今天,我發現 WmiPrvSE.exe 在每次啟動時都會更改主網路卡上的 DNS 設定。以下是我的註冊表審核後安全事件檢視器的摘錄:
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4657</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12801</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2016-05-19T22:17:28.512119300Z" />
<EventRecordID>237958</EventRecordID>
<Correlation />
<Execution ProcessID="4" ThreadID="212" />
<Channel>Security</Channel>
<Computer>Narus-PC</Computer>
<Security />
</System>
- <EventData>
<Data Name="SubjectUserSid">S-1-5-18</Data>
<Data Name="SubjectUserName">NARUS-PC$</Data>
<Data Name="SubjectDomainName">WORKGROUP</Data>
<Data Name="SubjectLogonId">0x3e7</Data>
<Data Name="ObjectName">\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{0D87D42F-9740-4A6A-AA21-E48D267CCB3C}</Data>
<Data Name="ObjectValueName">NameServer</Data>
<Data Name="HandleId">0x2fc</Data>
<Data Name="OperationType">%%1905</Data>
<Data Name="OldValueType">%%1873</Data>
<Data Name="OldValue">8.8.8.8,8.8.4.4</Data>
<Data Name="NewValueType">%%1873</Data>
<Data Name="NewValue">31.7.56.104,119.81.242.146</Data>
<Data Name="ProcessId">0xf2c</Data>
<Data Name="ProcessName">C:\Windows\System32\wbem\WmiPrvSE.exe</Data>
</EventData>
</Event>
幾個月前,我使用 OpenDNS、OpenNIC、DNSCrypt、Unbound 等 DNS 工具獲得了一些樂趣…我還安裝了 ProXPN。我的目標是研究 VPN 上的 DNS 洩漏並發現允許安全執行 DNS 請求的工具。
不管怎樣,我很久以前就盡可能地卸載了所有東西(據我所知)。但我認為這與我的問題有關。
我想 WmiPrvSE.exe 只是在完成他的工作,因為其他原因導致更改 DNS,而這不是根本原因,對吧?我怎樣才能更深入地調查?我怎樣才能防止這種情況發生?
親切的問候,納魯斯!
答案1
所以畢竟我還剩下一個「proXPN VPN」服務。每次我重新啟動服務時,我的網路配置都會恢復為相同的錯誤設定。所以我再次安裝了 proXPN 並使用 CCleaner 卸載了它。現在「proXPN VPN」服務消失了,一切都很好。