原创 发现INPEnhSvc.exe占用1GB内存

发现INPEnhSvc.exe占用1GB内存

2013.7.18

PROCESS- XPLORER捕捉到：

D:\WINDOWS\system32\INPEnhSvc.exe

签名人：ShenZhen Thunder Networking Technologies Ltd.

签名时间：2013年7月15日 15:55:47   （星期一  没有安装什么软件  没有运行QQ）

证书路径：

  VeriSign Class 3 Public Primary Certification Authority - G5

     VeriSign Class 3 Code Signing 2010 CA

        ShenZhen Thunder Networking Technologies Ltd.

说明，它是由迅雷公司签名的一个文件。

我试验：

INPEnhsvc.exe会占用大量的内存，达1GB以上。关掉它后，它不定时会运行。

当打开任务管理器，或者Process -Explorer时，它会自动消失！！！很聪明的一个程序。但有时它会存在，不消失，就是在它存在的时候用任务管理器和PROCESS EXPLORER捕捉到它。

打开控制面板的“性能”，它不会消失。

在控制面板的“性能”里，加上“警报”，memory的Committed bytes超过2000000000，就记入应用程序事件日志中。（关掉“性能”，“警报”也会继续监视）。

在控制面析的“事件查看器”里查看应用程序的事件。当有事件触发后，就说明INPEnhsvc.exe运行了。

“wmic process where creationclassname="win32_process" get caption,executablepath”  不受影响，可以显示出INPEnhsvc.exe的路径。

INPEnhSvc.exe                 D:\WINDOWS\system32\INPEnhSvc.exe

VOCEnhSvc.exe                 D:\WINDOWS\system32\VOCEnhSvc.exe

tasklist 也受影响，可以显示出INPEnhSvc.exe，VOCEnhSvc.exe。

多运行几次tasklist，INPEnhSvc.exe，VOCEnhSvc.exe会消失。

用tasklist /svc ，发现INPEnhSvc.exe不见了，VOCEnhSvc.exe还在，没有“服务”。打开任务管理器后，VOCEnhSvc.exe消失。    INPEnhSvc.exe 也是没有“服务”的。

用tasklist /v 看，tasklist.exe的标题是OleMainThreadWndName，而很多程序的标题也是OleMainThreadWndName。

故INPEnhSvc.exe要么是判断进程名，要么就是HOOK掉查询进程名的钩子了。

将tasklist.exe 改名成tt.exe，发现可以，INPEnhSvc.exe和VOCEnhSvc.exe不会消失了，说明INPEnhSvc.exe是判断进程名来决定关闭自己与否。

另外，用WORD里的“关于”、“系统信息”来看，是可以看到所有运行的进程，以及路径，而且INPEnhSvc.exe不会自行关掉。  “系统信息”很好用，可以看模块。

另外，WMIC也不影响INPEnhSvc.exe，可以用WMIC来看进程。

FILEMON.exe会影响，INPEnhSvc.exe会自行消失。

发现内存中还有oaadb.exe ，路径D:\DOCUME~1\wxl\LOCALS~1\Temp\INPEnhUpdate\oaadb.exe

oaadb.exe不会自行消失。

D:\DOCUME~1\wxl\LOCALS~1\Temp\INPEnhUpdate\中还有AdbWinApi.dll，AdbWinUsbApi.dll，无法删除

而且D:\DOCUME~1\wxl\LOCALS~1\Temp目录中还有INPEnhSetup.exe文件，可删掉

还有D:\Documents and Settings\wxl\Local Settings\Temp\VOCEnhUpdate目录，内有VOCEnhUD.exe，这个目录由oaadb.exe锁定，无法删除

用UNLOCKER发现，D:\Documents and Settings\wxl\Local Settings\Temp\的文件adb.log由oaadb.exe锁定；IMG1.tmp文件由EXPLORER.exe锁定。无法删除。

adb.log内记录了abd server启动等信息。

电脑里还有装迅雷看看。

filemon发现，WINWORD、SVCHOST会访问D:\DOCUME~1\wxl\LOCALS~1\Temp\INPEnhUpdate\oaadb.exe，

csrss.exe会访问我的文档里的oaadb.exe，system32里的oaadb.exe，system里的oaadb.exe，windows目录里的oaadb.exe，D:\Program Files\Intel\iCLS Client\oaadb.exe，D:\WINDOWS\System32\Wbem\oaadb.exe，D:\Program Files\Intel\Intel(R) Management Engine Components\DAL\oaadb.exe，D:\Program Files\Intel\Intel(R) Management Engine Components\IPT\oaadb.exe，D:\Program Files\Real\Helix Producer Plus\oaadb.exe，D:\Program Files\MKVToolNix\oaadb.exe，D:\Program Files\Microsoft SQL Server\90\Tools\binn\oaadb.exe，D:\Program Files\Microsoft SQL Server\80\Tools\Binn\oaadb.exe，D:\Program Files\Microsoft SQL Server\90\DTS\Binn\oaadb.exe，访问结果均为NOT FOUND

一打开WORD，就会访问D:\DOCUME~1\wxl\LOCALS~1\Temp\INPEnhUpdate\oaadb.exe

这里内存中还会有oaadb.exe，但PID不一样。说明是有一个新的oaadb.exe运行了，然后自己又关闭了。

WORD打开oaadb.exe，oaadb运行，csrss.exe运行，oaadb运行，svchost.exe运行。

反安装OFFICE2007，删除oaadb.exe等。安装OFFICE2003。打开WORD，发现TEMP下会生成INPEnhUpdate目录（是由WORD生成的），然后找不到VOCEnhUD.exe，后面又会出现VOCEnhUD.exe，然后会提示：

EXCEL也会访问INPEnhUpdate目录！

说明OFFICE被感染，应该是被注入到加载项里面了。

assoc .doc 是 .doc=Word.Document.8

ftype Word.Document.8  是Word.Document.8="D:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE" /n /dde，都正常，说明打开方式没有被修改，而是WORD中的加载项被注入。WORD加载项里找不到VOCEnhUD.exe这些东东。

TASKLIST /M，查看WORD加载的模块：

ntdll.dll, kernel32.dll, ADVAPI32.dll,

                                RPCRT4.dll, Secur32.dll, GDI32.dll,

                                 USER32.dll, ole32.dll, msvcrt.dll,

                                 IMM32.DLL, LPK.DLL, USP10.dll, ,

                                 uxtheme.dll, Comctl32.dll, SHLWAPI.dll,

                                 MSCTF.dll, msctfime.ime, SHELL32.dll,

                                 comctl32.dll, msi.dll, riched20.dll,

                                 OLEAUT32.dll, CLBCATQ.DLL, COMRes.dll,

                                 VERSION.dll, xpsp2res.dll, SXS.DLL,

                                 , WININET.dll, Normaliz.dll,

                                 urlmon.dll, iertutil.dll, SYMINPUT.DLL,

                                 MSVBVM60.DLL, , ,

                                 , ws2_32.dll, WS2HELP.dll,

                                 RASAPI32.dll, rasman.dll, NETAPI32.dll,

                                 TAPI32.dll, rtutils.dll, WINMM.dll,

                                 USERENV.dll, msv1_0.dll, cryptdll.dll,

                                 iphlpapi.dll, sensapi.dll, mswsock.dll,

                                 rasadhlp.dll, DNSAPI.dll, ,

                                 comdlg32.dll, PINTLGNT.IME,

                                 , hnetcfg.dll, wshtcpip.dll,

                                 msimg32.dll, SETUPAPI.dll, winspool.drv,

用sigverif看，这些都经过签名了。

sigverif提示未找到的文件有：mso.dll别的机子有,SYMINPUT.DLL有，PWOffice2.dll词霸，MSGR3SC.DLL有，  别的机子没有： VOCEnh.dll，INPEnh.dll

sigverif提示未经过签名的有：FREEWB.IME有,msostyle.dll有，fppint2.dll，fppr232.dll，fppgraf2.dll，   VB6CHS.DLL

从网上找了看，发现VB6CHS.DLL不像被修改。那就是注入了这二个文件：VOCEnh.dll，INPEnh.dll,

查找VOCEnh.dll，INPEnh.dll，发现在D:\Program Files\Common Files\Office Shared里面，别的机子没有，于是删掉之。

删除system32中的相关文件。彻底查杀oaadb.exe。

这时再开WORD，TEMP目录就不会成生INPEnhUpdate目录了！成功！

再打开迅雷、迅雷看看，都不会再生成这些文件，说明这就是一个病毒，不是迅雷公司干的。