O WmiPrvSE.exe não é o WMI, mas sim o processo de hospedagem do provedor WMI. Portanto, o WmiPrvSE é uma parte da implementação geral do WMI, mas não é o próprio WMI. O WmiPrvSE hospeda os provedores WMI , fornecidos pela Microsoft e também pelos provedores WMI fornecidos por terceiros. Você pode visualizar facilmente os provedores WMI sendo hospedados por qualquer instância do processo WmiPrvSE usando o Process Explorer e passando o mouse sobre a instância WmiPrvSE. Muito semelhante ao passar o mouse sobre svchost.exe no Process Explorer para ver os serviços hospedados dentro.
Não consigo pensar em nenhum motivo pelo qual um provedor WMI da Microsoft pronto para uso possa mexer especificamente com chaves de registro pertencentes ao software Sophos que você instalou. O que parece muito mais provável, é que o software Sophos que você instalou vem com seu próprio provedor WMI, e que o provedor Sophos WMI está agindo como um funky. (As ações tomadas por esse provedor WMI seriam cobradas de um processo WmiPrvSE.) Isso não me surpreenderia de forma alguma, já que a integração com o WMI é muito comum para os fornecedores de antivírus.
Eu gostaria de falar com o suporte da Sophos.