原创 发现INPEnhSvc.exe占用1GB内存

2013-8-10 21:36 974 12 12 分类: 工程师职场

 

发现INPEnhSvc.exe占用1GB内存

2013.7.18

 

PROCESS- XPLORER捕捉到:

D:\WINDOWS\system32\INPEnhSvc.exe

 

签名人:ShenZhen Thunder Networking Technologies Ltd.

签名时间:2013年7月15日 15:55:47   (星期一  没有安装什么软件  没有运行QQ)

证书路径:

  VeriSign Class 3 Public Primary Certification Authority - G5

     VeriSign Class 3 Code Signing 2010 CA

        ShenZhen Thunder Networking Technologies Ltd.

 

说明,它是由迅雷公司签名的一个文件。

 

我试验:

 

INPEnhsvc.exe会占用大量的内存,达1GB以上。关掉它后,它不定时会运行。

 

当打开任务管理器,或者Process -Explorer时,它会自动消失!!!很聪明的一个程序。但有时它会存在,不消失,就是在它存在的时候用任务管理器和PROCESS EXPLORER捕捉到它。

 

打开控制面板的“性能”,它不会消失。

 

在控制面板的“性能”里,加上“警报”,memory的Committed bytes超过2000000000,就记入应用程序事件日志中。(关掉“性能”,“警报”也会继续监视)。

 

在控制面析的“事件查看器”里查看应用程序的事件。当有事件触发后,就说明INPEnhsvc.exe运行了。

 

“wmic process where creationclassname="win32_process" get caption,executablepath”  不受影响,可以显示出INPEnhsvc.exe的路径。

INPEnhSvc.exe                 D:\WINDOWS\system32\INPEnhSvc.exe

VOCEnhSvc.exe                 D:\WINDOWS\system32\VOCEnhSvc.exe

 

tasklist 也受影响,可以显示出INPEnhSvc.exe,VOCEnhSvc.exe。

 

多运行几次tasklist,INPEnhSvc.exe,VOCEnhSvc.exe会消失。

 

用tasklist /svc ,发现INPEnhSvc.exe不见了,VOCEnhSvc.exe还在,没有“服务”。打开任务管理器后,VOCEnhSvc.exe消失。    INPEnhSvc.exe 也是没有“服务”的。

 

 

 

用tasklist /v 看,tasklist.exe的标题是OleMainThreadWndName,而很多程序的标题也是OleMainThreadWndName。

故INPEnhSvc.exe要么是判断进程名,要么就是HOOK掉查询进程名的钩子了。

将tasklist.exe 改名成tt.exe,发现可以,INPEnhSvc.exe和VOCEnhSvc.exe不会消失了,说明INPEnhSvc.exe是判断进程名来决定关闭自己与否。

 

另外,用WORD里的“关于”、“系统信息”来看,是可以看到所有运行的进程,以及路径,而且INPEnhSvc.exe不会自行关掉。  “系统信息”很好用,可以看模块。

 

另外,WMIC也不影响INPEnhSvc.exe,可以用WMIC来看进程。

 

FILEMON.exe会影响,INPEnhSvc.exe会自行消失。

 

 

发现内存中还有oaadb.exe ,路径D:\DOCUME~1\wxl\LOCALS~1\Temp\INPEnhUpdate\oaadb.exe

 

oaadb.exe不会自行消失。

 

D:\DOCUME~1\wxl\LOCALS~1\Temp\INPEnhUpdate\中还有AdbWinApi.dll,AdbWinUsbApi.dll,无法删除

 

而且D:\DOCUME~1\wxl\LOCALS~1\Temp目录中还有INPEnhSetup.exe文件,可删掉

 

还有D:\Documents and Settings\wxl\Local Settings\Temp\VOCEnhUpdate目录,内有VOCEnhUD.exe,这个目录由oaadb.exe锁定,无法删除

 

用UNLOCKER发现,D:\Documents and Settings\wxl\Local Settings\Temp\的文件adb.log由oaadb.exe锁定;IMG1.tmp文件由EXPLORER.exe锁定。无法删除。

 

adb.log内记录了abd server启动等信息。

 

电脑里还有装迅雷看看。

 

filemon发现,WINWORD、SVCHOST会访问D:\DOCUME~1\wxl\LOCALS~1\Temp\INPEnhUpdate\oaadb.exe,

 

csrss.exe会访问我的文档里的oaadb.exe,system32里的oaadb.exe,system里的oaadb.exe,windows目录里的oaadb.exe,D:\Program Files\Intel\iCLS Client\oaadb.exe,D:\WINDOWS\System32\Wbem\oaadb.exe,D:\Program Files\Intel\Intel(R) Management Engine Components\DAL\oaadb.exe,D:\Program Files\Intel\Intel(R) Management Engine Components\IPT\oaadb.exe,D:\Program Files\Real\Helix Producer Plus\oaadb.exe,D:\Program Files\MKVToolNix\oaadb.exe,D:\Program Files\Microsoft SQL Server\90\Tools\binn\oaadb.exe,D:\Program Files\Microsoft SQL Server\80\Tools\Binn\oaadb.exe,D:\Program Files\Microsoft SQL Server\90\DTS\Binn\oaadb.exe,访问结果均为NOT FOUND

 

一打开WORD,就会访问D:\DOCUME~1\wxl\LOCALS~1\Temp\INPEnhUpdate\oaadb.exe

这里内存中还会有oaadb.exe,但PID不一样。说明是有一个新的oaadb.exe运行了,然后自己又关闭了。

 

WORD打开oaadb.exe,oaadb运行,csrss.exe运行,oaadb运行,svchost.exe运行。

 

反安装OFFICE2007,删除oaadb.exe等。安装OFFICE2003。打开WORD,发现TEMP下会生成INPEnhUpdate目录(是由WORD生成的),然后找不到VOCEnhUD.exe,后面又会出现VOCEnhUD.exe,然后会提示:

 

EXCEL也会访问INPEnhUpdate目录!

 

说明OFFICE被感染,应该是被注入到加载项里面了。

 

assoc .doc 是 .doc=Word.Document.8

ftype Word.Document.8  是Word.Document.8="D:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE" /n /dde,都正常,说明打开方式没有被修改,而是WORD中的加载项被注入。WORD加载项里找不到VOCEnhUD.exe这些东东。

 

TASKLIST /M,查看WORD加载的模块:

ntdll.dll, kernel32.dll, ADVAPI32.dll,

                                RPCRT4.dll, Secur32.dll, GDI32.dll,

                                 USER32.dll, ole32.dll, msvcrt.dll,

                                 IMM32.DLL, LPK.DLL, USP10.dll, ,

                                 uxtheme.dll, Comctl32.dll, SHLWAPI.dll,

                                 MSCTF.dll, msctfime.ime, SHELL32.dll,

                                 comctl32.dll, msi.dll, riched20.dll,

                                 OLEAUT32.dll, CLBCATQ.DLL, COMRes.dll,

                                 VERSION.dll, xpsp2res.dll, SXS.DLL,

                                 , WININET.dll, Normaliz.dll,

                                 urlmon.dll, iertutil.dll, SYMINPUT.DLL,

                                 MSVBVM60.DLL, , ,

                                 , ws2_32.dll, WS2HELP.dll,

                                 RASAPI32.dll, rasman.dll, NETAPI32.dll,

                                 TAPI32.dll, rtutils.dll, WINMM.dll,

                                 USERENV.dll, msv1_0.dll, cryptdll.dll,

                                 iphlpapi.dll, sensapi.dll, mswsock.dll,

                                 rasadhlp.dll, DNSAPI.dll, ,

                                 comdlg32.dll, PINTLGNT.IME,

                                 , hnetcfg.dll, wshtcpip.dll,

                                 msimg32.dll, SETUPAPI.dll, winspool.drv,

用sigverif看,这些都经过签名了。

sigverif提示未找到的文件有:mso.dll别的机子有,SYMINPUT.DLL有,PWOffice2.dll词霸,MSGR3SC.DLL有,  别的机子没有: VOCEnh.dll,INPEnh.dll

sigverif提示未经过签名的有:FREEWB.IME有,msostyle.dll有,fppint2.dll,fppr232.dll,fppgraf2.dll,   VB6CHS.DLL

 

从网上找了看,发现VB6CHS.DLL不像被修改。那就是注入了这二个文件:VOCEnh.dll,INPEnh.dll,

 

查找VOCEnh.dll,INPEnh.dll,发现在D:\Program Files\Common Files\Office Shared里面,别的机子没有,于是删掉之。

删除system32中的相关文件。彻底查杀oaadb.exe。

这时再开WORD,TEMP目录就不会成生INPEnhUpdate目录了!成功!

 

再打开迅雷、迅雷看看,都不会再生成这些文件,说明这就是一个病毒,不是迅雷公司干的。

 

 

文章评论0条评论)

登录后参与讨论
我要评论
0
12
关闭 站长推荐上一条 /2 下一条