Hoje descubro que o WmiPrvSE.exe está alterando minhas configurações de DNS na minha NIC principal a cada inicialização. A seguir está um extrato do visualizador de eventos de segurança após minha auditoria de registro:
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4657</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12801</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2016-05-19T22:17:28.512119300Z" />
<EventRecordID>237958</EventRecordID>
<Correlation />
<Execution ProcessID="4" ThreadID="212" />
<Channel>Security</Channel>
<Computer>Narus-PC</Computer>
<Security />
</System>
- <EventData>
<Data Name="SubjectUserSid">S-1-5-18</Data>
<Data Name="SubjectUserName">NARUS-PC$</Data>
<Data Name="SubjectDomainName">WORKGROUP</Data>
<Data Name="SubjectLogonId">0x3e7</Data>
<Data Name="ObjectName">\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{0D87D42F-9740-4A6A-AA21-E48D267CCB3C}</Data>
<Data Name="ObjectValueName">NameServer</Data>
<Data Name="HandleId">0x2fc</Data>
<Data Name="OperationType">%%1905</Data>
<Data Name="OldValueType">%%1873</Data>
<Data Name="OldValue">8.8.8.8,8.8.4.4</Data>
<Data Name="NewValueType">%%1873</Data>
<Data Name="NewValue">31.7.56.104,119.81.242.146</Data>
<Data Name="ProcessId">0xf2c</Data>
<Data Name="ProcessName">C:\Windows\System32\wbem\WmiPrvSE.exe</Data>
</EventData>
</Event>
Eu me diverti alguns meses atrás com ferramentas DNS como OpenDNS, OpenNIC, DNSCrypt, Unbound etc... também instalei o ProXPN. Meu objetivo era estudar vazamentos de DNS em VPN e descobrir ferramentas que permitissem realizar solicitações de DNS com segurança.
Enfim, desinstalei tudo há muito tempo, da maneira mais adequada possível (até onde eu sei). Mas suponho que esteja relacionado ao meu problema.
Suponho que WmiPrvSE.exe esteja apenas fazendo seu trabalho porque fez outra coisa para alterar o DNS, e essa não é a causa raiz, certo? Como posso investigar mais profundamente? Como posso evitar que isso aconteça?
Atenciosamente, Narus!
Responder1
afinal, eu ainda tinha um serviço "proXPN VPN". Cada vez que reinicio o serviço, minha configuração de rede é revertida com as mesmas configurações incorretas. Então instalei o proXPN novamente e desinstalei-o usando o CCleaner. Agora o serviço "proXPN VPN" acabou e está tudo bem.