 

wxleasyland

文章：242 阅读：1182845 评论：243 赞：3499

 好友  私信个人主页

文章 242
原创 0
阅读 1182845
评论 243
赞 3499

原创发现INPEnhSvc.exe占用1GB内存

 2013-8-10 21:36  996 12 12 分类: 工程师职场

发现INPEnhSvc.exe占用1GB内存

2013.7.18

PROCESS- XPLORER捕捉到：

D:\WINDOWS\system32\INPEnhSvc.exe

签名人：ShenZhen Thunder Networking Technologies Ltd.

签名时间：2013年7月15日 15:55:47 （星期一没有安装什么软件没有运行QQ）

证书路径：

VeriSign Class 3 Public Primary Certification Authority - G5

VeriSign Class 3 Code Signing 2010 CA

ShenZhen Thunder Networking Technologies Ltd.

说明，它是由迅雷公司签名的一个文件。

我试验：

INPEnhsvc.exe会占用大量的内存，达1GB以上。关掉它后，它不定时会运行。

当打开任务管理器，或者Process -Explorer时，它会自动消失！！！很聪明的一个程序。但有时它会存在，不消失，就是在它存在的时候用任务管理器和PROCESS EXPLORER捕捉到它。

打开控制面板的“性能”，它不会消失。

在控制面板的“性能”里，加上“警报”，memory的Committed bytes超过2000000000，就记入应用程序事件日志中。（关掉“性能”，“警报”也会继续监视）。

在控制面析的“事件查看器”里查看应用程序的事件。当有事件触发后，就说明INPEnhsvc.exe运行了。

“wmic process where creationclassname="win32_process" get caption,executablepath” 不受影响，可以显示出INPEnhsvc.exe的路径。

INPEnhSvc.exe D:\WINDOWS\system32\INPEnhSvc.exe

VOCEnhSvc.exe D:\WINDOWS\system32\VOCEnhSvc.exe

tasklist 也受影响，可以显示出INPEnhSvc.exe，VOCEnhSvc.exe。

多运行几次tasklist，INPEnhSvc.exe，VOCEnhSvc.exe会消失。

用tasklist /svc ，发现INPEnhSvc.exe不见了，VOCEnhSvc.exe还在，没有“服务”。打开任务管理器后，VOCEnhSvc.exe消失。 INPEnhSvc.exe 也是没有“服务”的。

用tasklist /v 看，tasklist.exe的标题是OleMainThreadWndName，而很多程序的标题也是OleMainThreadWndName。

故INPEnhSvc.exe要么是判断进程名，要么就是HOOK掉查询进程名的钩子了。

将tasklist.exe 改名成tt.exe，发现可以，INPEnhSvc.exe和VOCEnhSvc.exe不会消失了，说明INPEnhSvc.exe是判断进程名来决定关闭自己与否。

另外，用WORD里的“关于”、“系统信息”来看，是可以看到所有运行的进程，以及路径，而且INPEnhSvc.exe不会自行关掉。 “系统信息”很好用，可以看模块。

另外，WMIC也不影响INPEnhSvc.exe，可以用WMIC来看进程。

FILEMON.exe会影响，INPEnhSvc.exe会自行消失。

发现内存中还有oaadb.exe ，路径D:\DOCUME~1\wxl\LOCALS~1\Temp\INPEnhUpdate\oaadb.exe

oaadb.exe不会自行消失。

D:\DOCUME~1\wxl\LOCALS~1\Temp\INPEnhUpdate\中还有AdbWinApi.dll，AdbWinUsbApi.dll，无法删除

而且D:\DOCUME~1\wxl\LOCALS~1\Temp目录中还有INPEnhSetup.exe文件，可删掉

还有D:\Documents and Settings\wxl\Local Settings\Temp\VOCEnhUpdate目录，内有VOCEnhUD.exe，这个目录由oaadb.exe锁定，无法删除

用UNLOCKER发现，D:\Documents and Settings\wxl\Local Settings\Temp\的文件adb.log由oaadb.exe锁定；IMG1.tmp文件由EXPLORER.exe锁定。无法删除。

adb.log内记录了abd server启动等信息。

电脑里还有装迅雷看看。

filemon发现，WINWORD、SVCHOST会访问D:\DOCUME~1\wxl\LOCALS~1\Temp\INPEnhUpdate\oaadb.exe，

csrss.exe会访问我的文档里的oaadb.exe，system32里的oaadb.exe，system里的oaadb.exe，windows目录里的oaadb.exe，D:\Program Files\Intel\iCLS Client\oaadb.exe，D:\WINDOWS\System32\Wbem\oaadb.exe，D:\Program Files\Intel\Intel(R) Management Engine Components\DAL\oaadb.exe，D:\Program Files\Intel\Intel(R) Management Engine Components\IPT\oaadb.exe，D:\Program Files\Real\Helix Producer Plus\oaadb.exe，D:\Program Files\MKVToolNix\oaadb.exe，D:\Program Files\Microsoft SQL Server\90\Tools\binn\oaadb.exe，D:\Program Files\Microsoft SQL Server\80\Tools\Binn\oaadb.exe，D:\Program Files\Microsoft SQL Server\90\DTS\Binn\oaadb.exe，访问结果均为NOT FOUND

一打开WORD，就会访问D:\DOCUME~1\wxl\LOCALS~1\Temp\INPEnhUpdate\oaadb.exe

这里内存中还会有oaadb.exe，但PID不一样。说明是有一个新的oaadb.exe运行了，然后自己又关闭了。

WORD打开oaadb.exe，oaadb运行，csrss.exe运行，oaadb运行，svchost.exe运行。

反安装OFFICE2007，删除oaadb.exe等。安装OFFICE2003。打开WORD，发现TEMP下会生成INPEnhUpdate目录（是由WORD生成的），然后找不到VOCEnhUD.exe，后面又会出现VOCEnhUD.exe，然后会提示：

EXCEL也会访问INPEnhUpdate目录！

说明OFFICE被感染，应该是被注入到加载项里面了。

assoc .doc 是 .doc=Word.Document.8

ftype Word.Document.8 是Word.Document.8="D:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE" /n /dde，都正常，说明打开方式没有被修改，而是WORD中的加载项被注入。WORD加载项里找不到VOCEnhUD.exe这些东东。

TASKLIST /M，查看WORD加载的模块：

ntdll.dll, kernel32.dll, ADVAPI32.dll,

RPCRT4.dll, Secur32.dll, GDI32.dll,

USER32.dll, ole32.dll, msvcrt.dll,

IMM32.DLL, LPK.DLL, USP10.dll, ,

uxtheme.dll, Comctl32.dll, SHLWAPI.dll,

MSCTF.dll, msctfime.ime, SHELL32.dll,

comctl32.dll, msi.dll, riched20.dll,

OLEAUT32.dll, CLBCATQ.DLL, COMRes.dll,

VERSION.dll, xpsp2res.dll, SXS.DLL,

, WININET.dll, Normaliz.dll,

urlmon.dll, iertutil.dll, SYMINPUT.DLL,