Heute habe ich festgestellt, dass WmiPrvSE.exe bei jedem Start meine DNS-Einstellungen auf meiner Haupt-NIC ändert. Das Folgende ist ein Auszug aus der Sicherheitsereignisanzeige nach meinem Registrierungs-Audit:
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4657</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12801</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2016-05-19T22:17:28.512119300Z" />
<EventRecordID>237958</EventRecordID>
<Correlation />
<Execution ProcessID="4" ThreadID="212" />
<Channel>Security</Channel>
<Computer>Narus-PC</Computer>
<Security />
</System>
- <EventData>
<Data Name="SubjectUserSid">S-1-5-18</Data>
<Data Name="SubjectUserName">NARUS-PC$</Data>
<Data Name="SubjectDomainName">WORKGROUP</Data>
<Data Name="SubjectLogonId">0x3e7</Data>
<Data Name="ObjectName">\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{0D87D42F-9740-4A6A-AA21-E48D267CCB3C}</Data>
<Data Name="ObjectValueName">NameServer</Data>
<Data Name="HandleId">0x2fc</Data>
<Data Name="OperationType">%%1905</Data>
<Data Name="OldValueType">%%1873</Data>
<Data Name="OldValue">8.8.8.8,8.8.4.4</Data>
<Data Name="NewValueType">%%1873</Data>
<Data Name="NewValue">31.7.56.104,119.81.242.146</Data>
<Data Name="ProcessId">0xf2c</Data>
<Data Name="ProcessName">C:\Windows\System32\wbem\WmiPrvSE.exe</Data>
</EventData>
</Event>
Ich hatte vor ein paar Monaten etwas Spaß mit DNS-Tools wie OpenDNS, OpenNIC, DNSCrypt, Unbound usw. ... außerdem habe ich ProXPN installiert. Mein Ziel war es, DNS-Lecks bei VPN zu untersuchen und Tools zu entdecken, mit denen DNS-Anfragen sicher durchgeführt werden können.
Wie auch immer, ich habe alles vor langer Zeit deinstalliert, so gründlich wie möglich (soweit ich weiß). Aber ich nehme an, es hängt mit meinem Problem zusammen.
Ich nehme an, WmiPrvSE.exe macht nur seinen Job, weil etwas anderes DNS ändern muss und es nicht die eigentliche Ursache ist, oder? Wie kann ich das genauer untersuchen? Wie kann ich verhindern, dass das passiert?
Mit freundlichen Grüßen, Narus!
Antwort1
also hatte ich immerhin noch einen „proXPN VPN“-Dienst übrig. Jedes Mal, wenn ich den Dienst neu starte, wird meine Netzwerkkonfiguration mit denselben falschen Einstellungen zurückgesetzt. Also habe ich proXPN erneut installiert und mit CCleaner deinstalliert. Jetzt ist der „proXPN VPN“-Dienst weg und alles ist in Ordnung.