垂吊长春花图片:ssaddr.dll 是什么?

来源:百度文库 编辑:中科新闻网 时间:2024/04/29 12:03:06

文章为原创文章,版权归作者乘云飞扬所有,转载请务必说明

对于经常上网的朋友们,我想没有谁是不用QQ的吧?的确,QQ已经成为各位网友交流不可缺少的工具。可是大家有没有发现,当你往IE地址栏中键入中文时,会莫明其妙地转到腾讯公司的“搜搜”主页呢?最可恨的是有时候键入域名,它也自作聪明地转到了这个页面,结果想要访问的网站却访问不了!也许你已经猜到了,平时可爱的QQ现在也耍流氓了,为了抢占IE默认搜索页,QQ向IE加载了流氓插件,使IE默认搜索页指向了自己,即使你到注册表中修改默认搜索页也无效。现在就让我们看清这个流氓的真面目吧!
出现这种情况后,笔者第一时间用Hijackthis扫描,结果很快就发现了下面可疑的项目:(笔者使用的XP系统安装在D盘)
R3 - URLSearchHook: Tencent SearchHook - {DB8B2393-7A6C-4C76-88CE-6B1F6FF6FFE9} - D:\Program Files\TENCENT\Adplus\SSAddr.dll
O2 - BHO: Tencent Browser Helper - {0C7C23EF-A848-485B-873C-0ED954731014} - D:\Program Files\TENCENT\Adplus\SSAddr.dll
O2 - BHO: (no name) - {669751ED-D558-49AE-B01A-3B374CC7910E} - D:\WINDOWS\System32\ssup.dll
O4 - HKLM\..\Run: [stup.exe] D:\PROGRA~1\TENCENT\Adplus\stup.exe
从扫描结果来看,QQ向IE加载了两个流氓控件和监控了IE的默认搜索页,同时向启动项中加入了STUP.exe。这时候不要急于用Hijackthis修复,因为这个流氓软件还在运行,会自动恢复这些项目的。所以我们先摸清这个流氓的底细,一举进行清除。
首先按照扫描结果找到D:\Program Files\TENCENT\这个文件夹,可以看到有Adplus这个文件夹,如果你还使用腾讯其他服务的话可能还会有其他的文件夹。打开Adplus后发现下列的文件:
Adplus.dll
scrax.dll
SSAddr.dll
stdtbh.dat
stup.exe
看来不仅仅加载了SSAddr.dll,还可能Adplus.dll和scrax.dll插入到其它进程中,至于EXE文件就只有一个。打开ICESWORD,发现进程中没有STUP.exe进程,由此可估计Stup.exe只是引子(Loader),负责将这些DLL文件插入到其它进程中,而流氓软件的主要功能都由这些DLL文件实现的。这里提醒一句的是查看进程时最好不要用系统自带的任务管理器,因为现在很多木马和流氓软件都会加载底层驱动,通过HOOK技术隐藏自身进程,这样的话用任务管理器是看不到问题的。同时在ICESWORD中没有发现隐藏进程,在SSDT中也没有发现加载底层驱动,由此可见这个流氓软件只是使用了线程插入技术,减少了许多麻烦。(因为象划词搜索加载底层驱动的话要到DOS下才能删除)
再打开D:\WINDOWS\System32\文件夹,果然找到了ssup.dll这个文件,查看属性,从创建日期和版本信息可以确定也是安装QQ时生成的文件,是流氓软件的一部分。
摸清这个流氓的底后,现在可以动手查杀了,查杀的三个步骤是:清除内存中的流氓软件----删除硬盘中的流氓文件----修复注册表。这三个步骤也是查杀木马所必须的。因为这个流氓软件采用线程插入技术,所以使用ICESWORD的模块功能是必不可少的。但是我们怎样知道这些DLL文件插入到哪些进程中呢?一个一个进程查看模块岂不是累死人?这就需要用到ICESWORD的一个辅助软件:IsHelp.exe(这个软件附带在ICESWORD1.12版中,如果你没有这个辅助软件,也可以用Process Explorer这个软件进行DLL模快的查找)。使用这个辅助软件时一定要先运行ICESWORD,因为里边的所有功能都是依赖ICESWORD来执行的。打开IsHelp后,打开右下角的“查找模块”,输入DLL文件名SSAddr.dll,发现是插入到PID为2036的进程中,再根据PID到ICESWORD中一看,原来是插入到explorer进程中了。利用ICESWORD的模快功能,将SSAddr.dll强行卸除。不过很多时候强行卸除后explorer进程会出错而被迫关闭,这时打开的所有文件夹也会关闭,系统会重新启动一个新的explorer进程,这时候SSAddr.dll又被加载到explorer中。解决办法是出现出错对话框后先不要按确定,利用ICESWORD的文件夹功能删除SSAddr.dll,删除后再按确定让系统重新启动explorer进程。其他的DLL文件也用这种方法从进程中清除,清除完毕后就可以在硬盘中删除上面列出的文件了。假如删除某个DLL文件时提示正在被使用的话,说明这个DLL文件还插入在其他进程中,请用上边的方法再查找一次。删除文件后你也可以连Adplus这个文件夹一同删除,不过考虑到以后使用QQ和升级QQ时还有可能被重新安装这个流氓软件。如果你的分区是NTFS的话,可以保留这个空文件夹,然后取消所有用户对这个文件夹写入的权限,这样这个流氓软件再也不能安装到你的电脑里了。如果你用FAT32的话就删除这个文件夹吧。
删除文件后就是修复注册表,最简单的方法是用Hijackthis修复上边的项目。然后用Hijackthis设置你自己的默认搜索页,到此,这个流氓软件已经被驱逐出你的电脑了。
在这里我为国内的搜索引擎感到悲衰,从百度,中搜……到腾讯的搜搜,无一例外都用上了流氓软件,难道中国的搜索引擎永远都比不上GOOGLE吗?

ssaddr.dll 是什么? SSAddr.dll和BaiduBar.dll是什么,怎么也杀不掉呀,我用的是江民2006,能告诉我怎么杀掉吗? 什么是SSAddr.dll怎么么删除 求助:我用2006江民杀毒检测到2个(SSAddr.dll和Ati2evxx.dll)未知病毒!请问这是不是病毒啊?? 如何删除ssaddr.all 如何删除ssaddr.all .dll是什么 dll是什么 dll是什么? DLL是什么?