PUA_BANGMAI

2015年8月19日

更新者 : RonJay Kristoffer Caragay

別名:

Riskware/Bang5mai (Fortinet); TR/Bang5mai.3899600 (Avira); a variant of Win32/Bang5mai.C potentially unwanted (ESET-NOD32)

プラットフォーム:

Windows

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ: 不要なアプリケーション
破壊活動の有無: なし
暗号化: なし
感染報告の有無: はい

概要

感染経路インターネットからのダウンロード, 他のマルウェアからの作成

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。プログラムは、他のマルウェアまたはグレイウェアのパッケージとともにコンポーネントとして、コンピュータに侵入します。プログラムは、ユーザの手動インストールにより、コンピュータに侵入します。

プログラムは、ワーム活動の機能を備えていません。

プログラムは、バックドア活動の機能を備えていません。

プログラムは、レジストリキーおよびレジストリ値を追加し、セーフモード状態でも自身が実行されるようにします。これにより、感染コンピュータ上でこのプログラムが削除されるのを避けます。プログラムは、特定のWebサイトにアクセスし、情報を送受信します。プログラムは、アンインストールパッケージ機能を搭載しています。これにより、このプログラムが作成したファイルや追加したレジストリは削除されます。

詳細

ファイルサイズ 3,899,600 bytes

タイプ EXE

メモリ常駐はい

発見日 2015年7月15日

ペイロード URLまたはIPアドレスに接続

侵入方法

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

プログラムは、他のマルウェアまたはグレイウェアのパッケージとともにコンポーネントとして、コンピュータに侵入します。

プログラムは、ユーザの手動インストールにより、コンピュータに侵入します。

インストール

プログラムは、以下のフォルダを追加します。

%All Users Profile%\B5TTmp
%All Users Profile%\B5TTmp\6.0.4
%All Users Profile%\B5TTmp\6.0.4\Extensions
%All Users Profile%\B5TTmp\6.0.4\NaMsgHost
%All Users Profile%\B5TTmp\6.0.4\resource
%All Users Profile%\B5TTmp\resource
%AppDataLocal%\B5T
%AppDataLocal%\B5T\Plugin
%AppDataLocal%\B5T\Share
%AppDataLocalLow%\B5T
%User Temp%\{random}
%Start Menu%\Programs\帮5淘
{user-specified path}\B5T

(註：%All Users Profile%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\All Users”、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\ProgramData” です。.. %AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local" です。. %AppDataLocalLow%フォルダは、Windows Vista および 7 の場合、通常、"C:\Users\＜ユーザ名＞\AppData\LocalLow" です。. %User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。.. %Start Menu%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Windows\Start Menu" または "C:\Documents and Settings\＜ユーザ名＞\Start Menu"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming\Microsoft\Windows\Start Menu" です。.)

プログラムは、以下のファイルを作成します。

%All Users Profile%\B5TTmp\B5TInstall.exe
%All Users Profile%\B5TTmp\B5TMain.exe
%All Users Profile%\B5TTmp\chrm.exe
%All Users Profile%\B5TTmp\files.json
%All Users Profile%\B5TTmp\resource\b5t_setup_bg.png
%All Users Profile%\B5TTmp\resource\btn_installing.png
%All Users Profile%\B5TTmp\resource\btn_white.png
%All Users Profile%\B5TTmp\resource\check_box.bmp
%All Users Profile%\B5TTmp\resource\close.png
%All Users Profile%\B5TTmp\resource\DirectUI\scrollArrowDown.bmp
%All Users Profile%\B5TTmp\resource\DirectUI\scrollArrowUp.bmp
%All Users Profile%\B5TTmp\resource\DirectUI\scrollBar.bmp
%All Users Profile%\B5TTmp\resource\DirectUI\srollBk.bmp
%All Users Profile%\B5TTmp\resource\downArrow.png
%All Users Profile%\B5TTmp\resource\exitDlgBK.png
%All Users Profile%\B5TTmp\resource\orangeBK.png
%All Users Profile%\B5TTmp\resource\orangeButtonBK.png
%All Users Profile%\B5TTmp\resource\progressBk.bmp
%All Users Profile%\B5TTmp\resource\progressUnBk.bmp
%All Users Profile%\B5TTmp\resource\ReadMe.txt
%All Users Profile%\B5TTmp\resource\upArrow.png
%All Users Profile%\B5TTmp\resource\whiteBK.png
%All Users Profile%\B5TTmp\resource\wtl.exe.manifest
%AppDataLocal%\B5T\Plugin\B5TShoppingAssistant.dll
%AppDataLocal%\B5T\Plugin\B5TShoppingAssistant64.dll
%AppDataLocal%\B5T\Plugin\npB5TPlugin.dll
%AppDataLocal%\B5T\Plugin\npB5TPlugin64.dll
%AppDataLocal%\B5T\Plugin\sites.dat
%AppDataLocal%\B5T\Plugin\NaMsgHost\B5TAdaptorChrm.exe
%AppDataLocal%\B5T\Plugin\NaMsgHost\B5TAdaptorFx.dll
%AppDataLocal%\B5T\Plugin\NaMsgHost\com.b5t.chrome.namsg.b5t-win.json
%AppDataLocal%\B5T\Share\B5TService.exe
%User Temp%\{random}\B5TAssist.exe
%User Temp%\{random}\MainConfig.ini
%User Temp%\{random}\UninstMgr.exe
%User Temp%\B5TMini.exe
%AppDataLocalLow%\B5T\MainConfig.ini
%AppDataLocalLow%\B5T\ServerConfig.ini
%AppDataLocalLow%\B5T\UserConfig.ini
%Desktop%\帮5淘.lnk
%Start Menu%\Programs\帮5淘\卸载帮5淘.lnk
%Start Menu%\Programs\帮5淘\帮5买官方首页.lnk
%Start Menu%\Programs\帮5淘\帮5淘使用攻略.lnk
%Start Menu%\Programs\帮5淘\帮5淘桌面版.lnk

(註：%All Users Profile%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\All Users”、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\ProgramData” です。.. %AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local" です。. %User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。.. %AppDataLocalLow%フォルダは、Windows Vista および 7 の場合、通常、"C:\Users\＜ユーザ名＞\AppData\LocalLow" です。. %Desktop%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Desktop"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\Desktop" です。.. %Start Menu%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Windows\Start Menu" または "C:\Documents and Settings\＜ユーザ名＞\Start Menu"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming\Microsoft\Windows\Start Menu" です。.)

自動実行方法

プログラムは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\B5TService
Type = "00000110"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\B5TService
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\B5TService
ImagePath = "{user-specified path}\B5T\Share\B5TService.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\B5TService
DisplayName = "B5TService"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\B5TService
ObjectName = "LocalSystem"

プログラムは、以下のレジストリキーを追加し、自身を Browser Helper Object（BHO）として登録します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Browser Helper Objects\{CLSID 1}

プログラムは、以下のレジストリ値を追加し、自身をBrowser Helper Object（BHO）として登録します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Browser Helper Objects\{CLSID 1}
(Default) = "°ï5ÌÔ-°ï5ÂòÆìÏÂ¹ºÎïÖúÊÖ-ä¯ÀÀÆ÷À©Õ¹"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Browser Helper Objects\{CLSID 1}
NoExplorer = "1"

プログラムは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\B5TService

他のシステム変更

プログラムは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\B5MSoft\
B5T
value{number} = "{random values}"

HKEY_CURRENT_USER\Software\B5MSoft\
B5T
Path = "{user-specified path}\B5T"

HKEY_CURRENT_USER\Software\B5MSoft\
B5T
ad = "{date}"

HKEY_LOCAL_MACHINE\SOFTWARE\B5TService
ALive = "{Date}"

HKEY_LOCAL_MACHINE\SOFTWARE\B5TService
Update = "{Date}"

HKEY_CURRENT_USER\Software\360\
360se6\Chrome\Extensions\
nklfajnmfbchcceflgddnkignfheooic
Path = "{user-specified path}\B5T\6.0.4\Extensions\B5TShoppingAssistant.crx"

HKEY_CURRENT_USER\Software\360\
360se6\Chrome\Extensions\
nklfajnmfbchcceflgddnkignfheooic
Version = "6.0.4"

HKEY_CURRENT_USER\Software\360Chrome\
Chrome\Extensions\nklfajnmfbchcceflgddnkignfheooic
Path = "{user-specified path}\B5T\6.0.4\Extensions\B5TShoppingAssistant.crx"

HKEY_CURRENT_USER\Software\360Chrome\
Chrome\Extensions\nklfajnmfbchcceflgddnkignfheooic
Version = "6.0.4"

HKEY_CURRENT_USER\Software\TheWorld Chrome\
Chrome\Extensions\nklfajnmfbchcceflgddnkignfheooic
Path = "{user-specified path}\B5T\6.0.4\Extensions\B5TShoppingAssistant.crx"

HKEY_CURRENT_USER\Software\TheWorld Chrome\
Chrome\Extensions\nklfajnmfbchcceflgddnkignfheooic
Version = "6.0.4"

HKEY_CURRENT_USER\Software\Google\
Chrome\Extensions\nklfajnmfbchcceflgddnkignfheooic
Path = "{user-specified path}\B5T\6.0.4\Extensions\B5TShoppingAssistantNativeMsg.crx"

HKEY_CURRENT_USER\Software\Google\
Chrome\Extensions\nklfajnmfbchcceflgddnkignfheooic
Version = "6.0.4"

HKEY_LOCAL_MACHINE\SOFTWARE\Google\
Chrome\NativeMessagingHosts\com.b5t.chrome.namsg.b5t
(Default) = "{user-specified path}\B5T\Plugin\NaMsgHost\com.b5t.chrome.namsg.b5t-win.json"

HKEY_CURRENT_USER\Software\MozillaPlugins\
B5MSoft.com/Bang5TaoPlugin
Path = "%AppDataLocal%\B5T\Plugin\npB5TPlugin.dll"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Low Rights\ElevationPolicy\
{GUID 1}
AppName = "B5TUpdate.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Low Rights\ElevationPolicy\
{GUID 1}
AppPath = "{user-specified path}\B5T\6.0.4\"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Low Rights\ElevationPolicy\
{GUID 1}
Policy = "3"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Low Rights\ElevationPolicy\
{GUID 2}
AppName = "B5TClient.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Low Rights\ElevationPolicy\
{GUID 2}
AppPath = "{user-specified path}\B5T\6.0.4\"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Low Rights\ElevationPolicy\
{GUID 2}
Policy = "3"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Low Rights\ElevationPolicy\
{GUID 3}
AppName = "B5TMain.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Low Rights\ElevationPolicy\
{GUID 3}
AppPath = "{user-specified path}\B5T"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Low Rights\ElevationPolicy\
{GUID 3}
Policy = "3"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Low Rights\ElevationPolicy\
{GUID 4}
AppName = "B5TPopup.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Low Rights\ElevationPolicy\
{GUID 4}
AppPath = "{user-specified path}\B5T\6.0.4\"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Low Rights\ElevationPolicy\
{GUID 4}
Policy = "3"

プログラムは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
b5m_app_extension.ShopAssist
(Default) = "ShopAssist Class"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
b5m_app_extension.ShopAssist.1
(Default) = "ShopAssist Class"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
b5m_app_extension.ShopAssist.1\CLSID
(Default) = "{CLSID 1}"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
b5m_app_extension.ShopAssist\CLSID
(Default) = "{CLSID 1}"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
b5m_app_extension.ShopAssist\CurVer
(Default) = "b5m_app_extension.ShopAssist.1"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{CLSID 1}
(Default) = "°ï5ÌÔ-°ï5ÂòÆìÏÂ¹ºÎïÖúÊÖ-ä¯ÀÀÆ÷À©Õ¹"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{CLSID 1}\InprocServer32
(Default) = "%AppDataLocal%\B5T\Plugin\B5TShoppingAssistant.dll"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{CLSID 1}\InprocServer32
ThreadingModel = "Apartment"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{CLSID 1}\ProgID
(Default) = "b5m_app_extension.ShopAssist.1"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{CLSID 1}\TypeLib
(Default) = "{CLSID 3}"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{CLSID 1}\VersionIndependentProgID
(Default) = "b5m_app_extension.ShopAssist"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
AppID\{GUID 6}
(Default) = "b5m_app_extension"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
AppID\b5m_app_extension.DLL
AppID = "{GUID 6}"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
TypeLib\{CLSID 3}\1.0
(Default) = "b5m_app_extension 1.0 {random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
TypeLib\{CLSID 3}\1.0\
0\win32
(Default) = "%AppDataLocal%\B5T\Plugin\B5TShoppingAssistant.dll"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
TypeLib\{CLSID 3}\1.0\
HELPDIR
(Default) = "%AppDataLocal%\B5T\Plugin"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Interface\{CLSID 4}
(Default) = "IShopAssist"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Interface\{CLSID 4}\TypeLib
(Default) = "{CLSID 3}"

HKEY_CURRENT_USER\Software\Classes\
MIME\Database\Content Type\
application/x-bang5taoplugin
CLSID = "{CLSID 2}"

HKEY_CURRENT_USER\Software\Classes\
MIME\Database\Content Type\
application/x-bang5taoplugin
(Default) = "Bang5Tao plugin"

HKEY_CURRENT_USER\Software\Classes\
MIME\Database\Content Type\
application/x-bang5taoplugin
Extension = ""

HKEY_CURRENT_USER\Software\Classes\
B5MSoft.Bang5TaoPlugin
(Default) = "Bang5Tao plugin"

HKEY_CURRENT_USER\Software\Classes\
B5MSoft.Bang5TaoPlugin.1
(Default) = "Bang5Tao plugin"

HKEY_CURRENT_USER\Software\Classes\
B5MSoft.Bang5TaoPlugin.1\CLSID
(Default) = "{CLSID 2}"

HKEY_CURRENT_USER\Software\Classes\
B5MSoft.Bang5TaoPlugin\CLSID
(Default) = "{CLSID 2}"

HKEY_CURRENT_USER\Software\Classes\
B5MSoft.Bang5TaoPlugin\CurVer
(Default) = "B5MSoft.Bang5TaoPlugin.1"

HKEY_CURRENT_USER\Software\Classes\
CLSID\{CLSID 2}
AppID = "{GUID 5}"

HKEY_CURRENT_USER\Software\Classes\
CLSID\{CLSID 2}
(Default) = "Bang5Tao plugin"

HKEY_CURRENT_USER\Software\Classes\
CLSID\{CLSID 2}\InprocServer32
(Default) = "%AppDataLocal%\B5T\Plugin\npB5TPlugin.dll"

HKEY_CURRENT_USER\Software\Classes\
CLSID\{CLSID 2}\ProgID
(Default) = "B5MSoft.Bang5TaoPlugin.1"

HKEY_CURRENT_USER\Software\Classes\
CLSID\{CLSID 2}\TypeLib
(Default) = "{CLSID 5}"

HKEY_CURRENT_USER\Software\Classes\
CLSID\{CLSID 2}\Version
(Default) = "1"

HKEY_CURRENT_USER\Software\Classes\
CLSID\{CLSID 2}\VersionIndependentProgID
(Default) = "B5MSoft.Bang5TaoPlugin"

HKEY_CURRENT_USER\Software\Classes\
AppID\{GUID 5}
(Default) = "FireBreathWin"

HKEY_CURRENT_USER\Software\Classes\
AppID\npB5TPlugin64.dll
AppID = "{GUID 5}"

HKEY_CURRENT_USER\Software\Classes\
TypeLib\{CLSID 5}\1.0
(Default) = "Bang5TaoPlugin 1.0 Type Library"

HKEY_CURRENT_USER\Software\Classes\
TypeLib\{CLSID 5}\1.0\
0\win32
(Default) = "%AppDataLocal%\B5T\Plugin\npB5TPlugin.dll"

HKEY_CURRENT_USER\Software\Classes\
TypeLib\{CLSID 5}\1.0\
HELPDIR
(Default) = "%AppDataLocal%\B5T\Plugin"

HKEY_CURRENT_USER\Software\Classes\
Interface\{CLSID 6}
(Default) = "IFBComJavascriptObject"

HKEY_CURRENT_USER\Software\Classes\
Interface\{CLSID 6}\TypeLib
(Default) = "{CLSID 5}"

HKEY_CURRENT_USER\Software\Classes\
Interface\{CLSID 7}
(Default) = "IFBComEventSource"

HKEY_CURRENT_USER\Software\Classes\
Interface\{CLSID 7}\TypeLib
(Default) = "{CLSID 5}"

HKEY_CURRENT_USER\Software\Classes\
Interface\{CLSID 8}
(Default) = "IFBControl"

HKEY_CURRENT_USER\Software\Classes\
Interface\{CLSID 8}\TypeLib
(Default) = "{CLSID 5}"

感染活動

プログラムは、ワーム活動の機能を備えていません。

バックドア活動

プログラムは、バックドア活動の機能を備えていません。

作成活動

プログラムは、以下のファイルを作成します。

Note: These files are moved to a {user-specified path}\B5T directory after installation.
%AppDataLocal%\B5T\Plugin\B5TShoppingAssistant.dll
%AppDataLocal%\B5T\Plugin\B5TShoppingAssistant64.dll
%AppDataLocal%\B5T\Plugin\npB5TPlugin.dll
%AppDataLocal%\B5T\Plugin\npB5TPlugin64.dll
%AppDataLocal%\B5T\Plugin\sites.dat
%AppDataLocal%\B5T\Plugin\NaMsgHost\B5TAdaptorChrm.exe
%AppDataLocal%\B5T\Plugin\NaMsgHost\B5TAdaptorFx.dll
%AppDataLocal%\B5T\Plugin\NaMsgHost\com.b5t.chrome.namsg.b5t-win.json
%AppDataLocal%\B5T\Share\B5TService.exe
%All Users Profile%\B5TTmp\6.0.4\B5TAssist.exe
%All Users Profile%\B5TTmp\6.0.4\B5TChecker.exe
%All Users Profile%\B5TTmp\6.0.4\B5TClient.exe
%All Users Profile%\B5TTmp\6.0.4\b5tconfig.xml
%All Users Profile%\B5TTmp\6.0.4\B5TPopup.exe
%All Users Profile%\B5TTmp\6.0.4\B5TService.exe
%All Users Profile%\B5TTmp\6.0.4\B5TShoppingAssistant.dll
%All Users Profile%\B5TTmp\6.0.4\B5TShoppingAssistant64.dll
%All Users Profile%\B5TTmp\6.0.4\B5TStart.exe
%All Users Profile%\B5TTmp\6.0.4\B5TUninstall.exe
%All Users Profile%\B5TTmp\6.0.4\B5TUpdate.exe
%All Users Profile%\B5TTmp\6.0.4\BugReport.exe
%All Users Profile%\B5TTmp\6.0.4\chrm.exe
%All Users Profile%\B5TTmp\6.0.4\Extensions\B5TShoppingAssistant.crx
%All Users Profile%\B5TTmp\6.0.4\Extensions\B5TShoppingAssistant.mxaddon
%All Users Profile%\B5TTmp\6.0.4\Extensions\B5TShoppingAssistant.sext
%All Users Profile%\B5TTmp\6.0.4\Extensions\B5TShoppingAssistant.xpi
%All Users Profile%\B5TTmp\6.0.4\Extensions\B5TShoppingAssistantNativeMsg.crx
%All Users Profile%\B5TTmp\6.0.4\Extensions\Chrome\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\css\images\b5m-plugin-ng.png
%All Users Profile%\B5TTmp\6.0.4\Extensions\Chrome\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\css\images\b5m-plugin-ng-8bit.png
%All Users Profile%\B5TTmp\6.0.4\Extensions\Chrome\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\css\images\bg.png
%All Users Profile%\B5TTmp\6.0.4\Extensions\Chrome\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\css\images\bg-8bit.png
%All Users Profile%\B5TTmp\6.0.4\Extensions\Chrome\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\css\images\btn-b5t.png
%All Users Profile%\B5TTmp\6.0.4\Extensions\Chrome\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\css\images\btn-b5t-focused.png
%All Users Profile%\B5TTmp\6.0.4\Extensions\Chrome\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\css\images\btn-kuaidi.png
%All Users Profile%\B5TTmp\6.0.4\Extensions\Chrome\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\css\images\btn-kuaidi-focused.png
%All Users Profile%\B5TTmp\6.0.4\Extensions\Chrome\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\css\images\co-logo.png
%All Users Profile%\B5TTmp\6.0.4\Extensions\Chrome\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\css\popup.css
%All Users Profile%\B5TTmp\6.0.4\Extensions\Chrome\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\icons\icon_128.png
%All Users Profile%\B5TTmp\6.0.4\Extensions\Chrome\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\icons\icon_16.png
%All Users Profile%\B5TTmp\6.0.4\Extensions\Chrome\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\icons\icon_19.png
%All Users Profile%\B5TTmp\6.0.4\Extensions\Chrome\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\icons\icon_24.png
%All Users Profile%\B5TTmp\6.0.4\Extensions\Chrome\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\icons\icon_32.png
%All Users Profile%\B5TTmp\6.0.4\Extensions\Chrome\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\icons\icon_48.png
%All Users Profile%\B5TTmp\6.0.4\Extensions\Chrome\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\icons\icon_64.png
%All Users Profile%\B5TTmp\6.0.4\Extensions\Chrome\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\images\b5m-icons.png
%All Users Profile%\B5TTmp\6.0.4\Extensions\Chrome\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\images\co-logo.png
%All Users Profile%\B5TTmp\6.0.4\Extensions\Chrome\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\images\logo.png
%All Users Profile%\B5TTmp\6.0.4\Extensions\Chrome\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\images\mlogo.png
%All Users Profile%\B5TTmp\6.0.4\Extensions\Chrome\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\images\qukankan.png
%All Users Profile%\B5TTmp\6.0.4\Extensions\Chrome\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\images\selected.png
%All Users Profile%\B5TTmp\6.0.4\Extensions\Chrome\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\images\shezhi.png
%All Users Profile%\B5TTmp\6.0.4\Extensions\Chrome\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\images\top-bg.png
%All Users Profile%\B5TTmp\6.0.4\Extensions\Chrome\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\images\unselected.png
%All Users Profile%\B5TTmp\6.0.4\Extensions\Chrome\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\js\jquery-1.7.1.min.js
%All Users Profile%\B5TTmp\6.0.4\Extensions\Chrome\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\js\tinyScrollbar.js
%All Users Profile%\B5TTmp\6.0.4\Extensions\Chrome\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\background.html
%All Users Profile%\B5TTmp\6.0.4\Extensions\Chrome\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\background.js
%All Users Profile%\B5TTmp\6.0.4\Extensions\Chrome\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\contentscript.js
%All Users Profile%\B5TTmp\6.0.4\Extensions\Chrome\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\manifest.json
%All Users Profile%\B5TTmp\6.0.4\Extensions\Chrome\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\notification.js
%All Users Profile%\B5TTmp\6.0.4\Extensions\Chrome\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\options.css
%All Users Profile%\B5TTmp\6.0.4\Extensions\Chrome\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\options.html
%All Users Profile%\B5TTmp\6.0.4\Extensions\Chrome\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\options.js
%All Users Profile%\B5TTmp\6.0.4\Extensions\Chrome\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\views\popup.html
%All Users Profile%\B5TTmp\6.0.4\Extensions\Chrome\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\views\popup.js
%All Users Profile%\B5TTmp\6.0.4\Extensions\Chrome\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\_locales\en\messages.json
%All Users Profile%\B5TTmp\6.0.4\Extensions\Chrome\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\_locales\zh_CN\messages.json
%All Users Profile%\B5TTmp\6.0.4\Extensions\Chrome\setting_chrome.json
%All Users Profile%\B5TTmp\6.0.4\Extensions\ChromeCore\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\css\images\b5m-plugin-ng.png
%All Users Profile%\B5TTmp\6.0.4\Extensions\ChromeCore\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\css\images\b5m-plugin-ng-8bit.png
%All Users Profile%\B5TTmp\6.0.4\Extensions\ChromeCore\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\css\images\bg.png
%All Users Profile%\B5TTmp\6.0.4\Extensions\ChromeCore\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\css\images\bg-8bit.png
%All Users Profile%\B5TTmp\6.0.4\Extensions\ChromeCore\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\css\images\btn-b5t.png
%All Users Profile%\B5TTmp\6.0.4\Extensions\ChromeCore\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\css\images\btn-b5t-focused.png
%All Users Profile%\B5TTmp\6.0.4\Extensions\ChromeCore\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\css\images\btn-kuaidi.png
%All Users Profile%\B5TTmp\6.0.4\Extensions\ChromeCore\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\css\images\btn-kuaidi-focused.png
%All Users Profile%\B5TTmp\6.0.4\Extensions\ChromeCore\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\css\images\co-logo.png
%All Users Profile%\B5TTmp\6.0.4\Extensions\ChromeCore\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\css\popup.css
%All Users Profile%\B5TTmp\6.0.4\Extensions\ChromeCore\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\icons\icon_128.png
%All Users Profile%\B5TTmp\6.0.4\Extensions\ChromeCore\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\icons\icon_16.png
%All Users Profile%\B5TTmp\6.0.4\Extensions\ChromeCore\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\icons\icon_19.png
%All Users Profile%\B5TTmp\6.0.4\Extensions\ChromeCore\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\icons\icon_24.png
%All Users Profile%\B5TTmp\6.0.4\Extensions\ChromeCore\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\icons\icon_32.png
%All Users Profile%\B5TTmp\6.0.4\Extensions\ChromeCore\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\icons\icon_48.png
%All Users Profile%\B5TTmp\6.0.4\Extensions\ChromeCore\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\icons\icon_64.png
%All Users Profile%\B5TTmp\6.0.4\Extensions\ChromeCore\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\images\b5m-icons.png
%All Users Profile%\B5TTmp\6.0.4\Extensions\ChromeCore\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\images\co-logo.png
%All Users Profile%\B5TTmp\6.0.4\Extensions\ChromeCore\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\images\logo.png
%All Users Profile%\B5TTmp\6.0.4\Extensions\ChromeCore\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\images\mlogo.png
%All Users Profile%\B5TTmp\6.0.4\Extensions\ChromeCore\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\images\qukankan.png
%All Users Profile%\B5TTmp\6.0.4\Extensions\ChromeCore\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\images\selected.png
%All Users Profile%\B5TTmp\6.0.4\Extensions\ChromeCore\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\images\shezhi.png
%All Users Profile%\B5TTmp\6.0.4\Extensions\ChromeCore\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\images\top-bg.png
%All Users Profile%\B5TTmp\6.0.4\Extensions\ChromeCore\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\images\unselected.png
%All Users Profile%\B5TTmp\6.0.4\Extensions\ChromeCore\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\js\jquery-1.7.1.min.js
%All Users Profile%\B5TTmp\6.0.4\Extensions\ChromeCore\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\assets\js\tinyScrollbar.js
%All Users Profile%\B5TTmp\6.0.4\Extensions\ChromeCore\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\background.html
%All Users Profile%\B5TTmp\6.0.4\Extensions\ChromeCore\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\background.js
%All Users Profile%\B5TTmp\6.0.4\Extensions\ChromeCore\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\contentscript.js
%All Users Profile%\B5TTmp\6.0.4\Extensions\ChromeCore\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\manifest.json
%All Users Profile%\B5TTmp\6.0.4\Extensions\ChromeCore\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\notification.js
%All Users Profile%\B5TTmp\6.0.4\Extensions\ChromeCore\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\options.css
%All Users Profile%\B5TTmp\6.0.4\Extensions\ChromeCore\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\options.html
%All Users Profile%\B5TTmp\6.0.4\Extensions\ChromeCore\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\options.js
%All Users Profile%\B5TTmp\6.0.4\Extensions\ChromeCore\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\views\popup.html
%All Users Profile%\B5TTmp\6.0.4\Extensions\ChromeCore\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\views\popup.js
%All Users Profile%\B5TTmp\6.0.4\Extensions\ChromeCore\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\_locales\en\messages.json
%All Users Profile%\B5TTmp\6.0.4\Extensions\ChromeCore\nklfajnmfbchcceflgddnkignfheooic\6.0.4_0\_locales\zh_CN\messages.json
%All Users Profile%\B5TTmp\6.0.4\Extensions\ChromeCore\setting.json
%All Users Profile%\B5TTmp\6.0.4\Extensions\ChromeCore\setting_360.json
%All Users Profile%\B5TTmp\6.0.4\Extensions\Firefox.json
%All Users Profile%\B5TTmp\6.0.4\logo.ico
%All Users Profile%\B5TTmp\6.0.4\merchantPic.xml
%All Users Profile%\B5TTmp\6.0.4\NaMsgHost\B5TAdaptorChrm.exe
%All Users Profile%\B5TTmp\6.0.4\NaMsgHost\B5TAdaptorFx.dll
%All Users Profile%\B5TTmp\6.0.4\NaMsgHost\com.b5t.chrome.namsg.b5t-win.json
%All Users Profile%\B5TTmp\6.0.4\npB5TPlugin.dll
%All Users Profile%\B5TTmp\6.0.4\npB5TPlugin64.dll
%All Users Profile%\B5TTmp\6.0.4\resconfig.dll
%All Users Profile%\B5TTmp\6.0.4\resource\aboutBG.png
%All Users Profile%\B5TTmp\6.0.4\resource\AppClose.png
%All Users Profile%\B5TTmp\6.0.4\resource\Applogo.png
%All Users Profile%\B5TTmp\6.0.4\resource\AppMini.png
%All Users Profile%\B5TTmp\6.0.4\resource\AppSet.png
%All Users Profile%\B5TTmp\6.0.4\resource\bg.png
%All Users Profile%\B5TTmp\6.0.4\resource\bg_setting.png
%All Users Profile%\B5TTmp\6.0.4\resource\bg_unbk.png
%All Users Profile%\B5TTmp\6.0.4\resource\bubble\bubble_bk1.png
%All Users Profile%\B5TTmp\6.0.4\resource\bubble\bubble_bk2.png
%All Users Profile%\B5TTmp\6.0.4\resource\bubble\bubble_close.png
%All Users Profile%\B5TTmp\6.0.4\resource\check_box.bmp
%All Users Profile%\B5TTmp\6.0.4\resource\check_box3.bmp
%All Users Profile%\B5TTmp\6.0.4\resource\checkstop.png
%All Users Profile%\B5TTmp\6.0.4\resource\choose.png
%All Users Profile%\B5TTmp\6.0.4\resource\close.png
%All Users Profile%\B5TTmp\6.0.4\resource\Demo1.png
%All Users Profile%\B5TTmp\6.0.4\resource\Demo2.png
%All Users Profile%\B5TTmp\6.0.4\resource\Demo3.png
%All Users Profile%\B5TTmp\6.0.4\resource\editBK.bmp
%All Users Profile%\B5TTmp\6.0.4\resource\exitDlgBK.png
%All Users Profile%\B5TTmp\6.0.4\resource\find_update.png
%All Users Profile%\B5TTmp\6.0.4\resource\jspopclose.png
%All Users Profile%\B5TTmp\6.0.4\resource\min.png
%All Users Profile%\B5TTmp\6.0.4\resource\mini\skin1\bg.png
%All Users Profile%\B5TTmp\6.0.4\resource\mini\skin1\chkbox.png
%All Users Profile%\B5TTmp\6.0.4\resource\mini\skin1\close.png
%All Users Profile%\B5TTmp\6.0.4\resource\mini\skin1\min.png
%All Users Profile%\B5TTmp\6.0.4\resource\mini\skin1\setting.json
%All Users Profile%\B5TTmp\6.0.4\resource\orangeBK.png
%All Users Profile%\B5TTmp\6.0.4\resource\orangeButtonBK.png
%All Users Profile%\B5TTmp\6.0.4\resource\phone.png
%All Users Profile%\B5TTmp\6.0.4\resource\progressBk.bmp
%All Users Profile%\B5TTmp\6.0.4\resource\progressUnBk.bmp
%All Users Profile%\B5TTmp\6.0.4\resource\ReadMe.txt
%All Users Profile%\B5TTmp\6.0.4\resource\remindBk.png
%All Users Profile%\B5TTmp\6.0.4\resource\remindBkBig.png
%All Users Profile%\B5TTmp\6.0.4\resource\remindClose.png
%All Users Profile%\B5TTmp\6.0.4\resource\remindDetail.png
%All Users Profile%\B5TTmp\6.0.4\resource\remindlogo.png
%All Users Profile%\B5TTmp\6.0.4\resource\remindQue.png
%All Users Profile%\B5TTmp\6.0.4\resource\search.jpg
%All Users Profile%\B5TTmp\6.0.4\resource\searchEditBK.bmp
%All Users Profile%\B5TTmp\6.0.4\resource\searchIcon.jpg
%All Users Profile%\B5TTmp\6.0.4\resource\share.png
%All Users Profile%\B5TTmp\6.0.4\resource\tabBK.bmp
%All Users Profile%\B5TTmp\6.0.4\resource\trayAbout .png
%All Users Profile%\B5TTmp\6.0.4\resource\trayExit.png
%All Users Profile%\B5TTmp\6.0.4\resource\trayMin.png
%All Users Profile%\B5TTmp\6.0.4\resource\traySetting.png
%All Users Profile%\B5TTmp\6.0.4\resource\trayShowWindow.png
%All Users Profile%\B5TTmp\6.0.4\resource\update_text_bk.jpg
%All Users Profile%\B5TTmp\6.0.4\resource\whiteBK.png
%All Users Profile%\B5TTmp\6.0.4\resource\wtl.exe.manifest
%All Users Profile%\B5TTmp\6.0.4\sites.dat
%All Users Profile%\B5TTmp\6.0.4\UninstMgr.exe
%All Users Profile%\B5TTmp\6.0.4\帮5买官方首页.url
%All Users Profile%\B5TTmp\6.0.4\帮5淘使用攻略.url
%All Users Profile%\B5TTmp\B5TMain.exe

(註：%AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local" です。. %All Users Profile%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\All Users”、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\ProgramData” です。.)

その他

プログラムは、以下のレジストリ値を追加し、「コントロールパネル」の「プログラムの追加と削除」に「アンインストール」オプションを追加します。

HKEY_CURRENT_ USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
帮5淘
DisplayVersion = "6.0.4"

HKEY_CURRENT_ USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
帮5淘
URLInfoAbout = "www.b5m.com"

HKEY_CURRENT_ USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
帮5淘
Publisher = "载信软件（上海）有限公司"

HKEY_CURRENT_ USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
帮5淘
DisplayName = "帮5淘"

HKEY_CURRENT_ USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
帮5淘
UninstallString = "{user-specified path}\B5T\6.0.4\B5TUninstall.exe"

HKEY_CURRENT_ USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
帮5淘
DisplayIcon = "{user-specified path}\B5T\6.0.4\logo.ico"

プログラムは、以下のWebサイトにアクセスし、情報を送受信します。

http://{BLOCKED}gin.{BLOCKED}m.com/assets/main/js/b5m.vipAd.js?
http://cdn.{BLOCKED}m.com/upload/plugin/ad/weibo.png
http://cdn.{BLOCKED}ai.com/upload/plugin/update/huodong/act_merch/pc.html?
http://p.{BLOCKED}m.com/extension.do?method=js
http://{BLOCKED}n.{BLOCKED}ai.com/
http://www.{BLOCKED}m.com/?
http://t.{BLOCKED}m.com/

プログラムは、アンインストールパッケージ機能を搭載しています。これにより、このプログラムが作成したファイルや追加したレジストリは削除されます。

作成活動で、プログラムに作成されたファイルはインストール後、ディレクトリ"{user-specified path}\B5T"へ移動されます。

プログラムは、以下のファイルを作成しブラウザ拡張子として自身にインストールします。

%Application Data%\{Mozilla Firefox path}\b5t.modules@b5t\B5TAdaptorFx.dll
%Application Data%\{Mozilla Firefox path}\extensions\staged\extension@b5m.com.json
%Application Data%\{Mozilla Firefox path}\extensions\staged\extension@b5m.com.xpi

ディレクトリ"%AppDataLocal%\B5T\6.0.4\Extensions\Chrome"に存在するファイルは、Google Chromeの拡張子のディレクトリにコピーされます。

プログラムは、インストール後、以下の画面を表示します。

プログラムは、インストールされるフォルダを変更することができます。

プログラムは、ルートキット機能を備えていません。

プログラムは、脆弱性を利用した感染活動を行いません。

対応方法

対応検索エンジン: 9.750

SSAPI パターンバージョン: 1.643.00

SSAPI パターンリリース日: 2015年7月23日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム（OS）の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル／フォルダ／レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 3

Windowsをセーフモードで再起動します。

[ 詳細 ]

セーフモードでの起動：

• Windows 2000 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows XP の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows Server 2003 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows Vista、Windows 7 および Windows Server 2008 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「詳細ブートオプション」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows 8、8.1 および Server 2012の場合：

画面の右上隅へマウスポインタを移動し、[チャーム]バーを表示します。
マウスで、[設定]－[PC設定の変更]を選択します。
左側のパネルで、[全般]を選択します。
右側のパネルで、[PCの起動をカスタマイズする]が表示されるまで下にスクロールし、[今すぐ再起動]をクリック。コンピュータが再起動するまで待ちます。
[オプションの選択]メニューで、[トラブルシューティング]－[詳細オプション]－[スタートアップ設定]－[再起動]をクリックします。
[スタートアップ設定]メニューで、[4]キーを押し、「4）セーフモードを有効にする」を選択します。

手順 4

自身のアンインストールオプションを使用し、「PUA_BANGMAI」を削除します。

[ 詳細 ]

マルウェアのプロセスの削除DATA_GENERIC

[削除]をクリックします。

表示されるダイアログボックスの指示に従ってください。

[プログラムの追加と削除]ウインドウを閉じ、[コントロールパネル]ウインドウも閉じます。

手順 5

最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「PUA_BANGMAI」と検出したファイルはすべて削除してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 6

このレジストリキーを削除します。

[ 詳細 ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- B5TService
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
- {CLSID 1}
In HKEY_CURRENT_USER\Software
- B5MSoft
In HKEY_LOCAL_MACHINE\SOFTWARE
- B5TService
In HKEY_CURRENT_USER\Software
- 360
In HKEY_CURRENT_USER\Software
- 360Chrome
In HKEY_CURRENT_USER\Software
- TheWorld Chrome
In HKEY_CURRENT_USER\Software\Google\Chrome\Extensions
- nklfajnmfbchcceflgddnkignfheooic
In HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome\NativeMessagingHosts
- com.b5t.chrome.namsg.b5t
In HKEY_CURRENT_USER\Software\MozillaPlugins
- B5MSoft.com
In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights
- ElevationPolicy
In HKEY_LOCAL_MACHINE\SOFTWARE\Classes
- b5m_app_extension.ShopAssist
In HKEY_LOCAL_MACHINE\SOFTWARE\Classes
- b5m_app_extension.ShopAssist.1
In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
- {CLSID 1}
In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID
- b5m_app_extension.DLL
In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID
- {GUID 6}
In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib
- {CLSID 3}
In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
- {CLSID 4}
In HKEY_CURRENT_USER\Software\Classes\MIME\Database\Content Type
- application/x-bang5taoplugin
In HKEY_CURRENT_USER\Software\Classes
- B5MSoft.Bang5TaoPlugin
In HKEY_CURRENT_USER\Software\Classes
- B5MSoft.Bang5TaoPlugin.1
In HKEY_CURRENT_USER\Software\Classes\CLSID
- {CLSID 2}
In HKEY_CURRENT_USER\Software\Classes\AppID
- {GUID 5}
In HKEY_CURRENT_USER\Software\Classes\AppID
- npB5TPlugin64.d
In HKEY_CURRENT_USER\Software\Classes\TypeLib
- {CLSID 5}
In HKEY_CURRENT_USER\Software\Classes\Interface
- {CLSID 6}
In HKEY_CURRENT_USER\Software\Classes\Interface
- {CLSID 7}
In HKEY_CURRENT_USER\Software\Classes\Interface
- {CLSID 8}

このマルウェアが追加したレジストリキーの削除：

コンピュータをセーフモードで再起動します。セーフモードでの再起動については、こちらをご参照下さい。
「レジストリエディタ」を起動します。
- Windows 2000、XP および Server 2003 の場合：
  [スタート]-[ファイル名を指定して実行]を選択し、regedit と入力し、Enter を押します。
- Windows Vista、7 および Server 2008 の場合：
  [スタート]をクリックし、検索入力欄に regedit と入力し、Enter を押します。
- Windows 8、8.1 および Server 2012 の場合：
  画面の左下隅を右クリックし、[ファイル名を指定して実行]を選択します。入力ボックスに regedit と入力し、Enter を押します。
※regedit は半角英数字で入力する必要があります（大文字／小文字は区別されません）。
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services
上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
B5TService
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Explorer>Browser Helper Objects
上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
{CLSID 1}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software
上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
B5MSoft
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE
上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
B5TService
上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
360
上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
360Chrome
上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
TheWorld Chrome
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Google>Chrome>Extensions
上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
nklfajnmfbchcceflgddnkignfheooic
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Google>Chrome>NativeMessagingHosts
上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
com.b5t.chrome.namsg.b5t
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>MozillaPlugins
上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
B5MSoft.com
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Microsoft>Internet Explorer>Low Rights
上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
ElevationPolicy
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Classes
上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
b5m_app_extension.ShopAssist
上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
b5m_app_extension.ShopAssist.1
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Classes>CLSID
上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
{CLSID 1}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Classes>AppID
上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
b5m_app_extension.DLL
上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
{GUID 6}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Classes>TypeLib
上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
{CLSID 3}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Classes>Interface
上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
{CLSID 4}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Classes>MIME>Database>Content Type
上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
application/x-bang5taoplugin
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Classes
上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
B5MSoft.Bang5TaoPlugin
上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
B5MSoft.Bang5TaoPlugin.1
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Classes>CLSID
上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
{CLSID 2}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Classes>AppID
上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
{GUID 5}
上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
npB5TPlugin64.d
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Classes>TypeLib
上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
{CLSID 5}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Classes>Interface
上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
{CLSID 6}
上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
{CLSID 7}
上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
{CLSID 8}
「レジストリエディタ」を閉じます。

手順 7

以下のフォルダを検索し削除します。

[ 詳細 ]

フォルダが隠しフォルダ属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

%All Users Profile%\B5TTmp
%AppDataLocal%\B5T
{user-specified path}\B5T
%User Temp%\{random}
%AppDataLocalLow%\B5T
%Start Menu%\Programs\帮5淘

このマルウェアまたはアドウェア等が作成したフォルダの削除：

Windows 2000、XP および Server 2003 の場合：

[スタート]-[検索]-[ファイルとフォルダすべて]を選択します。
[ファイル名のすべてまたは一部]に、以下のフォルダ名を入力してください。

%All Users Profile%\B5TTmp
%AppDataLocal%\B5T
{user-specified path}\B5T
%User Temp%\{random}
%AppDataLocalLow%\B5T
%Start Menu%\Programs\帮5淘
[探す場所]の一覧から[マイコンピュータ]を選択し、[検索]を押します。
検索が終了したら、フォルダを選択し、SHIFT+DELETE を押します。これにより、フォルダが完全に削除されます。
残りのフォルダに対して、このマルウェアまたはアドウェア等が作成したフォルダの削除の手順 2.）から 4.）を繰り返してください。

%All Users Profile%\B5TTmp
%AppDataLocal%\B5T
{user-specified path}\B5T
%User Temp%\{random}
%AppDataLocalLow%\B5T
%Start Menu%\Programs\帮5淘

註：ファイル名の入力欄のタイトルは、Windowsのバージョンによって異なります。（例：ファイルやフォルダ名の検索の場合やファイル名のすべてまたは一部での検索）

Windows Vista、7、Server 2008、8、8.1 および Server 2012 の場合：

Windowsエクスプローラ画面を開きます。
- Windows Vista、7 および Server 2008 の場合：
  - [スタート]-[コンピューター]を選択します。
- Windows 8、8.1 および Server 2012 の場合：
  - 画面の左隅を右クリックし、[エクスプローラー]を選択します。
[コンピューターの検索]に、以下を入力します。

%All Users Profile%\B5TTmp
%AppDataLocal%\B5T
{user-specified path}\B5T
%User Temp%\{random}
%AppDataLocalLow%\B5T
%Start Menu%\Programs\帮5淘
検索が終了したら、そのファイルを選択し、SHIFT+DELETE を押します。これにより、フォルダが完全に削除されます。
残りのフォルダに対して、このマルウェアまたはアドウェア等が作成したフォルダの削除の手順 2.）から 3.）を繰り返してください。

%All Users Profile%\B5TTmp
%AppDataLocal%\B5T
{user-specified path}\B5T
%User Temp%\{random}
%AppDataLocalLow%\B5T
%Start Menu%\Programs\帮5淘

註：Windows 7 において上記の手順が正しく行われない場合、マイクロソフトのWebサイトをご確認ください。

手順 8

以下のファイルを検索し削除します。

[ 詳細 ]

コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

%User Temp%\B5TMini.exe
%Desktop%\帮5淘.lnk
%Start Menu%\Programs\帮5淘\卸载帮5淘.lnk
%Start Menu%\Programs\帮5淘\帮5买官方首页.lnk
%Start Menu%\Programs\帮5淘\帮5淘使用攻略.lnk
%Start Menu%\Programs\帮5淘\帮5淘桌面版.lnk

マルウェアのコンポーネントファイルの削除：

Windows 2000、XP および Server 2003 の場合：

[スタート]-[検索]-[ファイルとフォルダすべて]を選択します。
[ファイル名のすべてまたは一部]に以下のファイル名を入力してください。

%User Temp%\B5TMini.exe
%Desktop%\帮5淘.lnk
%Start Menu%\Programs\帮5淘\卸载帮5淘.lnk
%Start Menu%\Programs\帮5淘\帮5买官方首页.lnk
%Start Menu%\Programs\帮5淘\帮5淘使用攻略.lnk
%Start Menu%\Programs\帮5淘\帮5淘桌面版.lnk
[探す場所]の一覧から[マイコンピュータ]を選択し、[検索]を押します。
検索が終了したら、ファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
註：ファイル名の入力欄のタイトルは、Windowsのバージョンによって異なります。（例：ファイルやフォルダ名の検索の場合やファイル名のすべてまたは一部での検索）

Windows Vista、7、Server 2008、8、8.1 および Server 2012 の場合：

Windowsエクスプローラ画面を開きます。
- Windows Vista、7 および Server 2008 の場合：
  - [スタート]-[コンピューター]を選択します。
- Windows 8、8.1 および Server 2012 の場合：
  - 画面の左下隅を右クリックし、[エクスプローラー]を選択します。
[コンピューターの検索]に、以下を入力します。

%User Temp%\B5TMini.exe
%Desktop%\帮5淘.lnk
%Start Menu%\Programs\帮5淘\卸载帮5淘.lnk
%Start Menu%\Programs\帮5淘\帮5买官方首页.lnk
%Start Menu%\Programs\帮5淘\帮5淘使用攻略.lnk
%Start Menu%\Programs\帮5淘\帮5淘桌面版.lnk
ファイルが表示されたら、そのファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
註：Windows 7 において上記の手順が正しく行われない場合、マイクロソフトのWebサイトをご確認ください。

手順 9

コンピュータを通常モードで再起動し、最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、「PUA_BANGMAI」と検出したファイルの検索を実行してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

ご利用はいかがでしたか？　アンケートにご協力ください