今日、WmiPrvSE.exe が起動のたびにメイン NIC の DNS 設定を変更していることを発見しました。以下は、レジストリ監査後のセキュリティ イベント ビューアーからの抜粋です。
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4657</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12801</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2016-05-19T22:17:28.512119300Z" />
<EventRecordID>237958</EventRecordID>
<Correlation />
<Execution ProcessID="4" ThreadID="212" />
<Channel>Security</Channel>
<Computer>Narus-PC</Computer>
<Security />
</System>
- <EventData>
<Data Name="SubjectUserSid">S-1-5-18</Data>
<Data Name="SubjectUserName">NARUS-PC$</Data>
<Data Name="SubjectDomainName">WORKGROUP</Data>
<Data Name="SubjectLogonId">0x3e7</Data>
<Data Name="ObjectName">\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{0D87D42F-9740-4A6A-AA21-E48D267CCB3C}</Data>
<Data Name="ObjectValueName">NameServer</Data>
<Data Name="HandleId">0x2fc</Data>
<Data Name="OperationType">%%1905</Data>
<Data Name="OldValueType">%%1873</Data>
<Data Name="OldValue">8.8.8.8,8.8.4.4</Data>
<Data Name="NewValueType">%%1873</Data>
<Data Name="NewValue">31.7.56.104,119.81.242.146</Data>
<Data Name="ProcessId">0xf2c</Data>
<Data Name="ProcessName">C:\Windows\System32\wbem\WmiPrvSE.exe</Data>
</EventData>
</Event>
数か月前、OpenDNS、OpenNIC、DNSCrypt、Unbound などの DNS ツールを試し、ProXPN もインストールしました。私の目標は、VPN 使用時の DNS リークを調査し、DNS 要求を安全に実行できるツールを見つけることでした。
とにかく、私はずっと前に、できる限り適切にすべてをアンインストールしました (私が知る限り)。しかし、それは私の問題に関連していると思います。
WmiPrvSE.exe は、DNS を変更するために他の何かのために機能しているだけであり、根本的な原因ではないと思います。どうすればさらに詳しく調査できますか? このような事態を防ぐにはどうすればよいですか?
よろしくお願いいたします、ナルス!
答え1
結局、「proXPN VPN」サービスが残っていました。サービスを再起動するたびに、ネットワーク構成が同じ誤った設定に戻ります。そこで、proXPN を再度インストールし、CCleaner を使用してアンインストールしました。これで、「proXPN VPN」サービスはなくなり、すべてが正常になりました。