Hoy descubrí que WmiPrvSE.exe está cambiando mi configuración de DNS en mi NIC principal en cada inicio. El siguiente es un extracto del visor de eventos de seguridad después de mi auditoría de registro:
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4657</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12801</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2016-05-19T22:17:28.512119300Z" />
<EventRecordID>237958</EventRecordID>
<Correlation />
<Execution ProcessID="4" ThreadID="212" />
<Channel>Security</Channel>
<Computer>Narus-PC</Computer>
<Security />
</System>
- <EventData>
<Data Name="SubjectUserSid">S-1-5-18</Data>
<Data Name="SubjectUserName">NARUS-PC$</Data>
<Data Name="SubjectDomainName">WORKGROUP</Data>
<Data Name="SubjectLogonId">0x3e7</Data>
<Data Name="ObjectName">\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{0D87D42F-9740-4A6A-AA21-E48D267CCB3C}</Data>
<Data Name="ObjectValueName">NameServer</Data>
<Data Name="HandleId">0x2fc</Data>
<Data Name="OperationType">%%1905</Data>
<Data Name="OldValueType">%%1873</Data>
<Data Name="OldValue">8.8.8.8,8.8.4.4</Data>
<Data Name="NewValueType">%%1873</Data>
<Data Name="NewValue">31.7.56.104,119.81.242.146</Data>
<Data Name="ProcessId">0xf2c</Data>
<Data Name="ProcessName">C:\Windows\System32\wbem\WmiPrvSE.exe</Data>
</EventData>
</Event>
Me divertí un poco hace unos meses con herramientas DNS como OpenDNS, OpenNIC, DNSCrypt, Unbound, etc. También instalé ProXPN. Mi objetivo era estudiar las fugas de DNS mientras estaba en VPN y descubrir herramientas que permitieran realizar solicitudes de DNS de forma segura.
De todos modos, desinstalé todo hace mucho tiempo, lo mejor posible (hasta donde yo sé). Pero supongo que está relacionado con mi problema.
Supongo que WmiPrvSE.exe simplemente está haciendo su trabajo porque algo más hizo falta para cambiar el DNS, y no es la causa raíz, ¿verdad? ¿Cómo puedo investigar más profundamente? ¿Cómo puedo evitar que esto suceda?
¡Un saludo, Narus!
Respuesta1
así que, después de todo, me quedaba un servicio "proXPN VPN". Cada vez que reinicio el servicio, la configuración de mi red vuelve a tener la misma configuración incorrecta. Así que instalé proXPN nuevamente y lo desinstalé usando CCleaner. Ahora el servicio "proXPN VPN" desapareció y todo está bien.