Adware.NDotNet

Versão para impressão

Atualizado: February 13, 2007 11:41:59 AM
Tipo: Adware
Versão: 3.8
Autor: NewDotNet
Impacto do risco: Low
Nomes de arquivos: Newdotnet3_88.dkk Nnezt388.exe NDNuninstall6_38.exe tldctl2.inf tldctl2.ocx newdotnet6_38.dll
Sistemas afetados: Windows

Comportamento


O Adware.NDotNet é um programa de adware que associa nomes de domínios não-existentes a conteúdo patrocinado. Quando um usuário final digita uma palavra-chave na barra de endereços do navegador ou tenta corrigir uma URL errada ou que não existe, o adware redireciona o usuário para uma página patrocinada.

Esse componente de adware funciona como um Browser Helper Object.

Sintomas


O produto Symantec detecta este risco à segurança como Adware.NDotNet.

Transmissão


Este componente de adware pode ser instalado de forma manual ou como um componente de outro programa instalado manualmente.

Datas da proteção antivírus

  • Versão inicial do Rapid Release October 02, 2014 revisão 022
  • Última versão do Rapid Release April 17, 2018 revisão 037
  • Versão inicial diária certificada February 05, 2004 revisão 002
  • Última versão diária certificada April 18, 2018 revisão 005
  • Data da versão inicial semanal certificada February 11, 2004

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Atualizado: February 13, 2007 11:41:59 AM
Tipo: Adware
Versão: 3.8
Autor: NewDotNet
Impacto do risco: Low
Nomes de arquivos: Newdotnet3_88.dkk Nnezt388.exe NDNuninstall6_38.exe tldctl2.inf tldctl2.ocx newdotnet6_38.dll
Sistemas afetados: Windows


Ao ser instalado, o Adware.NDotNet executa as seguintes ações:

  1. Cria a pasta %ProgramFiles%\NewDotNet e copia arquivos para dentro da mesma.

    Nota: %ProgramFiles% é uma variável que se refere à pasta de arquivos de programas. Por padrão é C:\Arquivos de programas.

  2. Adiciona o valor:

    "New.net Startup" = "rundll32 C:\Progra~1\Newdot~1\Newdot~1.dll, NewDotNetStartup"

    à seguinte subchave do Registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    Dessa forma o spyware é executado na inicialização do Windows.

  3. Cria as seguintes sub-chaves de registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
    \CurrentVersion\Uninstall\New.net
    HKEY_LOCAL_MACHINE\SOFTWARE\New.net
    HKEY_CLASSES_ROOT\CLSID\{4A2AACF3-ADF6-11D5-98A9-00E018981B9E
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Tldctl2.Tldctl2c
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Tldctl2.Tldctl2c.1
    HKEY_CLASSES_ROOT\Tldctl2.URLLink
    HKEY_CLASSES_ROOT\Tldctl2.URLLink.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
    \{4A2AACF3-ADF6-11D5-98A9-00E018981B9E}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
    \{DD521A1D-1F98-11D4-9676-00E018981B9E}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Tldctl2.URLLink
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Tldctl2.URLLink.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \Explorer\Browser Helper Objects\{4A2AACF3-ADF6-11D5-98A9-00E018981B9E}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \ModuleUsage\C:/WINDOWS/Downloaded Program Files/tldctl2.ocx

  4. Altera as seguintes sub-chaves de registro:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2
    \Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2
    \Parameters\Protocol_Catalog9\Catalog_Entries\000000000012
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2
    \Parameters\Protocol_Catalog9\Catalog_Entries\000000000013
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2
    \Parameters\Protocol_Catalog9\Catalog_Entries\000000000014
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2
    \Parameters\Protocol_Catalog9\Catalog_Entries\000000000015

    para garantir que o risco seja utilizado sempre que a Internet for acessada.

  5. Tenta atualizar-se automaticamente.

    Notas:
    • O Adware.NDotNet é como um Browser Helper Object, que significa que o componente de adware recebe informações a respeito de todas as ações realizadas no Internet Explorer. Esse Browser Helper Object requer Internet Explorer 4.0 ou posterior para funcionar.
    • Esse componente de adware controla os hábitos de navegação da Internet sem utilizar qualquer parâmetro de identificação. Aparentemente não ratreia informações pessoais identificáveis.


Atualizado: February 13, 2007 11:41:59 AM
Tipo: Adware
Versão: 3.8
Autor: NewDotNet
Impacto do risco: Low
Nomes de arquivos: Newdotnet3_88.dkk Nnezt388.exe NDNuninstall6_38.exe tldctl2.inf tldctl2.ocx newdotnet6_38.dll
Sistemas afetados: Windows


Esse programa de adware precisa ser instalado manualmente. Entretanto, existem vários programas conhecidos que possuem o Adware.NDotNet e o instalam enquanto o próprio programa é instalado.

Nota: remover esse componente de adware do sistema provavelmente fará que o programa que o instalou não funcione corretamente. O utilitário de desinstalação geralmente identifica os programas que não funcionarão após a desinstalação do adware.

Ferramenta de remoção
O Symantec Security Response criou uma ferramenta para remover esse risco. Utilize primeiro essa ferramenta de remoção, pois é o método mais fácil de eliminar o risco.

A ferramenta pode ser encontrada em: http://securityresponse.symantec.com/avcenter/FxNdotN.exe

A versão atual da ferramenta é 1.0.3 e a assinatura digital possui data e hora equivalentes a 28/10/2005 08:58:22am (horário-padrão do Pacífico).

Nota:
a data e a hora exibidas serão ajustadas de acordo com o fuso horário local se o computador não estiver definido para o fuso horário do Pacífico.

Há registros de que um computador com este risco à segurança também pode ter outros riscos à segurança instalados. A Symantec recomenda que as seguintes etapas sejam executadas:

  1. Execute a ferramenta de remoção.
  2. Atualize as definições iniciando o produto Symantec e executando o LiveUpdate.
  3. Execute uma verificação completa do sistema para detectar qualquer outro risco à segurança no computador.
  4. Se a verificação detectar algum risco à segurança, verifique se existe uma ferramenta de remoção em http://securityresponse.symantec.com/avcenter/security.risks.tools.list.html
  5. Se não houver ferramentas de remoção para os riscos à segurança detectados, siga as instruções de remoção manual descritas no relatório do risco.

Remoção manual

As instruções a seguir se aplicam a todos os produtos antivírus Symantec que suportam a detecção de riscos à segurança.
  1. Atualize as definições de vírus.
  2. Desinstale o risco à segurança.
  3. Execute uma verificação completa do sistema.
  4. Apague todos os valores adicionados ao registro.
Para mais informações sobre cada uma dessas etapas, consulte as instruções a seguir.

1. Atualizando as definições de vírus
Para obter as definições mais recentes, inicie o produto Symantec e execute o LiveUpdate.

2. Desinstalando o risco à segurança
  1. Proceda de uma das seguintes maneiras:
    1. Na Barra de tarefas do Windows 98:
      1. Clique em Iniciar > Configurações > Painel de Controle.
      2. Na janela do Painel de controle, clique duas vezes em Adicionar ou remover programas..

    2. Na Barra de tarefas do Windows Me:
      1. Clique em Iniciar > Configurações > Painel de Controle.
      2. Na janela do Painel de controle, clique duas vezes em Adicionar ou remover programas.
        Se não visualizar o ícone Adicionar ou remover programas, clique em ...exibir todas as opções do Painel de controle.

    3. Na Barra de tarefas do Windows 2000:
      Por padrão, o Windows 2000 está configurado do mesmo modo que o Windows 98, portanto, siga as instruções para o Windows 98. Caso contrário, clique em Iniciar > Configurações > Painel de controle e clique em Adicionar ou remover programas.

    4. Na Barra de tarefas do Windows XP:
      1. Clique em Iniciar > Painel de controle.
      2. Na janela do Painel de Controle, clique duas vezes em Adicionar ou remover programas.

  2. Clique em New.net Domains 3.88.


    Nota:
    talvez seja necessário utilizar a barra de rolagem para exibir a lista inteira.

  3. Clique em Adicionar/Remover, Alterar/Remover ou em Remover (os nomes variam dependendo do sistema operacional). Siga as indicações.

    Nota: após executar o utilitário Adicionar ou remover programas, é provável que todos os arquivos tenham sido removidos. Execute uma verificação completa do sistema para se certificar de que esse é o caso. É possível que nenhum arquivo seja detectado após a utilização do recurso Adicionar ou remover programas.

3. Executando a verificação
  1. Inicie o produto antivírus Symantec e execute uma verificação completa do sistema.
  2. Se algum arquivo for detectado, dependendo da versão do software que estiver utilizando, é possível que uma ou mais das opções a seguir sejam exibidas:

    Nota: isso somente se aplica às versões do Norton AntiVirus que suportam a detecção de riscos à segurança. Se estiver executando uma versão do Symantec AntiVirus Corporate Edition que suporta a detecção de riscos à segurança e essa opção estiver ativada, somente será possível ver uma caixa de mensagem fornecendo os resultados da verificação. Se tiver dúvidas em relação a essa situação, entre em contato com o administrador de rede.
    • Excluir (Não recomendado): se clicar nesse botão, o risco à segurança será definido de forma a não ser mais detectado. Isto é, o programa antivírus manterá o risco à segurança no computador e não o detectará futuramente para que seja removido.

    • Ignorar: esta opção ignora o risco à segurança somente na verificação em execução no momento. O risco à segurança será detectado novamente da próxima vez que uma verificação for executada.

    • Cancelar: esta é uma nova opção do Norton AntiVirus 2005 que é utilizada quando o programa determina que não é possível apagar um risco à segurança. Essa opção ignora o risco à segurança somente nessa verificação. Assim, o risco à segurança será detectado novamente da próxima vez que uma verificação for executada.

      Para apagar de fato o risco à segurança:
      • Clique no nome do arquivo (sob a coluna Nome do arquivo).
      • Nas informações do item que são exibidas, anote o caminho completo e o nome do arquivo.
      • Depois, utilize o Windows Explorer para localizar e apagar o arquivo.

        Se o Windows informar que não é possível apagar o arquivo, significa que o mesmo está sendo utilizado. Neste caso, complete o restante das instruções nesta página e, em seguida, reinicie o computador em Modo de Segurança e exclua o arquivo utilizando o Windows Explorer. Reinicie o computador em Modo Normal.

    • Apagar: esta opção tentará apagar os arquivos detectados. Em alguns casos, não será possível fazer isso.
      • Se a seguinte mensagem for exibida: “Falha na exclusão” (ou mensagem semelhante), apague o arquivo manualmente.
      • Sob a coluna Nome do arquivo, clique no nome do arquivo do risco à segurança.
      • Nas informações do item que são exibidas, anote o caminho completo e o nome do arquivo.
      • Depois, utilize o Windows Explorer para localizar e apagar o arquivo.

        Se o Windows informar que não é possível apagar o arquivo, significa que o mesmo está sendo utilizado. Neste caso, complete o restante das instruções nesta página e, em seguida, reinicie o computador em Modo de Segurança e exclua o arquivo utilizando o Windows Explorer. Reinicie o computador em Modo Normal.
Importante: se não for possível iniciar o produto antivírus Symantec ou o produto informar que não foi possível excluir um arquivo detectado, será necessário interromper a execução do risco para poder removê-lo. Para fazer isso, execute a verificação em Modo de Segurança. Para mais informações, consulte o documento Iniciando o computador em Modo de Segurança . Assim que tiver reiniciado em Modo de Segurança, execute a verificação novamente.

Após apagar os arquivos, reinicie o computador em Modo Normal e vá para a próxima seção.

É provável que mensagens de aviso sejam exibidas ao reiniciar o computador devido a que o risco à segurança não ter sido completamente removido até este momento. Ignore essas mensagens e clique em OK. As mensagens não serão exibidas quando o computador for reiniciado após as instruções de remoção terem sido totalmente completadas. As mensagens exibidas podem ser semelhantes às seguintes:

Título: [Caminho do arquivo]
Corpo da mensagem: Windows cannot find [file name]. Certifique-se de ter digitado o nome corretamente e tente novamente. Para procurar um arquivo, clique em Iniciar > Pesquisar.

4. Excluindo o valor do registro
Importante: a Symantec recomenda fazer um backup do registro antes de fazer quaisquer alterações. Alterações incorretas no registro podem resultar na perda permanente de dados ou em arquivos corrompidos. Altere somente as sub-chaves especificadas. Consulte o documento Fazendo backup do Registro do Windows .
  1. Clique em Iniciar > Executar.
  2. Digite   regedit
  3. Clique em OK.

    Nota: se não for possível abrir o Editor do registro, o risco pode ter alterado o registro para evitar o acesso ao Editor do Registro. O Security Response criou uma ferramenta para resolver esse problema. Faça o download e execute essa ferramenta e, em seguida, continue com o processo de remoção.

  4. Navegue até a sub-chave:

    HEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  5. No painel direito, apague o valor:

    "New.net Startup" = "rundll32 C:\Progra~1\Newdot~1\Newdot~1.dll, NewDotNetStartup"

  6. Navegue até e apague as sub-chaves:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
    \CurrentVersion\Uninstall\New.net
    HKEY_LOCAL_MACHINE\SOFTWARE\New.net
    HKEY_CLASSES_ROOT\CLSID\{4A2AACF3-ADF6-11D5-98A9-00E018981B9E
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Tldctl2.Tldctl2c
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Tldctl2.Tldctl2c.1
    HKEY_CLASSES_ROOT\Tldctl2.URLLink
    HKEY_CLASSES_ROOT\Tldctl2.URLLink.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
    \{4A2AACF3-ADF6-11D5-98A9-00E018981B9E}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
    \{DD521A1D-1F98-11D4-9676-00E018981B9E}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Tldctl2.URLLink
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Tldctl2.URLLink.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \Explorer\Browser Helper Objects\{4A2AACF3-ADF6-11D5-98A9-00E018981B9E}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \ModuleUsage\C:/WINDOWS/Downloaded Program Files/tldctl2.ocx

  7. Saia do Editor do Registro.