CPU-Auslastung durch WMI Provider Host

[Naru]

Hallo,

ich möchte in Erfahrung bringen, wie man der Ursache auf die Schliche kommen kann, ohne den umständlichen Guides, die sich dazu finden lassen, folge leisten zu müssen.

In meinem Fall ist die Ursache nicht tiefgreifend, sodass die Methode #2 aus der Verlinkung von darunter schon ausreicht, um dem Problem entgegenzuwirken:
WMI Provider Host – Tipps zur Behebung hoher CPU-Auslastung | www.dirks-computerecke.de

Ich habe ein Batchfile erzeugt, dass den besagten Dienst unter Methode #2 beendet und startet und lasse sie per Aufgabenplanung mit erhöhten Rechten zur Anmeldung mit einer Verzögerung von 2 Minuten ausführen. (Bislang mit einer Verzögerung von 5 Minuten, das zu lange dauerte.)

Das funktioniert insoweit, jedoch will ich in Erfahrung bringen, was zum Zeitpunkt der Systemanmeldung den WMI Provider Host mit Anfargen überfüttert.

Ich habe kürzlich einige Games installiert (ohne Laufzeitumgebungen, die bereits in vollständig vorliegen) und seither auch Intel-Treiber aktualisiert.

Danke.

 

[TP555]

Hi

Mach mal nen Screenshot vom Taskmanager, und mit Process Explorer, bei beiden nach Auslastung sortieren.

Mfg.

 

[Naru]

Hi,

das lohne sich erst nach einem Neustart ohne die Reinitialisierung der Windows-Verwaltungsinstrumentation.

Spoiler: Screenshots

 

[kartoffelpü]

Vielleicht hilft dir ja Tracing der WMI Abfragen: https://learn.microsoft.com/en-us/windows/win32/wmisdk/tracing-wmi-activity

 

[Tornhoof]

Oh Gott, Corsair Tools, Asus Tools, Samsung Tools. Die sind alle nicht für gute oder effiziente Software bekannt. Es kann ohne Probleme möglich sein, dass die viel zuviele wmi abfragen machen

 

[Lawnmower]

Der O&O Defrag dürfte heutzutage auch unnötig sein.

Sehe in den Screenshots aber keine hohe CPU Auslastung, manchmal kann man eine hohe WMI Auslastung auch zu einem weiteren Prozess zurückführen der gleichzeitig auch eine hohe CPU Last hat.
Würde auch erstmal die genannten Hersteller Tools ruhigstellen, vielleicht löst das ja schon das Problem.

 

[Naru]

Der O&O Defrag dürfte heutzutage auch unnötig sein.

Ansichtssache, je nach Nutzen. ^^

Sehe in den Screenshots aber keine hohe CPU Auslastung

Wie schon gesagt: Er ist reinitialisiert und tobt sich daher nicht aus.

Ergänzung (20. Dezember 2024)

Vielleicht hilft dir ja Tracing der WMI Abfragen:

Sieht nach Arbeit aus.

 

[Tornhoof]

Er ist reinitialisiert und tobt sich daher nicht aus.

Die Erklärung dafür ist ggf einfach, wer auch immer das auslöst, öffnet beim Start die Verbindung zum wmi Host per API und lässt die offen, wenn der Host dann neu gestartet wird, wird die Verbindung geschlossen von Host Seite und nicht wieder neu aufgebaut, alle Anfragen gehen einfach in den exception handler.

 

[Naru]

Ich habe neugestartet, bin die besagte Reinitialisierung des Dienstes umgangen und habe etwa 5 Minuten lang gewartet.

Spoiler: Ergebnis

 

[Lawnmower]

Ansichtssache, je nach Nutzen. ^^

Also wenn Du die SSDs da drin hast wie in deiner Signatur und Du den O&O auf die ansetzt, dann machst die nur schneller kaputt. Defragmentieren muss man nur bei HDDs.

Wie schon gesagt: Er ist reinitialisiert und tobt sich daher nicht aus.

Dann kann man Dir aber schlecht helfen, müsste man warten bis es am toben ist. Allenfalls lässt sich dann was ableiten wenn man den Taskmanager sieht im Vergleich zu dem wenn Ruhe ist.
Habe mich auch schon über diesen Prozess geärgert, eine Nachverfolgung was bzw wer die Ursache ist, ist echt mühsam.

 

[Naru]

müsste man warten bis es am toben ist.

Gesagt, geschehen. ^^

 

[Tornhoof]

Schieß mal das Asus Fan Control Ding ab. Auslastung sichtbar im Taskmanager, viel zuviele Threads im Process Monitor

 

[Naru]

Asus Fan Control

Du wirst lachen... Den habe ich ein wenig mit im Verdacht.

Wieso konkret: Nicht nur, weil er dort oben mit herumtänzelt, was zu erwarten ist von einer Software, die sich dem System-defined Classes stetig bedient, machen HWiNFO usw. nicht anders, sondern deswegen, weil ich eine der frühen 3'er-Versionen der AI Suite mitlaufen habe, die das FanXpert noch implemtiert hat und mit den Settings des FanXpert von der Armoury Crate synchronisiert.

Letztendlich muss es etwas sein, DAS IM MOMENT DER ANMELDUNG zu einer Überabfrage führt oder zu so etwas, das in Beitrag #8 erwähnt worden ist.

 

[Tornhoof]

Dir muss halt zb bei der Asus Software bewusst sein, dass die Unmengen an Helferprogramme nutzt, zb ganz unten Asus nodejs. Nodejs ist ja Javascript Laufzeitumgebung. Wahrscheinlich um irgendwelche Webservices anzubieten.
Neben Performance Problemen handelst du dir da häufig auch heftigste Sicherheitsprobleme ein, die umgehend damit einfach sehr viele Sicherheitsmechanismen von Windows.

Nvidia ist damit zb heftig auf die Fresse geflogen
https://sec-consult.com/blog/detail/application-whitelisting-application/

 

[IDontWantAName]

Geht nur zu diagstizieren mit WMI Activity Tracing:

https://aloiskraus.wordpress.com/2019/11/17/the-wmi-query-from-hell/

Dann siehst du die ClientProcessId und kannst dann anhand der Id sehen welcher Prozess das genau ist.

der Alois hat das hier auch in ein freundlicheres Tool verpackt:

https://github.com/Alois-xx/WMIWatcher

Lad es herunter, entpacke es und führe es aus. Dann solltest du die WMI Abfragen sehen und sehen welche Tools die Abfragen machen.

// Edit:

also bei mir läuft nix im Hintergrund, hab dann mal manuell eine WMI Abfrage mit einem Nirsoft Tool gemacht und sehe das dann in der .csv Datei:

Date|Time|Operation|ClientProcess|ClientProcessId|IsRemote|Query|NameSpace|OperationId|GroupOperationId|Duration s
2024.12.20|22:47:24.380|ExecQuery|"C:\NirSoft Utilities\SimpleWMIView (x64)\SimpleWMIView.exe" |11340|False|SELECT * FROM Win32_Process|root\CIMV2|5443|5442|
2024.12.20|22:47:24.390|ExecAsync||||Provider::CreateInstanceEnum - CIMWin32 : Win32_Process||0|5442|

 

[Naru]

In dem Ganzen fehlt 'ne Ausführungsdatei. Wie oder womit wird der WMIWatcher ausgeführt?

Running Time​

WMIWatcher is a .NET 7.0 self contained application. Unzip it to a folder, run

C:&gt;WMIWatcher.exe install<br> C:&gt;sc start wmiwatcher<br>

to install WMIWatcher as Windows system service which is automatically started. Besides the exe the WmiWatcher.csv file will be created Alternatively you can run it also directly as console application. Simply start

Gefunden. Es ist extra und unter Releases verborgen.

 

[IDontWantAName]

du kannst das so laufen lassen dann werden alle Programme mit WMI Abfragen aufgelistet und in eine Datei WMIWatcher.csv im Ordner geschreiben. Wenn es nur nach dem Anmelden kommt musst du es mit dem Parameter Install halt "installieren", so dass es beim Anmelden schon Daten sammelt.

 

[Naru]

Ich mache etwas verkehrt. Die Kommandokonsole des WMIWatcher erlaubt keine Eingabe.

 

[IDontWantAName]

Die Kommandokonsole des WMIWatcher erlaubt keine Eingabe.

du musst eine CMD als Admin starten und dort den Parameter angeben.

C:\>WMIWatcher.exe install
C:\>sc start wmiwatcher

Ich gehe nun schlafen und schau dann erst morgen wieder rein. Du kannst dir im Browser auch die Github Seite übersetzen lassen um es auf Deutsch zu lesen, wenn dein English nicht so gut ist.

 

[Naru]

Wegen des Pfades musste ich den Command anpassen:

C:\>
C:\KnSNaru\Temp\WmiWatcher-1.0.6.0\WMIWatcher.exe install or uninstall

Der Dienst installiert sich erfolgreich, jedoch startet er nicht per Command. Das umschiffe ich über die Services.
Muss mal schauen, wie 's von hieran weitergehe. Habs voerst gedeinstallt.

Danke sehr bis hierin und eine gute Nacht. ^^