Adware.NDotNet

Página de impresión

Actualizado: February 13, 2007 11:42:10 AM
Tipo: Adware
Versión: 3.8
Creador: NewDotNet
Impacto del riesgo: Low
Nombres de archivos: Newdotnet3_88.dkk Nnezt388.exe NDNuninstall6_38.exe tldctl2.inf tldctl2.ocx newdotnet6_38.dll
Sistemas afectados: Windows

Comportamiento


Adware.NDotNet es un programa adware que asocia nombres de dominio inexistentes con contenido de patrocinadores. Cuando un usuario final inserta una palabra clave en la barra de navegación o trata de corregir un error al escribir una dirección URL, el adware lo direcciona a la página de patrocinio.

El componente adware funciona como un Objeto de ayuda para navegación (Browser Helper Object).

Síntomas


Su programa antivirus Symantec detecta Adware.NDotNet.

Transmisión


Este componente debe ser instalado o desinstalado manualmente como un componente de otro programa instalado manualmente.

Fechas de protección antivirus

  • Versión inicial de Rapid Release October 02, 2014 revisión 022
  • Última versión de Rapid Release April 17, 2018 revisión 037
  • Versión inicial de Daily Certified February 05, 2004 revisión 002
  • Última versión de Daily Certified April 18, 2018 revisión 005
  • Fecha de lanzamiento inicial de Weekly Certified February 11, 2004

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Actualizado: February 13, 2007 11:42:10 AM
Tipo: Adware
Versión: 3.8
Creador: NewDotNet
Impacto del riesgo: Low
Nombres de archivos: Newdotnet3_88.dkk Nnezt388.exe NDNuninstall6_38.exe tldctl2.inf tldctl2.ocx newdotnet6_38.dll
Sistemas afectados: Windows


Cuando Adware.NDotNet está instalado, realiza las acciones siguientes:

  1. Crea la carpeta %ProgramFiles%\NewDotNet, y copia archivos dentro de ella.

    Nota: %ProgramFiles% es una variable para hacer referencia a la carpeta Archivos de programa. Por defecto, se trata de C:\Program Files.

  2. Añade el valor:

    "New.net Startup" = "rundll32 C:\Progra~1\Newdot~1\Newdot~1.dll, NewDotNetStartup"

    a la siguiente sub-clave de registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    con lo que este riesgo se ejecuta cada vez que inicia Windows.

  3. Crea las siguientes sub-claves de registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
    \CurrentVersion\Uninstall\New.net
    HKEY_LOCAL_MACHINE\SOFTWARE\New.net
    HKEY_CLASSES_ROOT\CLSID\{4A2AACF3-ADF6-11D5-98A9-00E018981B9E
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Tldctl2.Tldctl2c
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Tldctl2.Tldctl2c.1
    HKEY_CLASSES_ROOT\Tldctl2.URLLink
    HKEY_CLASSES_ROOT\Tldctl2.URLLink.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
    \{4A2AACF3-ADF6-11D5-98A9-00E018981B9E}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
    \{DD521A1D-1F98-11D4-9676-00E018981B9E}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Tldctl2.URLLink
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Tldctl2.URLLink.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \Explorer\Browser Helper Objects\{4A2AACF3-ADF6-11D5-98A9-00E018981B9E}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \ModuleUsage\C:/WINDOWS/Downloaded Program Files/tldctl2.ocx

  4. Modifica las siguientes sub-claves de registro:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2
    \Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2
    \Parameters\Protocol_Catalog9\Catalog_Entries\000000000012
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2
    \Parameters\Protocol_Catalog9\Catalog_Entries\000000000012
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2
    \Parameters\Protocol_Catalog9\Catalog_Entries\000000000014
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2
    \Parameters\Protocol_Catalog9\Catalog_Entries\000000000015

    para asegurar que el riesgo sea utilizado cada que se realiza un acceso a Internet.

  5. Trata de actualizarse automáticamente así mismo.

    Notas:
    • Adware.NDotNet se ejecuta como un Objeto de ayuda en la navegación (Browser Helper Object), lo que significa que el componente del adware recibe información referente a las acciones internas de Internet Explorer. Este Browser Helper Object requiere de Internet Explorer 4.0 o versión posterior para funcionar.
    • Este componente de adware registra los hábitos de navegación en Internet, sin utilizar algún parámetro de identificación. Parece que no registra información personal.


Actualizado: February 13, 2007 11:42:10 AM
Tipo: Adware
Versión: 3.8
Creador: NewDotNet
Impacto del riesgo: Low
Nombres de archivos: Newdotnet3_88.dkk Nnezt388.exe NDNuninstall6_38.exe tldctl2.inf tldctl2.ocx newdotnet6_38.dll
Sistemas afectados: Windows


Este adware se debe instalar de forma manual. Sin embargo, existen varios programas que contienen el Adware.NDotNet dentro de ellos y de esa forma el programa también es instalado.

Nota: La eliminación de este adware puede provocar que el programa que lo instaló, deje de funcionar. Durante la desinstalación se identifica generalmente que el programa, dejará de trabajar al termino de la desinstalación.

Herramienta de eliminación
Symantec Security Response ha desarrollado una herramienta para eliminar este riesgo a la seguridad. Utilice primero esta herramienta, ya que es la manera más fácil de eliminar este riesgo.

La herramienta se encuentra en: http://securityresponse.symantec.com/avcenter/FxNdotN.exe

La versión actual de la herramienta es 1.0.3 y tendrá una firma digital equivalente al 28 de octubre de 2005 08:58:22 AM PST.

Nota:
La fecha y la hora que aparezcan se ajustarán a su zona horaria, en caso de que su equipo no esté configurado según la zona horaria del Pacífico.

Se ha reportado que un equipo con este riesgo puede que tenga instalado algún otro riesgo a la seguridad. Symantec recomienda seguir los siguientes pasos:

  1. Ejecuta la herramienta de eliminación.
  2. Actualizar las definiciones de virus, de su programa Symantec por medio de LiveUpdate.
  3. Realizar un análisis complete en busca de virus para detectar algún posible riesgo a la seguridad del equipo.
  4. Si el análisis detecta algún riesgo a la seguridad de su equipo, busque la herramienta de eliminación correspondiente en http://securityresponse.symantec.com/avcenter/security.risks.tools.list.html
  5. En caso de que no exista una herramienta de eliminación para ese riesgo a la seguridad, siga las instrucciones listadas en el reporte.

Eliminación manual

Las instrucciones siguientes pertenecen a todos los productos antivirus de Symantec que ofrezcan soporte la detección de riesgo a la seguridad.
  1. Actualice las definiciones de virus.
  2. Desinstale el riesgo a la seguridad.
  3. Ejecute un análisis completo del sistema.
  4. Elimina cualquier valor agregado al registro de Windows.
Si necesita información sobre cómo llevar a cabo estos pasos, lea las instrucciones a continuación.

1. Para actualizar las definiciones de virus
Para obtener las definiciones más recientes, abra su programa de Symantec y ejecute LiveUpdate.

2. Para desinstalar el Riesgo a la seguridad
  1. Realice una de estas acciones:
    1. En la barra de tareas de Windows 98:
      1. Haga clic en Inicio > Configuración > Panel de control.
      2. En el Panel de control de Windows, haga dos veces clic en Agregar/Quitar programas.

    2. En la barra de tareas de Windows Me:
      1. Haga clic en Inicio > Configuración > Panel de control.
      2. En el Panel de control de Windows, haga dos veces clic en Agregar/Quitar programas.
        Si no ve el icono Agregar/Quitar programas, haga clic en "...ver todas las opciones del Panel de control".

    3. En la barra de tareas de Windows 2000:
      Predefinidamente, Windows 2000 está configurado de la misma manera que Windows 98, por lo que puede seguir las instrucciones para Windows 98. En caso contrario, haga clic en Inicio, vaya a Configuración > Panel de control, y después en Agregar/Quitar programas.

    4. En la barra de tareas de Windows XP:
      1. Haga clic en Inicio > Panel de control.
      2. En el Panel de control de Windows, haga dos veces clic en Agregar o Quitar programas.

  2. Haga clic en New.net Domains 3.88.


    Nota:
    Puede que tenga que recorrer la barra para ver la lista completa.

  3. Haga clic en Agregar/Quitar, Cambiar/Quitar, o Eliminar (esto varia con el sistema operativo). Siga las instrucciones.

    Nota: Después de ejecutar Agregar/Quitar programas, todos los archivos habrán sido eliminados. Deberá hacer una análisis completo del sistema en busca de virus, para asegurarse de la eliminación. Es posible que aún encuentre infecciones después de hacer ejecutar Agregar/Quitar programas.

3. Para ejecutar un análisis en busca de virus
  1. Abra su programa antivirus de Symantec, y después ejecute una análisis completo del sistema.
  2. Si se detectan archivos infectados, dependiendo de la versión de su programa, puede ver una o más de las opciones siguientes:

    Nota: Esto aplica solamente a las versiones del Norton AntiVirus que ofrecen soporte la detección de riesgos a la seguridad. Si usted cuenta con una versión de Symantec AntiVirus Corporate Edition que ofrezca soporte la detección de riesgos a la seguridad, y la detección de riesgos a la seguridad se ha activado, usted verá solamente un cuadro de mensaje que reportará los resultados del análisis. Si usted no está seguro, póngase en contacto con su administrador de red.
    • Excluya (no recomendado): Si usted hace clic en este botón, hará que el riesgo ya no sea perceptible. Es decir, el programa antivirus mantendrá el riesgo a la seguridad en su equipo y no lo detectará más en posteriores análisis de su equipo.

    • Ignorar u omitir: Esta opción pide al explorador no hacer caso del riesgo sólo para este análisis. Será detectado la próxima vez que usted ejecute un análisis en busca de virus.

    • Cancelar: Esta opción es nueva en Norton Antivirus 2005. Se utiliza cuando Norton Antivirus 2005 ha determinado que no puede suprimir un riesgo a la seguridad. Esta opción de cancelar le pide al análisis no hacer caso del riesgo sólo para este análisis, y así, el riesgo será detectado la próxima vez que usted ejecute un análisis.

      Para suprimir realmente el riesgo a la seguridad:
      • Haga clic sobre el nombre del archivo (debajo de la columna del nombre de archivo).
      • En el cuadro información del elemento que aparece, anote la ruta completa del archivo y el nombre del archivo.
      • Después con el Explorador de Windows busque y elimine el archivo.

        Si Windows reporta que no puede ser eliminado el archivo, quiere decir que está en uso. En este caso, siga las instrucciones de la página, reinicie el equipo en Modo seguro, y elimine los archivos utilizando el Explorador de Windows. Reinicie el equipo en Modo normal.

    • Eliminar: Esta opción tratará de eliminar los archivos detectados. En algunos casos, no podrá llevarse a acabo esta acción.
      • Si usted ve un mensaje, la "Eliminación falló" (o un mensaje similar), elimine manualmente el archivo.
      • Haga clic sobre el nombre del archivo del riesgo que está debajo de la columna del nombre del archivo.
      • En el cuadro información del elemento que aparece, anote la ruta completa del archivo y el nombre del archivo.
      • Después con el Explorador de Windows busque y elimine el archivo.

        Si Windows reporta que no puede ser eliminado el archivo, quiere decir que está en uso. En este caso, siga las instrucciones de la página, reinicie el equipo en Modo seguro, y elimine los archivos utilizando el Explorador de Windows. Reinicie el equipo en Modo normal.
Importante: Si no puede iniciar su producto antivirus Symantec o el producto reporta que no puede eliminar el archivo infectado, tendrá que detener los servicios del gusano para poderlo eliminar. Para hacer esto, realice un análisis de virus del equipo en Modo seguro. Si desea instrucciones detalladas, por favor consulte el documento Cómo iniciar su equipo en Modo seguro . Una vez que haya iniciado el equipo en Modo seguro, ejecute de nuevo un análisis en busca de virus.

Una vez que haya eliminado los archivos, reinicie el equipo en modo Normal y continúe con la siguiente sección.

Puede que se presenten mensajes de advertencia al momento de que reinicie el equipo, dado que el riesgo ha quedado eliminado en este momento. Por favor ignore esos mensajes y haga clic en Aceptar. Estos mensajes de error no volverán a presentarse posteriormente, una vez que haya completado las instrucciones de eliminación de este gusano. Los mensaje de error pueden ser similares a los siguientes:

Asunto: [Ruta de acceso al archivo]
Cuerpo del mensaje: Windows no puede encontrar [nombre de archivo]. Asegúrese de haber escrito el nombre correctamente e inténtelo de nuevo. Para buscar un archivo, haga clic en el botón Inicio y después en buscar.

4. Para eliminar los valores del Registro de Windows
Importante: Symantec recomienda insistentemente realizar una copia de respaldo del registro antes de efectuar cualquier cambio. Los cambios incorrectos en el registro pueden provocar pérdidas permanentes de datos o archivos dañados. Modifique sólo las claves que se indiquen. Por favor consulte el documento: Cómo hacer una copia de respaldo del Registro de Windows .
  1. Haga clic en Inicio > Ejecutar.
  2. Escriba  regedit

    A continuación, haga clic en Aceptar.

    Nota: Si el Editor del registro no se puede abrir, puede ser que el riesgo haya modificado en registro para evitar que sea accedido por medio del Editor. Security Response ha desarrollado una herramienta para resolver este problema. Descargue y ejecute esta herramienta, y prosiga con este proceso.

  3. Desplácese hasta la siguiente sub-clave:

    HEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  4. En el panel derecho, elimine el valor:

    "New.net Startup" = "rundll32 C:\Progra~1\Newdot~1\Newdot~1.dll, NewDotNetStartup"

  5. Busque y elimine las sub-claves:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
    \CurrentVersion\Uninstall\New.net
    HKEY_LOCAL_MACHINE\SOFTWARE\New.net
    HKEY_CLASSES_ROOT\CLSID\{4A2AACF3-ADF6-11D5-98A9-00E018981B9E
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Tldctl2.Tldctl2c
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Tldctl2.Tldctl2c.1
    HKEY_CLASSES_ROOT\Tldctl2.URLLink
    HKEY_CLASSES_ROOT\Tldctl2.URLLink.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
    \{4A2AACF3-ADF6-11D5-98A9-00E018981B9E}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
    \{DD521A1D-1F98-11D4-9676-00E018981B9E}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Tldctl2.URLLink
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Tldctl2.URLLink.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \Explorer\Browser Helper Objects\{4A2AACF3-ADF6-11D5-98A9-00E018981B9E}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \ModuleUsage\C:/WINDOWS/Downloaded Program Files/tldctl2.ocx

  6. Salga del Editor del Registro.