오늘 저는 시작할 때마다 WmiPrvSE.exe가 기본 NIC의 DNS 설정을 변경하고 있음을 발견했습니다. 다음은 내 레지스트리 감사에 따른 보안 이벤트 뷰어에서 발췌한 내용입니다.
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4657</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12801</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2016-05-19T22:17:28.512119300Z" />
<EventRecordID>237958</EventRecordID>
<Correlation />
<Execution ProcessID="4" ThreadID="212" />
<Channel>Security</Channel>
<Computer>Narus-PC</Computer>
<Security />
</System>
- <EventData>
<Data Name="SubjectUserSid">S-1-5-18</Data>
<Data Name="SubjectUserName">NARUS-PC$</Data>
<Data Name="SubjectDomainName">WORKGROUP</Data>
<Data Name="SubjectLogonId">0x3e7</Data>
<Data Name="ObjectName">\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{0D87D42F-9740-4A6A-AA21-E48D267CCB3C}</Data>
<Data Name="ObjectValueName">NameServer</Data>
<Data Name="HandleId">0x2fc</Data>
<Data Name="OperationType">%%1905</Data>
<Data Name="OldValueType">%%1873</Data>
<Data Name="OldValue">8.8.8.8,8.8.4.4</Data>
<Data Name="NewValueType">%%1873</Data>
<Data Name="NewValue">31.7.56.104,119.81.242.146</Data>
<Data Name="ProcessId">0xf2c</Data>
<Data Name="ProcessName">C:\Windows\System32\wbem\WmiPrvSE.exe</Data>
</EventData>
</Event>
저는 몇 달 전에 OpenDNS, OpenNIC, DNSCrypt, Unbound 등과 같은 DNS 도구를 사용하여 즐거운 시간을 보냈습니다. ProXPN도 설치했습니다. 내 목표는 VPN을 사용하는 동안 DNS 누출을 연구하고 DNS 요청을 안전하게 수행할 수 있는 도구를 찾는 것이었습니다.
어쨌든, 나는 가능한 한 (내가 아는 한) 모든 것을 오래 전에 제거했습니다. 하지만 내 문제와 관련이 있다고 생각합니다.
WmiPrvSE.exe가 DNS를 변경하기 위한 다른 목적으로 인해 작업을 수행하고 있다고 가정하지만 이것이 근본 원인은 아닙니다. 맞습니까? 어떻게 더 자세히 조사할 수 있나요? 이런 일이 발생하지 않도록 하려면 어떻게 해야 합니까?
감사합니다, 나루스!
답변1
그래서 결국 "proXPN VPN" 서비스가 남았습니다. 서비스를 다시 시작할 때마다 네트워크 구성이 동일한 잘못된 설정으로 되돌아갑니다. 그래서 proXPN을 다시 설치하고 CCleaner를 사용하여 제거했습니다. 이제 "proXPN VPN" 서비스가 사라졌고 모든 것이 정상입니다.