Atualizado: February 13, 2007 11:32:38 AM
Tipo: Adware
Versão: n/a
Autor: GAIN Publishing
Impacto do risco: Low
Nomes de arquivos: Fsg_[VERSION NUMBER].exe Trickler_[VERSION NUMBER].exe CMESys.eGMT.exe GainPlugin.dll HDPlugin
Sistemas afetados: Windows

Comportamento


O Adware.GAIN é um programa adware que faz downloads e exibe anúncios.

Sintomas


O produto Symantec detecta como Adware.GAIN.

Transmissão


Este programa adware deve ser desinstalado manualmente. Este adware pode ser instalado como parte de outro programa.

Datas da proteção antivírus

  • Versão inicial do Rapid Release October 02, 2014 revisão 022
  • Última versão do Rapid Release September 22, 2016 revisão 024
  • Versão inicial diária certificada August 18, 2003
  • Última versão diária certificada September 22, 2016 revisão 025
  • Data da versão inicial semanal certificada August 18, 2003

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Atualizado: February 13, 2007 11:32:38 AM
Tipo: Adware
Versão: n/a
Autor: GAIN Publishing
Impacto do risco: Low
Nomes de arquivos: Fsg_[VERSION NUMBER].exe Trickler_[VERSION NUMBER].exe CMESys.eGMT.exe GainPlugin.dll HDPlugin
Sistemas afetados: Windows


Quando o Adware.GAIN é instalado, ele executa as seguintes ações:

1. Pode inserir um arquivo na pasta %System%. O nome do arquivo parece ser diferente de acordo com o programa que instalou o ADware.GAIN. Alguns nomes de arquivos conhecidos são:


      Fsg_[NÚMERO DA VERSÃO].exe
      Trickler.exe.

      Nota: %System% é uma variável. O componente de adware localiza a pasta System e cria uma cópia de si mesmo naquele local. Por padrão, é C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) ou C:\Windows\System32 (Windows XP).

2. Cria os seguintes arquivos:

      %ProgramFiles%\Common Files\CMEII\*.*
      %ProgramFiles%\Common Files\GMT\*.*
      %Windir%\Temp\Trickler_[VERSION NUMBER].exe
      %Windir%\Temp\fsg[NÚMERO DA VERSÃO].exe
      %Windir%\Downloaded Program Files\GainPlugin.dll
      %UserProfile%\Start Menu\Programs\Startup\GStartup.lnk
      C:\Documents and Settings\All Users\Start Menu\Programs\GAIN Publishing\About GAIN Publishing.lnk
      C:\Documents and Settings\All Users\Start Menu\Programs\GAIN Publishing\GAIN Publishing Web Site.URL

      Notas:
      %ProgramFiles% é uma variável que se refere à pasta Arquivos de programas. Por padrão, é C:\Arquivos de programas.
      %Windir% é uma variável que se refere à pasta de instalação do Windows. Por padrão, é C:\Windows (Windows 95/98/Me/XP) ou C:\Winnt (Windows NT/2000).
      %UserProfile% é uma variável que se refere à pasta de perfil do usuário atual. Por padrão, é C:\Documents and Settings\[Nome do Usuário Atual] (Windows NT/2000/XP).

3. Cria as seguintes subchaves de registro:

    HKEY_CLASSES_ROOT\CLSID\{54e7e082-1da6-412e-96b5-c290fcef5329}
    HKEY_CLASSES_ROOT\CLSID\{DBAE7000-01EC-4162-8FEB-8A27AC937CA0}
    HKEY_CLASSES_ROOT\Interface\{22D34833-06F9-4CE6-9FF7-CE4DA0BA351D}
    HKEY_CLASSES_ROOT\Interface\{54E7E080-1DA6-412E-96B5-C290FCEF5329}
    HKEY_CLASSES_ROOT\TypeLib\{2EC7A834-9C5E-4154-BADC-0D86A2EDC82D}
    HKEY_CLASSES_ROOT\TypeLib\{54E7E081-1DA6-412E-96B5-C290FCEF5329}
    HKEY_CLASSES_ROOT\GetAndRun.DFRun
    HKEY_CLASSES_ROOT\GetAndRun.DFRun.1
    HKEY_CLASSES_ROOT\HDPlugin.HDPluginCtrl
    HKEY_CLASSES_ROOT\HDPlugin.HDPluginCtrl.1
    HKEY_CLASSES_ROOT\ttjltept
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \Uninstall\{4A840E1E-2BA8-47de-923E-0E00407EB530}
    HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com\AppInfo\CME
    HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com\AppInfo\GMT
    HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com\CMEII\GSNInstalled
    HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com\Gator\dyn
    HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com\Gator\stat\GMT
    HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com\GInternet
    HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com\trickles
    HKEY_LOCAL_MACHINE\SOFTWARE\hlnpan

4. Adiciona os valores:

    "Trickler" = "[PATH TO ADWARE FILE]"
    "CMESys" = "%ProgramFiles%\Common Files\CMEII\CMESys.exe"

    para a subchave de registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    para que o Adware seja executado na inicialização do Windows.

5. Conecta-se a um servidor no domínio [NOME ALEATÓRIO].gator.com através da porta 80 e envia informações sobre os hábitos de navegação para o servidor. O adware também faz o download de anúncios a partir do servidor.

    Nota: Outros programas descarregam o Adware.GAIN para permitir que este faça o download e a exibição de anúncios em janelas pop-up.

Atualizado: February 13, 2007 11:32:38 AM
Tipo: Adware
Versão: n/a
Autor: GAIN Publishing
Impacto do risco: Low
Nomes de arquivos: Fsg_[VERSION NUMBER].exe Trickler_[VERSION NUMBER].exe CMESys.eGMT.exe GainPlugin.dll HDPlugin
Sistemas afetados: Windows


Este adware é um componente de outros programas como o ScreenScenes, que é um produto da GAIN Publishing. Consulte a página abaixo para obter uma lista de aplicativos da GAIN Publishing que instalam o Adware.GAIN:

http://www.gainpublishing.com/global/software/index.html

Adicionalmente, o Adware.GAIN pode ser instalado com outros programas populares, como o Kazaa. Para remover o Adware.GAIN manualmente, você deve desinstalar todos os programas da GAIN que funcionam na base de exibição de anúncios.
Instruções completas de remoção podem ser obtidas no GAIN Publishing Support Center, na página abaixo:

http://www.gainpublishing.com/global/help/gainuninstall.html

Nota:
Se tiver uma versão do GAIN inferior à 7.1, o software GAIN AdServer pode não aparecer na lista do recurso Adicionar/Remover Programas do Painel de controle. Para mais informações, consulte o GAIN Publishing Frequently Asked Questions no endereço:

http://www.gainpublishing.com/global/help/gainfaq.html


Ferramenta de remoção
O Symantec Security Response desenvolveu uma ferramenta de remoção para o Adware.GAIN. A ferramenta pode ser encontrada aqui: http://securityresponse.symantec.com/avcenter/RemGAIN.exe

A versão atual da ferramenta é 1.0.6 e possui assinatura digital equivalente a 07/29/05 04:21 AM PDT.

Notas:

    A data e a hora exibidas serão ajustadas de acordo com o fuso horário local caso o computador não esteja definido para o fuso horário do Pacífico.
    Executar a ferramenta de remoção do Adware.GAIN pode fazer com que outros programas não funcionem corretamente, especialmente aqueles dos quais o Adware.GAIN faz parte.

Instruções de Remoção Manual
  1. Atualize as definições.
  2. Desinstalando o risco à segurança
  3. Execute uma verificação completa do sistema.
  4. Exclua todos os valores adicionados ao Registro.
    Para mais informações sobre cada uma dessas etapas, consulte as instruções a seguir.

    1. Atualizando as definições de vírus
    Para obter as definições mais recentes, inicie o produto Symantec e execute o LiveUpdate.

    2. Desinstalando o risco à segurança
    Esse risco à segurança inclui um utilitário de desinstalação. Para desinstalar esse risco à segurança, complete as seguintes instruções:
    1. Clique em Iniciar > Configurações > Painel de controle ou Iniciar > Painel de controle (isto varia de acordo com o sistema operacional).
    2. Na janela do Painel de controle, clique duas vezes em Adicionar ou remover programas.

      Somente no Windows Me: Se não visualizar o ícone Adicionar ou remover programas, clique em "...exibir todas as opções do Painel de controle".
    3. Para remover o Adware.GAIN você deve remover o aplicativo que o instalou. Para determinar o aplicativo que deve ser removido, consulte a página abaixo:

      http://www.gainpublishing.com/help/gainfaq.html
    4. Clique em PublishingApplication.
    5. Clique em Adicionar/Remover, Alterar/Remover ou Remover (os nomes variam dependendo do sistema operacional). Siga as indicações na tela.
      Nota: Após executar o Adicionar ou remover programas, pode demorar alguns minutos até que o Adware.GAIN perceba que o aplicativo que o instalou foi removido e comece a remover a si mesmo.

    3. Executando a verificação
    1. Inicie o produto antivírus Symantec e execute uma verificação completa do sistema.
    2. Se qualquer arquivo for detectado e, dependendo da versão do programa utilizada, é possível que uma ou mais das seguintes opções sejam exibidas:

      Nota: Isso somente se aplica às versões do Norton AntiVirus que suportam a detecção de riscos à segurança. Se estiver executando uma versão do Symantec AntiVirus Corporate Edition que suporta a detecção de riscos à segurança, e esta estiver ativada, somente uma mensagem com os resultados da verificação será exibida. Se tiver dúvidas em relação a isso, entre em contato com o administrador da rede.

      Excluir (Não recomendado): Se clicar nesse botão, isso fará com que o risco nunca mais seja detectado. Ou seja, o programa antivírus conservará o risco à segurança no computador e não o detectará mais para removê-lo do computador.

      Ignorar: Essa opção faz com que a verificação ignore o risco somente nessa verificação. Ele será detectado novamente da próxima vez que uma verificação for executada.

      Cancelar: Essa opção é nova no Norton AntiVirus 2005. Ela é utilizada quando o programa determina que não pode excluir um risco à segurança. A opção Cancelar faz com que a verificação ignore o risco à segurança somente nessa verificação e, assim, o risco será detectado novamente da próxima vez que uma verificação for executada.
    3. Para realmente excluir o risco à segurança:
      1. Clique no nome do arquivo do risco (sob a coluna Nome do arquivo).
      2. Na caixa de diálogo Informações do item, que é exibida, anote o caminho completo e o nome do arquivo.
      3. Depois utilize o Windows Explorer para localizar e excluir o arquivo.
      4. Excluir: Essa opção tentará eliminar os arquivos detectados. Em alguns casos, a verificação não conseguirá excluí-los. Se a seguinte mensagem for exibida: "Falha ao excluir" (ou uma mensagem similar), exclua manualmente o arquivo.
      5. Clique no nome do arquivo do risco que está sob a coluna Nome do arquivo.
      6. Na caixa de diálogo Informações do item, que é exibida, anote o caminho completo e o nome do arquivo.
      7. Depois utilize o Windows Explorer para localizar e excluir o arquivo.
    4. Clique em Iniciar > Programas > Acessórios > Windows Explorer.
    5. Navegue até e exclua o arquivo %UserProfile%\Start Menu\Programs\Startup\GStartup.lnk
    6. Saia do Windows Explorer.

    Importante: Se o produto antivírus Symantec informar que não pode excluir um arquivo detectado, é provável que o Windows esteja utilizando o arquivo. Para solucionar isso, execute a verificação no Modo de Segurança. Para mais informações, consulte o documento Iniciando o computador no Modo de Segurança Assim que tiver reiniciado no Modo de Segurança, execute a verificação novamente.

    Após os arquivos terem sido detectados, reinicie o computador no modo Normal e continue na próxima seção.

    É provável que mensagens de aviso sejam exibidas ao reiniciar o computador, devido a que o risco pode não ter sido completamente removido até esse momento. Ignore essas mensagens e clique em OK. As mensagens não serão exibidas se o computador for reiniciado após as instruções de remoção terem sido totalmente completadas. As mensagens exibidas podem ser similares às seguintes:

    Título: [Caminho do arquivo]
    Corpo da mensagem: O Windows não pôde localizar o [nome do arquivo]. Certifique-se de ter digitado o nome corretamente e tente novamente. Para procurar um arquivo, clique em Iniciar > Pesquisar.
      4. Excluindo os valores do Registro
      Importante: A Symantec recomenda fazer um backup do Registro antes de efetuar quaisquer alterações. Alterações incorretas no Registro podem resultar na perda permanente de dados ou em arquivos corrompidos. Altere somente as subchaves que são especificadas. Consulte o documento Fazendo um backup do Registro do Windows.

      1. Clique em Iniciar > Executar .
      2. Digite regedit.
      3. Clique em OK

        Nota: Se não conseguir abrir o Editor do registro, o risco pode ter alterado o registro para evitar o acesso ao Editor do registro. O Symantec Security Response desenvolveu uma ferramenta para resolver este problema. Faça o download e execute esta ferramenta, e continue com o processo de remoção.
      4. Vá até, e exclua, as seguintes subchaves:

        HKEY_CLASSES_ROOT\CLSID\{54e7e082-1da6-412e-96b5-c290fcef5329}
        HKEY_CLASSES_ROOT\CLSID\{DBAE7000-01EC-4162-8FEB-8A27AC937CA0}
        HKEY_CLASSES_ROOT\Interface\{22D34833-06F9-4CE6-9FF7-CE4DA0BA351D}
        HKEY_CLASSES_ROOT\Interface\{54E7E080-1DA6-412E-96B5-C290FCEF5329}
        HKEY_CLASSES_ROOT\TypeLib\{2EC7A834-9C5E-4154-BADC-0D86A2EDC82D}
        HKEY_CLASSES_ROOT\TypeLib\{54E7E081-1DA6-412E-96B5-C290FCEF5329}
        HKEY_CLASSES_ROOT\GetAndRun.DFRun
        HKEY_CLASSES_ROOT\GetAndRun.DFRun.1
        HKEY_CLASSES_ROOT\HDPlugin.HDPluginCtrl
        HKEY_CLASSES_ROOT\HDPlugin.HDPluginCtrl.1
        HKEY_CLASSES_ROOT\ttjltept
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
        \Uninstall\{4A840E1E-2BA8-47de-923E-0E00407EB530}
        HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com\AppInfo\CME
        HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com\AppInfo\GMT
        HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com\CMEII\GSNInstalled
        HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com\Gator\dyn
        HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com\Gator\stat\GMT
        HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com\GInternet
        HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com\trickles
        HKEY_LOCAL_MACHINE\SOFTWARE\hlnpan
      5. Navegue até a subchave:
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

      6. No painel direito, exclua os valores:
        "Trickler" = "[PATH TO ADWARE FILE]"
        "CMESys" = "%ProgramFiles%\Common Files\CMEII\CMESys.exe"
      7. Saia do Editor do Registro.