发现INPEnhSvc.exe占用1GB内存
2013.7.18
PROCESS- XPLORER捕捉到:
D:\WINDOWS\system32\INPEnhSvc.exe
签名人:ShenZhen Thunder Networking Technologies Ltd.
签名时间:2013年7月15日 15:55:47 (星期一 没有安装什么软件 没有运行QQ)
证书路径:
VeriSign Class 3 Public Primary Certification Authority - G5
VeriSign Class 3 Code Signing 2010 CA
ShenZhen Thunder Networking Technologies Ltd.
说明,它是由迅雷公司签名的一个文件。
我试验:
INPEnhsvc.exe会占用大量的内存,达1GB以上。关掉它后,它不定时会运行。
当打开任务管理器,或者Process -Explorer时,它会自动消失!!!很聪明的一个程序。但有时它会存在,不消失,就是在它存在的时候用任务管理器和PROCESS EXPLORER捕捉到它。
打开控制面板的“性能”,它不会消失。
在控制面板的“性能”里,加上“警报”,memory的Committed bytes超过2000000000,就记入应用程序事件日志中。(关掉“性能”,“警报”也会继续监视)。
在控制面析的“事件查看器”里查看应用程序的事件。当有事件触发后,就说明INPEnhsvc.exe运行了。
“wmic process where creationclassname="win32_process" get caption,executablepath” 不受影响,可以显示出INPEnhsvc.exe的路径。
INPEnhSvc.exe D:\WINDOWS\system32\INPEnhSvc.exe
VOCEnhSvc.exe D:\WINDOWS\system32\VOCEnhSvc.exe
tasklist 也受影响,可以显示出INPEnhSvc.exe,VOCEnhSvc.exe。
多运行几次tasklist,INPEnhSvc.exe,VOCEnhSvc.exe会消失。
用tasklist /svc ,发现INPEnhSvc.exe不见了,VOCEnhSvc.exe还在,没有“服务”。打开任务管理器后,VOCEnhSvc.exe消失。 INPEnhSvc.exe 也是没有“服务”的。
用tasklist /v 看,tasklist.exe的标题是OleMainThreadWndName,而很多程序的标题也是OleMainThreadWndName。
故INPEnhSvc.exe要么是判断进程名,要么就是HOOK掉查询进程名的钩子了。
将tasklist.exe 改名成tt.exe,发现可以,INPEnhSvc.exe和VOCEnhSvc.exe不会消失了,说明INPEnhSvc.exe是判断进程名来决定关闭自己与否。
另外,用WORD里的“关于”、“系统信息”来看,是可以看到所有运行的进程,以及路径,而且INPEnhSvc.exe不会自行关掉。 “系统信息”很好用,可以看模块。
另外,WMIC也不影响INPEnhSvc.exe,可以用WMIC来看进程。
FILEMON.exe会影响,INPEnhSvc.exe会自行消失。
发现内存中还有oaadb.exe ,路径D:\DOCUME~1\wxl\LOCALS~1\Temp\INPEnhUpdate\oaadb.exe
oaadb.exe不会自行消失。
D:\DOCUME~1\wxl\LOCALS~1\Temp\INPEnhUpdate\中还有AdbWinApi.dll,AdbWinUsbApi.dll,无法删除
而且D:\DOCUME~1\wxl\LOCALS~1\Temp目录中还有INPEnhSetup.exe文件,可删掉
还有D:\Documents and Settings\wxl\Local Settings\Temp\VOCEnhUpdate目录,内有VOCEnhUD.exe,这个目录由oaadb.exe锁定,无法删除
用UNLOCKER发现,D:\Documents and Settings\wxl\Local Settings\Temp\的文件adb.log由oaadb.exe锁定;IMG1.tmp文件由EXPLORER.exe锁定。无法删除。
adb.log内记录了abd server启动等信息。
电脑里还有装迅雷看看。
filemon发现,WINWORD、SVCHOST会访问D:\DOCUME~1\wxl\LOCALS~1\Temp\INPEnhUpdate\oaadb.exe,
csrss.exe会访问我的文档里的oaadb.exe,system32里的oaadb.exe,system里的oaadb.exe,windows目录里的oaadb.exe,D:\Program Files\Intel\iCLS Client\oaadb.exe,D:\WINDOWS\System32\Wbem\oaadb.exe,D:\Program Files\Intel\Intel(R) Management Engine Components\DAL\oaadb.exe,D:\Program Files\Intel\Intel(R) Management Engine Components\IPT\oaadb.exe,D:\Program Files\Real\Helix Producer Plus\oaadb.exe,D:\Program Files\MKVToolNix\oaadb.exe,D:\Program Files\Microsoft SQL Server\90\Tools\binn\oaadb.exe,D:\Program Files\Microsoft SQL Server\80\Tools\Binn\oaadb.exe,D:\Program Files\Microsoft SQL Server\90\DTS\Binn\oaadb.exe,访问结果均为NOT FOUND
一打开WORD,就会访问D:\DOCUME~1\wxl\LOCALS~1\Temp\INPEnhUpdate\oaadb.exe
这里内存中还会有oaadb.exe,但PID不一样。说明是有一个新的oaadb.exe运行了,然后自己又关闭了。
WORD打开oaadb.exe,oaadb运行,csrss.exe运行,oaadb运行,svchost.exe运行。
反安装OFFICE2007,删除oaadb.exe等。安装OFFICE2003。打开WORD,发现TEMP下会生成INPEnhUpdate目录(是由WORD生成的),然后找不到VOCEnhUD.exe,后面又会出现VOCEnhUD.exe,然后会提示:
EXCEL也会访问INPEnhUpdate目录!
说明OFFICE被感染,应该是被注入到加载项里面了。
assoc .doc 是 .doc=Word.Document.8
ftype Word.Document.8 是Word.Document.8="D:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE" /n /dde,都正常,说明打开方式没有被修改,而是WORD中的加载项被注入。WORD加载项里找不到VOCEnhUD.exe这些东东。
TASKLIST /M,查看WORD加载的模块:
ntdll.dll, kernel32.dll, ADVAPI32.dll,
RPCRT4.dll, Secur32.dll, GDI32.dll,
USER32.dll, ole32.dll, msvcrt.dll,
IMM32.DLL, LPK.DLL, USP10.dll, ,
uxtheme.dll, Comctl32.dll, SHLWAPI.dll,
MSCTF.dll, msctfime.ime, SHELL32.dll,
comctl32.dll, msi.dll, riched20.dll,
OLEAUT32.dll, CLBCATQ.DLL, COMRes.dll,
VERSION.dll, xpsp2res.dll, SXS.DLL,
, WININET.dll, Normaliz.dll,
urlmon.dll, iertutil.dll, SYMINPUT.DLL,
MSVBVM60.DLL, , ,
, ws2_32.dll, WS2HELP.dll,
RASAPI32.dll, rasman.dll, NETAPI32.dll,
TAPI32.dll, rtutils.dll, WINMM.dll,
USERENV.dll, msv1_0.dll, cryptdll.dll,
iphlpapi.dll, sensapi.dll, mswsock.dll,
rasadhlp.dll, DNSAPI.dll, ,
comdlg32.dll, PINTLGNT.IME,
, hnetcfg.dll, wshtcpip.dll,
msimg32.dll, SETUPAPI.dll, winspool.drv,
用sigverif看,这些都经过签名了。
sigverif提示未找到的文件有:mso.dll别的机子有,SYMINPUT.DLL有,PWOffice2.dll词霸,MSGR3SC.DLL有, 别的机子没有: VOCEnh.dll,INPEnh.dll
sigverif提示未经过签名的有:FREEWB.IME有,msostyle.dll有,fppint2.dll,fppr232.dll,fppgraf2.dll, VB6CHS.DLL
从网上找了看,发现VB6CHS.DLL不像被修改。那就是注入了这二个文件:VOCEnh.dll,INPEnh.dll,
查找VOCEnh.dll,INPEnh.dll,发现在D:\Program Files\Common Files\Office Shared里面,别的机子没有,于是删掉之。
删除system32中的相关文件。彻底查杀oaadb.exe。
这时再开WORD,TEMP目录就不会成生INPEnhUpdate目录了!成功!
再打开迅雷、迅雷看看,都不会再生成这些文件,说明这就是一个病毒,不是迅雷公司干的。
文章评论(0条评论)
登录后参与讨论