说说间谍软件New.Net.Domain.Plugin 很久以来一直觉得自己的电脑不太对劲,具体哪里不对劲也说不出来。晚上开机防火墙跳出一个提示,一个程序要连接到一个地址,由于系统很久没有装新程序了,所以谨慎了一下,输入那个IP地址打开,是http://www.newdotnet.com/网页是英文的,赫然写着“NewDotNet Client Support Website”,于是再次百度了一下newdotnet是什么玩意,结论是:一个间谍软件。
这玩意真是防不胜防,要是你遇到相似情况,参考下文:
间谍软件New.Net.Domain.Plugin
概述
别名
Adware-NDotNet [McAfee],
类别
Spyware : 在用户不知道的情况下后台使用用户的 Internet 连接,并收集/传送关于用户或用户行为信息的任何产品。 许多间谍程序产品都会收集指向信息(从您的 web 浏览器泄露的您所连接的 URL 的信息)、您的 IP 地址(用于在网络上标识您的计算机的数字)、系统信息(例如访问时间、使用浏览器类型、操作系统和平台,以及 CPU 速度)。间谍程序有时会包装于其他商业产品里,并在安装这些商业产品时进入计算机。 请参见“广告程序”。
Adware: 在网页上方或后方的弹出广告的软件,此时主用户界面还不可见,或与产品没有什么关联。
Hijacker: 重新设置您的浏览器,使其指向其他站点的任何软件。 劫持时可能会将您的信息及您请求的地址改变路径发送,使其经由一个不可见的站点,以便捕获那些信息。 在这样的劫持中,您的浏览器可能仍能正常运行,只是稍微慢一些。
保留的理由
改变浏览器设置, 例如缺省查寻提供者, 主页或错误页等, 变动时没有用户允许。当主要产品未启动或没有连接到这种产品,弹出其popup/popunder广告。在用户不知道的情况下将用户个人信息传送到别的地方。能安装BHO,以便全部的DNS functrions new.net将正确地工作。
发源
组
New.Net
发源日期
2005年4月
检测和删除
手工删除
按照以下步骤从您的机器删除New.Net.Domain.Plugin。先备份您的注册表和系统,并设置一个还原点,防止发生错误。
停止运行进程:
利用任务管理器停止以下运行进程:
ndnuninstall6_38.exe
programfilesdir+\newdotnet\uninstall6_38.exe
download.exe
删除自动运行的引用:
访问 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
如果找到值 HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run new.net startup,立即删除并重启机器
撤消 DLL 的注册:
使用 Regsvr32 撤销以下 DLLs 的注册,然后重启:
programfilesdir+\newdotnet\newdotnet6_38.dll
清除注册表:
使用注册表编辑器清除以下注册项(如果存在):
HKEY_CLASSES_ROOT\clsid\{4a2aacf3-adf6-11d5-98a9-00e018981b9e}
HKEY_CLASSES_ROOT\clsid\{dd521a1d-1f98-11d4-9676-00e018981b9e}
HKEY_CLASSES_ROOT\interface\{4a2aacf1-adf6-11d5-98a9-00e018981b9e}
HKEY_CLASSES_ROOT\interface\{dd521a1c-1f98-11d4-9676-00e018981b9e}
HKEY_CLASSES_ROOT\tldctl2.tldctl2c
HKEY_CLASSES_ROOT\tldctl2.tldctl2c.1
HKEY_CLASSES_ROOT\tldctl2.urllink
HKEY_CLASSES_ROOT\tldctl2.urllink.1
HKEY_CLASSES_ROOT\typelib\{dd521a10-1f98-11d4-9676-00e018981b9e}
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{dd521a1d-1f98-11d4-9676-00e018981b9e}
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{dd521a1d-1f98-11d4-9676-00e018981b9e}\contains\files c:\windows\downloaded program files\tldctl2.ocx
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{dd521a1d-1f98-11d4-9676-00e018981b9e}\installedversion
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\moduleusage\c:/windows/downloaded program files/tldctl2.ocx .owner
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\moduleusage\c:/windows/downloaded program files/tldctl2.ocx {dd521a1d-1f98-11d4-9676-00e018981b9e}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run new.net startup
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\new.net
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\new.net publisher
HKEY_LOCAL_MACHINE\software\new.net
HKEY_LOCAL_MACHINE\software\new.net discardtag
HKEY_LOCAL_MACHINE\software\new.net firsttime
HKEY_LOCAL_MACHINE\software\new.net source
删除文件:
使用资源管理器删除以下文件(如果存在):
download.exe
ndnuninstall6_38.exe
newdotnet6_38.dll
programfilesdir+\newdotnet\newdotnet6_38.dll
programfilesdir+\newdotnet\readme.html
programfilesdir+\newdotnet\uninstall6_38.exe
删除目录:
使用资源管理器删除以下目录(如果存在):
programfilesdir+\newdotnet
