ist erst ein paar Stunden her) verschwunden. Vereinzelt sporadisch finden sich noch WMI-Fehler, die kamen bzw. kommen unter anderem von Outlook 2016 und Firefox und ein-zwei weiteren Prozessen die bereits beendet waren, bevor wir die IDs nachschlagen konnten. Eine „überhöhte“ CPU-Auslastung haben wir auf diesem ersten aktualisiertem System bislang nicht (mehr) beobachtet.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.