搜狗流氓插件so.dll

看网上的一些评测，搜狗是最强悍的，但是，搜狗却弄了一个劫持浏览器的流氓插件so.dll，你在IE7里不管怎么禁用这个加载项都禁用不了，还有就是搜狗的自动更新问题，你不管怎么设置，都会自动更新词库

您好，我们这边确认输入法是没有这个文件的，估计您是中了病毒还是别的软件的问题？请您使用杀毒软件清理一遍系统或者重新安装系统再使用输入法试试看，谢谢~

搜狗拼音输入法 发表于 2009-5-13 10:47

so.dll有搜狗的数字签名，虽然假签名也很容易做，但是so.dll劫持了浏览器后，在浏览器地址栏里输入中文或者字母等非网址字符，搜索时却是用搜狗的搜索引擎，网址明明白白的写着搜狗的网址http://www.sogou.com/sogou?query ... 4c67601f7c555a-0009，你们说，这个网址是不是搜狗的网址。搜狗难道也跟百度谷歌一样推出广告服务了？希望官方站出来说明一下

卸载了搜狗拼音输入法就没有出现过so.dll了

如果先删除so.dll，再卸载搜狗输入法，鼠标还是一直闪烁，要正常卸载搜狗输入法才行，或者重新注册so.dll就不会出现鼠标闪烁的情况了

你在哪里下载的输入法？我全硬盘搜索也没有找到SO.DLL文件

全硬盘搜索后，我也没有发现有这个dll文件。我安装的是4.1d版本。

楼主就是一个瞎乱叫的枪手
鉴定完毕

确实没见过so.dll。。。。

您好，我们这边确认输入法是没有这个文件的，估计您是中了病毒还是别的软件的问题？请您使用杀毒软件清理一遍系统或者重新安装系统再使用输入法试试看，谢谢~

搜狗拼音输入法 发表于 2009-5-13 10:47

估计是中毒的多

确实有这个问题啊，我的卡巴老在跳so.dll劫持浏览器

这个不是搜狗输入法的文件

这个帖子为什么还在？种种迹象表明根本不是搜狗输入法的，请版主在第一个帖子里编辑一下，澄清一下事实。

原创】关于恶意驱动木马foxrar.exe的查杀方法★★★★★
运行木马时，未见任何杀毒软件报毒。

木马行为：
foxrar.exe 运行后将文件释放到当前用户的临时文件夹内。
C:\DOCUME~1\LIGHTN~1\LOCALS~1\Temp\winrar.sys
C:\DOCUME~1\LIGHTN~1\LOCALS~1\Temp\so.dll
注册驱动（Autoruns报）
HKLM\System\CurrentControlSet\Services   
+ squell1            File not found: C:\DOCUME~1\LIGHTN~1\LOCALS~1\Temp\winrar.sys

注册成功后自杀????也许有DEBUG技术?
也许采用了先进的隐藏术,ICESWORD都没有看到这个winrar.sys
看来也许真被删除了.


临时解决方法:

用Autoruns修复
HKLM\System\CurrentControlSet\Services   
+ squell1            File not found: C:\DOCUME~1\LIGHTN~1\LOCALS~1\Temp\winrar.sys

运行REGEDIT,删除:
[HKLM\System\controlset00X\squell]      //其中X为1-5的数字
重启系统后清空临时文件夹.
删除so.dll

--------------------------------------------------------------------------------------------------------------------------------

我用的4.2 也没有带这个文件 LZ应该是中了这个木马了

我电脑里曾经装过搜狗拼音，后来卸载了，也遇到和楼主一样的so.dll劫持问题：

%windir%\system32\so.dll
下面是lister的文件属性：

C:\WINDOWS\system32\so.dll
on Microsoft Windows XP Workstation version 5.2600


File Version Information :

Version language : English (United States)
      Comments        :
      CompanyName        : Sogou.com
      FileDescription        : Address Bar Search
      FileVersion        : 1, 0, 1, 7
      InternalName        : so.dll
      LegalCopyright        : Sogou.com Inc. (C) All rights reserved.
      LegalTrademarks        : Sogou
      OLESelfRegister        : Address Bar Search
      OriginalFilename        : so.dll
      PrivateBuild        :
      ProductName        : Address Bar Search
      ProductVersion        : 2, 5, 0, 0
      SpecialBuild        :

Creation Date        : 2005/08/01  08:00:00
Last Modif. Date        : 2005/08/01  08:00:00
Last Access Date        : 2009/06/28  09:43:31
FileSize        : 135168 bytes ( 132.000 KB,  0.129 MB )
FileVersionInfoSize        : 1964 bytes  
File type        : Dynamic Link Library (0x2)
Target OS        : Win32 (0x4)
File/Product version        : 1.0.1.7 / 2.5.0.0
Language         : English (United States) (0x409)
Character Set        : 1200 (ANSI - Unicode (BMP of ISO 10646)) (0x4B0)

Build Information :
Debug Version        : no
Patched Version        : no
Prerelease Version        : no
Private Version        : no
Special Build        : no

已经确认，是安装了Maxdos 7.1的问题，因为maxdos需要钱，所以搜狗就与迈思达成协议，在maxdos里捆绑sougou的流氓插件，参见：http://pzz.cn/bbs/simple/index.php?t64336.html

MAXDOS 7.1 安装以后会在系统盘的 system32文件夹 释放 so.dll 、wmiprvse.exe 两个文件，其中so.dll会在IE浏览器中注册，在 system32\drivers 文件夹释放Knlrun.sys文件，Knlrun.sys 会注册成系统驱动。

当在浏览器地址栏中输入了不能解析的域名，搜索词等，so.dll就会对浏览器进行劫持，转向 http://www.sogou.com/ 进行搜索。这个东西你在浏览器加载项里禁止是没有效果的，wmiprvse.exe ，Knlrun.sys 会实时的进行恢复，就是我们常说的流氓软件行为，赶都赶不走。

知道了原理，卸载就方便了，

1、首先关闭电脑里的所有窗口程序，特别是IE，IE开着的时候是无法删除so.dll的
2、找到并删除 system32\drivers里的Knlrun.sys， system32\wmiprvse.exe、system32\so.dll 等三个文件
3、到微软公司下载：
     http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx

    Autoruns 这个东西。
   打开autoruns，
     在Internet Explorer选项卡的 HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks  里找到
     AddrHelper Class   有Sogou字样的那行，右击，选Delete
   
   在Drivers 里找到 knlrun   的那一样，右击，选Delete

4、重启计算机，和搜狗流氓软件说拜拜。

狗改不了吃屎，为了提升自己的搜索引擎的搜索市场，就必须靠流氓吗，浏览器劫持？？！！！不要脸的搜狐！网易的有道从来没有干过这样的事情，虽然很多时候搜索结果也不理想，但我都是默认有道。

详情请见我的分析：http://glyx.blogbus.com/logs/41602957.html

我从来没有发现过这样的情况

以后下载输入法尽量在官网下。。。。