ウイルスが削除できません。

OSはWindows MEでウイルスバスター2005を使っています。
以前はウイルスバスター2003を使っていましたが、最近アップグレードしました。
アップグレードする前から今でも消えないのですがTROJ_LMIR.NIというウイルスがほとんど毎回ウイルスバスターに反応してきます。
ウイルスログを見てみると隔離済みとなっているときもあれば隔離できませんとなっている場合があります。
ファイル名はC:\WINDOWS\MWQU_32.DLLとなっています。
IEのホーム　ページが毎回PCを起動させるたびに変な海外のサイトに切り替わってしまうので毎回設定を戻さなければいけないので大変です。
もしかすると、このウイルスが原因ではないのかもしれませんがどうか駆除方法を教えてください。

No.9 ベストアンサー 回答者： doki2 回答日時： 2005/10/22 08:47

とりあえず下記のツールを試してください。

☆強削
http://www.vector.co.jp/soft/win95/util/se298257 …

消したいファイルを実行ファイルまたはそのショートカットにドラッグ＆ドロップするだけです。
複数ファイル（最大数あり）を一気に削除することも出来ます。
メモリーで実行中のファイルはパソコンを再起動したときに削除されます。

この回答へのお礼

削除できました！
長々とありがとうございました！

お礼日時：2005/10/24 01:03

No.10 回答者： doki2 回答日時： 2005/10/22 09:44

「強削」でも削除できない場合はちょっと難しい作業になります。

☆「Process Explorer」
http://www.sysinternals.com/Utilities/ProcessExp …

Windows MEの場合ページ下方で下記を選択してください

Download Process Explorer (x86 - 566 KB) - you plan on using Process Explorer on Win9x/Me

「Process Explorer」を起動して、メニューの「Find」＞「Find DLL」をクリックして「Process Explorer Search」画面を呼び出します。

「DLL substring:」に「MWQU_32.DLL」と入力して右側の「Search」をクリック。
画面下の「Process」欄に「MWQU_32.DLL」を呼び出しているプロセスが表示されます。

（表示例）
explorer.exe, 812
iexplore.exe, 3288
winlogon.exe, 672
services.exe, 716
svchost.exe, 872

どういうプロセスが表示されるか補足してください。
～～～～～～～～～～～～～～～～～～～～～～～～
*今日明日出かけますのでコメントできません。あしからず

No.8 回答者： doki2 回答日時： 2005/10/21 15:59

１．IEの画面をすべて閉じておきます。

２．「HijackThis」の画面で下記の行の左にチェックを入れ「Fix checked」をクリック。

　O4 - HKLM\..\Run: [WlN32] regedit -s C:\$NtUninstallQ887678$\WINSYS.cer
　O4 - HKLM\..\Run: [Zzplog] regedit -s c:\windows\system\winlog\WIN32logs.cer
　O4 - HKLM\..\Run: [Aback] regedit -s c:\windows\system\winlog\WIN32logs.cer

３．パソコンを再起動

４．エキスプローラで下記のファイルを削除
　（すでにバスターで駆除ずみかも知れません。）

　C:\$NtUninstallQ887678$\WINSYS.cer
　c:\windows\system\winlog\WIN32logs.cer
　c:\windows\system\winlog\WIN32logs.cer
　
５．「MWQU_32.DLL」

　C:Windowsフォルダにあると思いますが、すでにバスターが駆除したと思います。
　このファイルは多分「C:\WINDOWS\winsearch.exe」から呼び出されていたと思います。
　「C:\WINDOWS\winsearch.exe」の削除後「MWQU_32.DLL」も削除されたのではないでしょうか。
　
　下記に該当しないか確認してください。
　Windows Me/XP の「_restore」フォルダから何度もウイルスを発見してしまう
　http://www.trendmicro.co.jp/esolution/solutionDe …

この回答への補足

たびたび回答ありがとうございます。
1～4の工程はすべて完了しましたが、5番目に問題がでました。
どのような問題かといいますと、「mwqu_32.dll」のファイルがC:\WINDOWSの中にまだありました。（なぜかすべて英語小文字になっていました。）
削除しようとクリックするとウイルスバスターが反応しましたが、削除できませんとでてきました。
手動で削除しようとしても削除できませんでした。
このような場合はどのようにすればいいでしょうか？
たびたびすみません・・・。

また、リンク先のシステムの復元についてですが、これは復元しないようにしております。

補足日時：2005/10/21 21:21

No.7 回答者： noname#40123 回答日時： 2005/10/21 15:14

＞教えていただいたシマンテックの方でもチェックしてみましたが10個ものウイルスが入っていました・・・。

＞ウイルスバスターではそんなになかったのに・・・ショックです。

No4ですけれど、毎回感染確認しているのであればそのようなものです。
どこにどのウィルスが存在していると出たのか補足してもらえますか？
場合によっては、それらも駆除するか、最悪リカバリした方がよいかもしれないようなウィルスに感染しているかもしれないです。
ホームページのアクセスを変えるようなのは、スパイウェアですし、それも入っているのであれば、一筋縄ではいかないでしょう。

No.6 回答者： doki2 回答日時： 2005/10/18 11:14

中国製のスパイウエアではないでしょうか?

「HijackThis」で感染状況を解析してみる必要があります。

予め重要なデータ、レジストリのバックアップを取りシステムの復元ポイントを作成して万一の場合に備えてください。

☆HijackThisによるレポート出力と手動でのスパイウェア除去
http://www.higaitaisaku.com/hijackthis.html

ただし、使い方がわからずに操作すると重大な支障が発生することがあります。
十分な知識なしに指示されたこと以外の操作をしないように注意してください。

とりあえず以下の作業をやってみてください。

１．「C:\HJT」と言うフォルダを作っておきます。
　以下、このフォルダを「HJT」フォルダと呼ぶことにします。
　
２．下記サイトから「HijackThis」をダウンロードします。
http://www.download.com/HijackThis/3000-8022_4-1 …

３．ダウンロードされたファイル「hijackthis.zip」を解凍すると「HijackThis.exe」と言うファイルができます。

４．「HijackThis.exe」を「HJT」フォルダに保存します。
　　以降このフォルダにログファイルやバックアップが保存されるようになります。
　　
５．「HijackThis.exe」を起動し「Do a system scan and save a logfile」をクリック

６．「HijackThis」の画面が開かれシステムをスキャンした結果が一覧表示されます。

７．また「hijackthis.log」と言うファイルが「HJT」フォルダに自動的に保存されます。

「hijackthis.log」の画面で次の行をコピーして補足欄に貼り付けてみてください。

「F0」～「F3」で始まる行
「O4」で始まる行
「O20」で始まる行

８．エキスプローラで下記のファイルがあるか調べてください。
　C:\WINDOWS\winsearch.exe
　C:\GAME.TXT

この回答への補足

遅くなりすみません。
教えていただいた方法を試してみるとまず「F0」～「F3」で始まる行と「O20」で始まる行とC:\WINDOWS\winsearch.exeとC:\GAME.TXTというファイルは全て見つかりませんでした。
「O4」で始まる行だけみつかりましたのでコピーして貼り付けておきます。
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [OmgStartup] C:\Program Files\Common Files\Sony Shared\OpenMG\OmgStartup.exe
O4 - HKLM\..\Run: [ahlaunch] "C:\WINDOWS\ahlaunch.exe" /register
O4 - HKLM\..\Run: [WlN32] regedit -s C:\$NtUninstallQ887678$\WINSYS.cer
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Zzplog] regedit -s c:\windows\system\winlog\WIN32logs.cer
O4 - HKLM\..\Run: [Aback] regedit -s c:\windows\system\winlog\WIN32logs.cer
O4 - HKLM\..\Run: [pccguide.exe] "D:\ウイルスバスター2005\フォルダの新規作成\pccguide.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [MDM7] "C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE"
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [TmPfw] D:\ウイルスバスター2005\フォルダの新規作成\TmPfw.exe
O4 - HKLM\..\RunServices: [PcCtlCom] D:\ウイルスバスター2005\フォルダの新規作成\PCCTLCOM.EXE
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
これでどうでしょうか？
よろしくお願いします。

補足日時：2005/10/21 14:03

No.5 回答者： noname#21816 回答日時： 2005/10/18 10:05

＃１追加

スパイウェアは被害対策の部屋で無料でダウンロードできます。
画面が変わるのはこの可能性もあります。

参考URL：http://www.higaitaisaku.com/

この回答へのお礼

たびたびありがとうございます。
ただいまスパイウェア駆除を頑張っています！
教えていただきありがとうございました。

お礼日時：2005/10/21 14:07

No.4 回答者： noname#40123 回答日時： 2005/10/18 09:56

そのウィルスに関しては、次のようなところに情報があります。

トレンドマイクロ・ユーロ　TROJ_LMIR.NI
http://de.trendmicro-europe.com/consumer/vinfo/e …

簡単に駆除方法を説明すると、ctrl+Alt+deleteを同時に押して、活動しているプロセスを停止させてから、感染しているファイルを削除します。

なお、駆除をする前にMeだから、「システムの復元」を次の方法で無効にしてください。

１．マイコンピュータを右クリック
２．プロパティをクリックしてパフォーマンスタブをクリック
３．ファイルシステムボタンをクリック
４．トラブルシューティングタブをクリック
５．「システムを復元しない」にチェックして「適用」ボタンをクリック
６．再起動させて確定する

また、「MWQU_32.DLL」というファイルは正常なパソコンには存在しないのでそのフォルダごと削除してください。
また、他のウィルスが存在していないか、TROJ_LMIR.NIウィルスを駆除してから最新のウィルスパスターに更新してから
再度全ドライブのウィルス検索を実行してください。
というのは、絶えず感染しているというのであれば、見つかっているウィルス以外のウィルスの存在も気がかりです。再度のウィルス検索を実行してください。
また、次のオンラインチェックサイトでも確認してください。

シマンテックセキュリティチェック
http://www.symantec.com/region/jp/securitycheck/ …

この回答へのお礼

なぜか「MWQU_32.DLL」というファイルがみつかりません。
隠しファイルなども全て表示させています。
教えていただいたシマンテックの方でもチェックしてみましたが10個ものウイルスが入っていました・・・。
ウイルスバスターではそんなになかったのに・・・ショックです。

お礼日時：2005/10/21 13:39

No.3 回答者： simoyan 回答日時： 2005/10/18 09:43

「メイン画面」を開いて、 [システム検索] - [ウイルス隔離]にウイルスファイルが残っているのであれば、コレを削除してください。

2005であれば、スパイウェア検索機能もあるはずなので、コレを実行してみてください。
IEの海外サイトへ飛ぶというのは、スパイウェアが入っている可能性があります。

この回答へのお礼

隔離されているやつで消せるやつは全て消しましたがまだ調子がおかしいです。
スパイウェアも消しましたがおかしいです・・・。

お礼日時：2005/10/21 13:37

No.2 回答者： violet430 回答日時： 2005/10/18 09:43

スパイウェアにやられていませんか？

スパイウェアもチェックした方が良いでしょう。
ただ、スパイウェアのチェックツールは万能ではなのでご用心を。
余裕があるならリカバリをお薦めします。

この回答へのお礼

ウイルスバスターで検索するとスパイウェアもたまに出てきます。
それを消してもまだ様子がおかしいです・・・。

お礼日時：2005/10/21 13:36

No.1 回答者： noname#21816 回答日時： 2005/10/18 09:42

こちらに対処方法が、あります。

日本語に翻訳して対処してhttp://www.trendmicro.co.jp/vinfo/virusencyclo/d …ください。

C:\WINDOWS\MWQU_32.DLL　あらわれた　ファイルを除去してください。

ちょっと時間がないので翻訳できません。よろしく

この回答へのお礼

拝見させていただきましたが、なぜかファイルがみつかりませんでした・・・。
もう少し頑張ってみます。

お礼日時：2005/10/21 13:34