หากคุณสังเกตเห็นกระบวนการ wmiprvse.exe ที่ทำงานอยู่ใน Task Manager คุณไม่ต้องกลัวอะไร กระบวนการ wmiprvse.exe คือโฮสต์ของผู้ให้บริการ WMI เป็นส่วนหนึ่งของสิ่งที่เรียกว่าคอมโพเนนต์ Windows Management Instrumentation (WMI) ภายใน Microsoft Windows
ปกติจะใช้กับระบบเดสก์ท็อปที่เชื่อมต่อกับเครือข่ายองค์กร เพื่อให้แผนกไอทีสามารถดึงข้อมูลเกี่ยวกับเดสก์ท็อปนั้น หรือสร้างเครื่องมือตรวจสอบที่แจ้งเตือนฝ่ายไอทีเมื่อมีบางอย่างผิดปกติกับคอมพิวเตอร์เครื่องนั้น
กระบวนการ wmiprvse.exe คืออะไร
กระบวนการ wmiprvse.exe เป็นกระบวนการที่ทำงานควบคู่ไปกับกระบวนการหลักของ WMI อย่าง WinMgmt.exe
Wmiprvse.exe เป็นไฟล์ระบบปฏิบัติการ Windows ปกติที่อยู่ใน %systemroot%\Windows\System32\Wbem หากคุณพบและคลิกขวาที่ไฟล์ ให้เลือก Properties บนแท็บรายละเอียด คุณจะเห็นว่าชื่อไฟล์คือ: "WMI Provider Host"
โฮสต์ผู้ให้บริการ Windows Management Instrumentation (WMI) อนุญาตให้บริการการจัดการทั้งหมดที่จัดการแอปพลิเคชันทั้งหมดในระบบของคุณทำงานอย่างถูกต้อง
บริการการจัดการเหล่านี้ประมวลผลสิ่งต่าง ๆ เช่นข้อผิดพลาดของแอปพลิเคชันหรือระบบ และผู้จัดการไอทีสามารถสื่อสารกับ WMI เพื่อค้นหาหรือตั้งค่าข้อมูลเกี่ยวกับทุกส่วนของคอมพิวเตอร์
ระบบ Microsoft Web-Based Enterprise Management (WBEM)
Wmiprvse.exe และ WMI เป็นส่วนหนึ่งของ Microsoft Web-Based Enterprise Management System (WBEM) ซึ่งประกอบด้วยส่วนประกอบต่างๆ รวมถึง Common Information Model (CIM) และ System Center Operations Manger (SCOM)
ส่วนประกอบเหล่านี้ทำอะไร:
- SCOM: จัดการความปลอดภัย กระบวนการเครือข่าย การวินิจฉัยระบบ และการตรวจสอบประสิทธิภาพ
- CIM: โมเดลนี้สร้างมาตรฐานองค์ประกอบระบบทั้งหมดที่จัดการโดย IT เพื่อให้สามารถสำรวจหรือจัดการข้อมูลได้จากคอมพิวเตอร์เครื่องใดก็ได้โดยใช้ไวยากรณ์คำสั่งเดียวกัน
ทั้งระบบนี้มีเครื่องมืออันทรงพลังสำหรับนักวิเคราะห์ระบบไอทีและผู้จัดการเครือข่ายเพื่อตรวจสอบและจัดการทรัพย์สินนับพันทั่วทั้งองค์กร
สิ่งที่ผู้ให้บริการ WMI ทำ
บริการ WMI Provider ที่ทำงานบนคอมพิวเตอร์ในสภาพแวดล้อมขององค์กรเปิดกว้างของคำสั่งต่างๆ ที่นักวิเคราะห์ไอทีสามารถเรียกใช้บนคอมพิวเตอร์ระยะไกลเพื่อรวบรวมหรือตั้งค่าข้อมูลบนคอมพิวเตอร์เครื่องอื่นบนเครือข่าย
คำสั่ง WMIC ที่น่าสนใจสองสามคำสั่งที่นักวิเคราะห์ไอทีสามารถเรียกใช้ได้ ได้แก่:
- กำลังตรวจสอบ สร้าง หรือแก้ไขตัวแปรสภาพแวดล้อม
- ดูรายการกระบวนการที่ทำงานบนคอมพิวเตอร์
- ค้นหาที่อยู่ MAC และหมายเลขซีเรียลของคอมพิวเตอร์
- ตรวจสอบหน่วยความจำและการใช้หน่วยความจำทั้งหมด
- ดูกระบวนการทำงานทั้งหมดและยกเลิกตามที่คุณต้องการ
คุณสามารถเรียกใช้คำสั่งเดียวกันนี้บนระบบของคุณเองโดยใช้พรอมต์คำสั่งของ Windows หากคุณต้องการตรวจสอบสถานะระบบของคุณอย่างรวดเร็ว
มัลแวร์ wmiprvse.exe ทั่วไป
หากคุณเห็นข้อความแสดงข้อผิดพลาดที่เกี่ยวข้องกับกระบวนการ wmiprvse.exe ระบบของคุณอาจติดมัลแวร์
เนื่องจาก wmiprvse.exe เป็นส่วนประกอบระบบปฏิบัติการ Windows ทั่วไป ผู้สร้างมัลแวร์มักจะให้ไฟล์ปฏิบัติการของตนเองในชื่อเดียวกันหรือคล้ายกัน มีแอปพลิเคชั่นมัลแวร์ที่รู้จักบางตัวที่ใช้กระบวนการ wmiprvse.exe เป็นเป้าหมาย:
- หนอน Sasser ใช้ชื่อไฟล์ wmiprvsw.exe.
- ไวรัส W32/Sonebot-B ใช้ชื่อ wmiprvse.exe
คุณไม่ควรหยุดกระบวนการ wmiprvse.exe เนื่องจากเป็นกระบวนการหลักของระบบ Windows และการหยุดทำงานอาจทำให้เกิดปัญหากับแอปพลิเคชันอื่นๆ ของคุณ
หากคุณพบไฟล์ wmiprvse.exe อยู่ในไดเร็กทอรีอื่นที่ไม่ใช่ %systemroot%\Windows\System32\Wbem เป็นไปได้ว่าไฟล์นั้นเป็นมัลแวร์ ในกรณีนี้ คุณควรเรียกใช้การสแกนไวรัสบนระบบของคุณอย่างเต็มรูปแบบ
