Adware.NDotNet

Version imprimable

Mis à jour : February 13, 2007 11:42:16 AM
Type : Adware
Version : 3.8
Editeur : NewDotNet
Impact des risques : Low
Noms de fichiers : Newdotnet3_88.dkk Nnezt388.exe NDNuninstall6_38.exe tldctl2.inf tldctl2.ocx newdotnet6_38.dll
Systèmes affectés : Windows

Comportement


Adware.NDotNet est un programme publicitaire qui associe des noms de domaines inexistants à un contenu sponsorisé. Lorsqu'un utilisateur saisit un mot-clé dans la barre d'adresse d'un navigateur ou tente de corriger une URL inexistante ou erronée, Adware.NDotNet le redirige vers une page sponsorisée.

Ce composant de logiciel publicitaire fonctionne comme un objet Browser Helper.

Symptômes


Votre programme antivirus de Symantec détecte Adware.NDotNet.

Transmission


Ce composant de logiciel publicitaire doit être manuellement installé ou installé comme composant d'un autre programme manuellement installé.

Dates de la protection antivirus

  • Version initiale des définitions Rapid Release October 02, 2014 révision 022
  • Dernière version des définitions Rapid Release April 17, 2018 révision 037
  • Version initiale des définitions Daily Certified February 05, 2004 révision 002
  • Dernière version des définitions Daily Certified April 18, 2018 révision 005
  • Date de la version initiale des définitions Weekly Certified February 11, 2004

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Mis à jour : February 13, 2007 11:42:16 AM
Type : Adware
Version : 3.8
Editeur : NewDotNet
Impact des risques : Low
Noms de fichiers : Newdotnet3_88.dkk Nnezt388.exe NDNuninstall6_38.exe tldctl2.inf tldctl2.ocx newdotnet6_38.dll
Systèmes affectés : Windows


Lorsque Adware.NDotNet est installé, il réalise les opérations suivantes :

  1. Crée le dossier %ProgramFiles% NewDotNet et y copie des fichiers.

    Remarque : %ProgramFiles% est une variable qui se rapporte au dossier program files. Par défaut, c'est C:\Program Files.

  2. Ajoute la valeur :

    "New.net Startup" = "rundll32 C:\Progra~1\Newdot~1\Newdot~1.dll, NewDotNetStartup"

    à la sous-clé de registre suivante :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    de sorte que le risque s'exécute à chaque démarrage de Windows.

  3. Crée les sous-clés de registre suivantes :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
    \CurrentVersion\Uninstall\New.net
    HKEY_LOCAL_MACHINE\SOFTWARE\New.net
    HKEY_CLASSES_ROOT\CLSID\{4A2AACF3-ADF6-11D5-98A9-00E018981B9E
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Tldctl2.Tldctl2c
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Tldctl2.Tldctl2c.1
    HKEY_CLASSES_ROOT\Tldctl2.URLLink
    HKEY_CLASSES_ROOT\Tldctl2.URLLink.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
    \{4A2AACF3-ADF6-11D5-98A9-00E018981B9E}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
    \{DD521A1D-1F98-11D4-9676-00E018981B9E}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Tldctl2.URLLink
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Tldctl2.URLLink.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \Explorer\Browser Helper Objects\{4A2AACF3-ADF6-11D5-98A9-00E018981B9E}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \ModuleUsage\C:/WINDOWS/Downloaded Program Files/tldctl2.ocx
  4. Modifie les sous-clés de registre suivantes :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2
    \Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2
    \Parameters\Protocol_Catalog9\Catalog_Entries\000000000012
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2
    \Parameters\Protocol_Catalog9\Catalog_Entries\000000000013
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2
    \Parameters\Protocol_Catalog9\Catalog_Entries\000000000014
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2
    \Parameters\Protocol_Catalog9\Catalog_Entries\000000000015

    pour assurer que le risque est utilisé à chaque fois que l'utilisateur accède à Internet.

  5. Essaie de se mettre à jour automatiquement.
  6. Ajoute les fichiers suivants :
    %UserProfile%\DESKTOP\Get 100, 000 Emoticons!.url
    %UserProfile%\DESKTOP\Sherv.NET - Animated Emoticons, Winks, Display Pics and more!.url
    %UserProfile%\Favorites\Get 100, 000 Emoticons!.url
    %UserProfile%\Favorites\Sherv.NET - Animated Emoticons, Winks, Display Pics and more!.url
    %UserProfile%\Favorites\Free Weather Toolbar and Smileys!.url
    %UserProfile%\Favorites\Get 100, 000 Smileys and Emoticons.url
    %UserProfile%\Favorites\Sherv.NET - MSN Emoticons, Display Pics, Winks, and lots more!.url
    %UserProfile%\Favorites\Free Weather Toolbar adn Smileys!.url
    %UserProfile%\Start Menu\Get 100, 000 Smileys and Emoticons.url
    Remarque : %UserProfile% est une variable qui se rapporte au dossier profil de l'utilisateur en cours. Par défaut, c'est C:\Documents and Settings\<Utilisateur en cours> (Windows NT/2000/XP).

    Remarques :
    • Adware.NDotNet fonctionne comme un objet Browser Helper, ce qui signifie que le composant de logiciel publicitaire reçoit des informations concernant toutes les actions effectuées dans Internet Explorer. Cet objet Browser Helper exige le fonctionnement d'Internet Explorer 4.0 ou ultérieur.
    • Ce composant de logiciel publicitaire surveille les habitudes d'utilisation d'Internet sans utiliser aucun paramètre d'identification. Il ne semble pas surveiller les informations personnelles.


Mis à jour : February 13, 2007 11:42:16 AM
Type : Adware
Version : 3.8
Editeur : NewDotNet
Impact des risques : Low
Noms de fichiers : Newdotnet3_88.dkk Nnezt388.exe NDNuninstall6_38.exe tldctl2.inf tldctl2.ocx newdotnet6_38.dll
Systèmes affectés : Windows


Ce programme publicitaire doit être manuellement installé. Cependant, il existe plusieurs programmes connus qui contiennent Adware.NDotNet et qui l'installent pendant que le programme lui-même est installé.

Remarque : La suppression de ce logiciel publicitaire du système risque de perturber le fonctionnement du programme qui l'a installé. Généralement, le programme d'installation identifie les programmes qui ne fonctionneront pas après la désinstallation.

Outil de suppression
Symantec Security Response a créé un outil de suppression pour ce risque de sécurité. Essayez cet outil en premier lieu, il représente le moyen le plus simple pour éliminer ce risque.

L'outil peut être trouvé ici : http://securityresponse.symantec.com/avcenter/FxNdotN.exe

La version actuelle de l'outil est 1.0.3 et porte une signature numérique équivalente au 28 octobre 2005 08:58:22 AM PST.

Remarque : La date et l'heure affichées seront réglées en fonction de votre fuseau horaire, si votre ordinateur n'est pas configuré sur le fuseau horaire Pacifique.

Dans certains cas, un ordinateur infecté par de risque de sécurité peut contenir d'autres risques de sécurité. Symantec recommande d'effectuer les étapes suivantes :

  1. Exécuter l'outil de suppression.
  2. Mettre à jour les définitions en lançant le programme Symantec et en exécutant LiveUpdate.
  3. Exécuter une analyse complète du système pour détecter tous les autres risques de sécurité sur l'ordinateur.
  4. Si l'analyse détecte tout autre risque de sécurité, vérifiez la présence d’outils de suppression à l’adresse http://securityresponse.symantec.com/avcenter/security.risks.tools.list.html
  5. S'il n'existe pas d'outil de suppression pour les risques de sécurité détectés, suivez les instructions de suppression manuelle répertoriées dans le rapport sur le risque.

Suppression manuelle
Les instructions suivantes concernent tous les produits antivirus de Symantec qui prennent en charge la détection de risques de sécurité.
  1. Mettre à jour les définitions.
  2. Désinstaller le risque de sécurité.
  3. Exécuter une analyse complète du système.
  4. Supprimer toutes les valeurs ajoutées au registre.

Pour plus de détails sur chacune de ces étapes, lisez les instructions suivantes.

1. Pour mettre à jour les définitions
Pour obtenir les définitions les plus récentes, lancez votre programme Symantec et exécutez LiveUpdate.

2. Pour désinstaller le risque de sécurité
  1. Effectuez l'une des opérations suivantes :
    1. Sur la barre des tâches de Windows 98 :
      1. Cliquez sur Démarrer > Paramètres > Panneau de configuration.
      2. Dans la fenêtre du Panneau de configuration, cliquez deux fois sur Ajout/Suppression de programmes.

    2. Sur la barre des tâches de Windows Me :
      1. Cliquez sur Démarrer > Paramètres > Panneau de configuration.
      2. Dans la fenêtre du Panneau de configuration, cliquez deux fois sur Ajout/Suppression de programmes.
        Si l'icône Ajout/Suppression de programmes n'apparaît pas, cliquez sur Afficher toutes les options du panneau de configuration.

    3. Sur la barre des tâches de Windows 2000 :
      Par défaut, Windows 2000 est configuré comme Windows 98. Vous pouvez ainsi suivre les instructions données pour Windows 98. Si la configuration est différente, cliquez sur Démarrer > Paramètres > Panneau de configuration puis cliquez sur Ajout/Suppression de programmes.

    4. Sur la barre des tâches de Windows XP :
      1. Cliquez sur Démarrer > Panneau de configuration.
      2. Dans la fenêtre du Panneau de configuration, cliquez deux fois sur Ajout/Suppression de programmes.

  2. Cliquez sur New.net Domains 3.88.

    Remarque :
    Vous devrez peut-être utiliser la barre de défilement pour afficher toute la liste.
  3. Cliquez sur Ajouter/Supprimer, Modifier/Supprimer ou Supprimer (en fonction de votre système d'exploitation). Suivez les invites.
    Remarque : Après avoir exécuté l'applet Ajout/Suppression de programmes, il est possible que tous les fichiers aient été supprimés. Il est conseillé d'exécuter une analyse complète du système pour vérifier que c'est bien le cas. Cependant, il est possible qu'aucun fichier ne soit détecté après avoir utilisé la fonction Ajout/Suppression de programmes.

3. Pour exécuter l'analyse
  1. Lancez votre programme antivirus de Symantec, puis exécutez une analyse complète du système.
  2. Si des fichiers sont détectés et en fonction de la version du logiciel que vous utilisez, certaines options suivantes peuvent s'afficher :

    Remarque : Ceci s'applique seulement aux versions de Norton AntiVirus qui prennent en charge la détection de risques de sécurité. Si vous exécutez une version de Symantec Antivirus Corporate Edition qui prend en charge la détection de risques de sécurité, et si la détection de risques de sécurité a été activée, vous verrez seulement une boîte de dialogue indiquant les résultats de l'analyse. Si vous avez des questions à ce propos, contactez l'administrateur réseau.
    • Exclure (non recommandé) : Si vous cliquez sur ce bouton, le programme configurera le risque de manière à ce qu'il ne soit plus détecté. En d'autres termes, le programme antivirus conservera le risque de sécurité sur l'ordinateur et ne le détectera plus pour le supprimer.
    • Ignorer : Cette option indique au moteur d'analyse d'ignorer le risque pour cette analyse seulement. Il sera encore détecté à la prochaine analyse.
    • Annuler : Il s'agit d'une nouvelle option de Norton AntiVirus 2005. Elle est utilisée quand le programme a déterminé qu'il ne peut pas supprimer un risque de sécurité. Cette option d'annulation indique au moteur d'analyse d'ignorer le risque pour cette analyse seulement ; ainsi, le risque sera détecté à la prochaine analyse.

      Pour supprimer véritablement le risque de sécurité :
      • Cliquez sur le nom du fichier (sous la colonne Nom de fichier).
      • Dans la boîte de dialogue Informations sur l'élément, saisissez le nom complet du chemin d'accès et le nom du fichier.
      • Servez-vous ensuite de l'Explorateur Windows pour localiser et supprimer le fichier.

        Si Windows signale qu'il ne peut supprimer le fichier, cela signifie qu'il est utilisé. Dans ce cas, suivez le reste des instructions mentionnées sur cette page, redémarrez l'ordinateur en mode sans échec puis supprimez le fichier en utilisant l'Explorateur Windows. Redémarrez l’ordinateur en Mode normal.
    • Supprimer : Cette option tentera de supprimer les fichiers détectés. Dans certains cas, le moteur d'analyse n'en sera pas capable.
      • Si un message du type "Echec de la suppression" s'affiche, supprimez manuellement le fichier.
      • Cliquez sur le nom de fichier du risque sous la colonne Nom de fichier.
      • Dans la boîte de dialogue Informations sur l'élément, saisissez le nom complet du chemin d'accès et le nom du fichier.
      • Servez-vous ensuite de l'Explorateur Windows pour localiser et supprimer le fichier.

        Si Windows signale qu'il ne peut supprimer le fichier, cela signifie qu'il est utilisé. Dans ce cas, suivez le reste des instructions mentionnées sur cette page, redémarrez l'ordinateur en mode sans échec puis supprimez le fichier en utilisant l'Explorateur Windows. Redémarrez l’ordinateur en Mode normal.

    Important : Si vous ne parvenez pas à lancer votre produit antivirus Symantec ou si le produit signale qu’il ne peut supprimer un fichier détecté, vous devrez peut-être empêcher l’exécution du risque afin de le supprimer. Pour cela, exécutez l'analyse en mode sans échec. Pour obtenir des instructions, consultez le document intitulé Comment démarrer l'ordinateur en mode sans échec. Si vous avez redémarré l'ordinateur en mode sans échec, exécutez l'analyse une nouvelle fois.

    Après avoir supprimé les fichiers, redémarrez l'ordinateur en mode normal et passez à la section suivante.

    Des messages d'avertissement peuvent s'afficher lorsque l'ordinateur est redémarré, puisque le risque n'est peut-être pas encore totalement supprimé. Vous pouvez ignorer ces messages et cliquer sur OK. Ces messages ne s'afficheront plus au redémarrage de l'ordinateur lorsque vous aurez appliqué toutes les instructions de suppression. Les messages affichés peuvent ressembler au message suivant :

    Objet : [Chemin du fichier]
    Corps du message : Windows cannot find [nom de fichier]. Make sure you typed the name correctly, and then try again. To search for a file, click the Start button, and then click Search.


4. Pour supprimer la valeur du registre
Important  : Nous vous recommandons vivement d’effectuer une sauvegarde du registre avant d’y apporter des modifications. Une modification incorrecte du registre peut provoquer la perte définitive de données ou la corruption de fichiers. Ne modifiez que les sous-clés indiquées. Consultez le document intitulé Comment faire une copie de sauvegarde du Registre de Windows pour des instructions détaillées.
    1. Cliquez sur Démarrer > Exécuter.
    2. Tapez regedit

      Puis cliquez sur OK.

      Remarque : Si l'Editeur du Registre ne s'ouvre pas, le risque a pu modifier le registre pour en empêcher l'accès. Security Response a développé un outil pour résoudre ce problème. Téléchargez et exécutez cet outil puis continuez la suppression.
    3. Accédez à la sous-clé :

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    4. Dans le volet de droite, supprimez la valeur :

      "New.net Startup"="rundll32 C:\Progra~1\Newdot~1\Newdot~1.dll, NewDotNetStartup"

    5. Accédez aux sous-clés suivantes et supprimez-les :

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
      \CurrentVersion\Uninstall\New.net
      HKEY_LOCAL_MACHINE\SOFTWARE\New.net
      HKEY_CLASSES_ROOT\CLSID\{4A2AACF3-ADF6-11D5-98A9-00E018981B9E
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Tldctl2.Tldctl2c
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Tldctl2.Tldctl2c.1
      HKEY_CLASSES_ROOT\Tldctl2.URLLink
      HKEY_CLASSES_ROOT\Tldctl2.URLLink.1
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
      \{4A2AACF3-ADF6-11D5-98A9-00E018981B9E}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
      \{DD521A1D-1F98-11D4-9676-00E018981B9E}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Tldctl2.URLLink
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Tldctl2.URLLink.1
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
      \Explorer\Browser Helper Objects\{4A2AACF3-ADF6-11D5-98A9-00E018981B9E}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
      \ModuleUsage\C:/WINDOWS/Downloaded Program Files/tldctl2.ocx

    6. Quittez l'Editeur du Registre.