Como eliminar virus ~WRL0001.TMP

[Cerrado]
Denunciar
-
 Cardoso from Brazil -
Hola, a todos!!... tengo un problema con un virus que me convierte archivos originales en temporales ~WRL0001.TMP y no me permite modificar o guardar archivos cuando un archivo de estos está en X carpeta,
los he eliminado pero a las semanas aparecen nuevamete. Quiero saber como eliminarlo por completo?.. si tienen la solución les agradeceré que me ayuden a solucionarlos!!

Saludos

6 respuestas

^^ falsos positivos
2
Gracias

Unas palabras de agradecimiento nunca están de más. Deja tu comentario

CCM 11611 usuarios nos han dicho gracias este mes

Vá no ícone iniciar (Embaixo e à esquerda na barra de tarefas) digite WRL vai aprecer arquivos indicado que o virus está lá. Entre no disco C,entre em usuários, Luís (Meu nome), app data, roaming, microsoft. Você verifica o word(Geralmente está lá), excel,etc, enfim, todas as pastas de roaming. Os arquivos que tiverem os símbolos ~$,~$WRL, e temp exclua-os depois limpe a lixeira e reinicie o seu pc.Retorne no menu iniciar e digite novamente WRL. Você notará que os arquivos desapareceram do seu computador.Boa sorte!
Hola, ferralla!!.. le instalé freraser y aun asi siguia apareciendo el temporal asi que tuve que realizar la limpieza que usualmente hago con combofix. Pero no sé como analizar el log. limpie de temporales y ejecute malvare, ejecute programas antitroyanos y después la scanee, todo esto desde modo a prueba de error... necesito q me ayudes con el log.... me puedes ayudar??...

ComboFix 09-05-26.05 - Administrador 03/06/2009 8:47.1 - NTFSx86 NETWORK
Microsoft Windows XP Professional 5.1.2600.2.1252.34.3082.18.3543.3242 [GMT -6:00]
Running from: c:\documents and settings\Beatriz.Peralta\Escritorio\2009\ComboFix.exe
AV: Symantec Endpoint Protection *On-access scanning disabled* (Updated) {FB06448E-52B8-493A-90F3-E43226D3305C}

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat
c:\windows\system32\_000005_.tmp.dll
c:\windows\system32\uninstall.exe
c:\windows\system32\x64

----- BITS: Possible infected sites -----

hxxp://sus.mhcp.gob.ni:8530
.
((((((((((((((((((((((((( Files Created from 2009-05-03 to 2009-06-03 )))))))))))))))))))))))))))))))
.

2009-06-03 14:45 . 2008-11-06 08:03 -------- d-----w C:\SDFix
2009-06-03 14:37 . 2009-06-03 14:37 -------- d-----w c:\documents and settings\Administrador\Datos de programa\Malwarebytes
2009-06-03 14:23 . 2009-06-03 14:23 -------- d-----w c:\archivos de programa\Trend Micro
2009-06-03 14:23 . 2009-06-03 14:23 -------- d-----w c:\documents and settings\Beatriz.Peralta\Datos de programa\Malwarebytes
2009-06-03 14:23 . 2009-05-26 19:20 40160 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-03 14:23 . 2009-06-03 14:23 -------- d-----w c:\archivos de programa\Malwarebytes' Anti-Malware
2009-06-03 14:23 . 2009-06-03 14:23 -------- d-----w c:\documents and settings\All Users\Datos de programa\Malwarebytes
2009-06-03 14:23 . 2009-05-26 19:19 19096 ----a-w c:\windows\system32\drivers\mbam.sys
2009-06-03 14:22 . 2009-06-03 14:22 -------- d-----w c:\archivos de programa\CCleaner
2009-05-21 21:31 . 2001-08-23 04:15 5632 ----a-w c:\windows\system32\ptpusb.dll
2009-05-21 21:31 . 2004-08-19 21:42 159232 ----a-w c:\windows\system32\ptpusd.dll
2009-05-21 21:31 . 2004-08-04 04:58 15104 ----a-w c:\windows\system32\drivers\usbscan.sys
2009-05-21 21:31 . 2004-08-04 04:58 15104 ----a-w c:\windows\system32\dllcache\usbscan.sys

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-18 14:14 . 2008-12-16 15:12 -------- d-----w c:\documents and settings\All Users\Datos de programa\Microsoft Help
2009-05-09 00:49 . 2009-01-09 22:57 -------- d-----w c:\documents and settings\Beatriz.Peralta\Datos de programa\AdobeUM
2009-04-22 14:07 . 2004-09-01 11:07 92058 ----a-w c:\windows\system32\perfc00A.dat
2009-04-22 14:07 . 2004-09-01 11:07 509106 ----a-w c:\windows\system32\perfh00A.dat
2009-03-19 17:27 . 2009-03-19 17:27 60800 ----a-w c:\windows\system32\S32EVNT1.DLL
2009-03-19 17:27 . 2009-03-19 17:27 123952 ----a-w c:\windows\system32\drivers\SYMEVENT.SYS
2009-03-11 15:12 . 2009-03-19 17:26 89088 -c--a-w c:\documents and settings\All Users\Datos de programa\Symantec\Cached Installs\{C1B0BDC8-0624-4036-90D1-F7DF0EE8C96D}\System32\atl71.dll
2009-03-06 14:01 . 2004-08-19 22:42 286720 ----a-w c:\windows\system32\pdh.dll
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-19 15360]
"LightScribe Control Panel"="c:\archivos de programa\Archivos comunes\LightScribe\LightScribeControlPanel.exe" [2008-06-09 2363392]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-07-01 150040]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-07-01 170520]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-07-01 141848]
"SoundMAXPnP"="c:\archivos de programa\Analog Devices\Core\smax4pnp.exe" [2008-04-04 1044480]
"picon"="c:\archivos de programa\Archivos comunes\Intel\Privacy Icon\PrivacyIconClient.exe" [2008-07-19 773144]
"PDF Complete"="c:\archivos de programa\PDF Complete\pdfsty.exe" [2008-04-07 318488]
"accrdsub"="c:\archivos de programa\ActivIdentity\ActivClient\accrdsub.exe" [2007-11-27 298536]
"PTHOSTTR"="c:\archivos de programa\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE" [2008-08-19 329520]
"CognizanceTS"="c:\archiv~1\HEWLET~1\IAM\Bin\ASTSVCC.dll" [2008-07-23 24848]
"SetRefresh"="c:\archivos de programa\Compaq\SetRefresh\SetRefresh.exe" [2003-11-20 525824]
"File Sanitizer"="c:\archivos de programa\Hewlett-Packard\File Sanitizer\CoreShredder.exe" [2008-06-23 10244096]
"GrooveMonitor"="c:\archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"ccApp"="c:\archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe" [2009-03-11 115560]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

c:\documents and settings\All Users\Men£ Inicio\Programas\Inicio\
Acrobat Assistant.lnk - c:\archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-5-15 217193]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ackpbsc]
2007-11-27 16:41 109568 ----a-w c:\windows\system32\ackpbsc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\acunlock]
2007-11-27 16:40 286720 ----a-w c:\archivos de programa\ActivIdentity\ActivClient\acunlock.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OneCard]
2008-07-23 12:03 158992 ----a-w c:\archivos de programa\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DeviceNP]
2008-04-21 10:48 69632 ----a-w c:\windows\system32\DeviceNP.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli ASWLNPkg

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ccEvtMgr]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ccSetMgr]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Symantec Antivirus]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AllAlertsDisabled"=dword:00000001
"TermService"=dword:00000001
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Archivos de programa\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Archivos de programa\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Archivos de programa\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Archivos de programa\\Symantec\\Symantec Endpoint Protection\\Smc.exe"=
"c:\\Archivos de programa\\Symantec\\Symantec Endpoint Protection\\SNAC.EXE"=
"c:\\Archivos de programa\\Archivos comunes\\Symantec Shared\\ccApp.exe"=

R0 SafeBoot;SafeBoot;c:\windows\system32\drivers\SafeBoot.sys [07/08/2008 10:47 a.m. 109184]
R0 SbAlg;SbAlg;c:\windows\system32\drivers\SbAlg.sys [07/08/2008 10:47 a.m. 51376]
R0 SbFsLock;SbFsLock;c:\windows\system32\drivers\SbFsLock.sys [07/08/2008 10:47 a.m. 12928]
R0 SFAUDIO;Sonic Focus DSP Driver;c:\windows\system32\drivers\sfaudio.sys [16/12/2008 09:42 a.m. 24064]
R3 e1kexpress;Intel(R) PRO/1000 PCI Express Network Connection Driver K;c:\windows\system32\drivers\e1k5132.sys [16/12/2008 10:17 a.m. 144480]
R3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [16/12/2008 09:41 a.m. 44800]
S1 FSLX;FSLX;c:\windows\system32\drivers\fslx.sys [11/07/2008 07:44 a.m. 191872]
S1 RsvLock;RsvLock;c:\windows\system32\drivers\rsvlock.sys [07/08/2008 10:47 a.m. 12496]
S2 accoca;ActivClient Middleware Service;c:\archivos de programa\ActivIdentity\ActivClient\accoca.exe [27/11/2007 10:42 a.m. 185896]
S2 ASBroker;Logon Session Broker;c:\windows\System32\svchost.exe -k Cognizance [19/08/2004 04:43 p.m. 14336]
S2 ASChannel;Canal de comunicación local;c:\windows\System32\svchost.exe -k Cognizance [19/08/2004 04:43 p.m. 14336]
S2 HP ProtectTools Service;HP ProtectTools Service;c:\archivos de programa\Hewlett-Packard\HP ProtectTools Security Manager\PTChangeFilterService.exe [19/08/2008 10:03 a.m. 32768]
S2 HpFkCryptService;Drive Encryption Service;c:\archivos de programa\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe [07/08/2008 09:23 a.m. 256512]
S2 HPFSService;File Sanitizer for HP ProtectTools;c:\archivos de programa\Hewlett-Packard\File Sanitizer\HPFSService.exe [16/12/2008 01:36 a.m. 77824]
S2 pdfcDispatcher;PDF Document Manager;c:\archivos de programa\PDF Complete\pdfsvc.exe [16/12/2008 01:34 a.m. 576024]
S2 UNS;Intel(R) Active Management Technology User Notification Service;c:\archivos de programa\Archivos comunes\Intel\Privacy Icon\UNS\UNS.exe [16/12/2008 01:31 a.m. 2054680]
S3 DAMDrv;DAMDrv;c:\windows\system32\drivers\DAMDrv.sys [16/12/2008 01:36 a.m. 32256]
S3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\archivos de programa\Archivos comunes\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [19/03/2009 11:52 a.m. 101936]
S3 FLCDLOCK;Bloqueo de dispositivos/auditoría de HP ProtectTools;c:\windows\system32\flcdlock.exe [21/04/2008 06:27 a.m. 349432]
S3 RoxMediaDB10;RoxMediaDB10;c:\archivos de programa\Archivos comunes\Roxio Shared\10.0\SharedCOM\RoxMediaDB10.exe [08/04/2008 11:12 a.m. 1112560]
S3 Smcinst;Symantec Auto-upgrade Agent;c:\archivos de programa\Symantec\Symantec Endpoint Protection\SmcLU\Setup\smcinst.exe --> c:\archivos de programa\Symantec\Symantec Endpoint Protection\SmcLU\Setup\smcinst.exe [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Cognizance REG_MULTI_SZ ASBroker ASChannel

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"c:\archivos de programa\Archivos comunes\LightScribe\LSRunOnce.exe"
.
- - - - ORPHANS REMOVED - - - -

SafeBoot-procexp90.Sys
SafeBoot-Symantec Antvirus


.
------- Supplementary Scan -------
.
uStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=es_ni&c=81&bd=smb&pf=desktop
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=es_ni&c=81&bd=smb&pf=desktop
uInternet Connection Wizard,ShellNext = ftp://ftp.mhcp.gob/
IE: &AOL Toolbar Buscar - c:\documents and settings\All Users\Datos de programa\AOL\ieToolbar\resources\es-ES\local\search.html
IE: E&xportar a Microsoft Excel - c:\archiv~1\MICROS~2\Office12\EXCEL.EXE/3000
DPF: {86ecb6a0-400a-11d5-b638-00c04faedb18}
DPF: {CAFECAFE-0013-0001-0022-ABCDEFABCDEF}
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-03 08:47
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\pdfcDispatcher]
"ImagePath"="c:\archivos de programa\PDF Complete\pdfsvc.exe /startedbyscm:66B66708-40E2BE4D-pdfcService"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vsdatant]
"ImagePath"="a"
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(652)
c:\windows\system32\APSHook.dll
c:\windows\system32\ackpbsc.dll
c:\windows\system32\aclog.dll
c:\windows\system32\accrypto.dll
c:\windows\system32\ACLIBEAY.dll
c:\windows\system32\acevtsub.dll
c:\windows\system32\asphat32.dll
c:\windows\system32\acerrmes.dll
c:\windows\system32\aspcom.dll
c:\archivos de programa\ActivIdentity\ActivClient\Resources\Localized\acerrmrc.dll
c:\archivos de programa\ActivIdentity\ActivClient\Resources\Localized\asphatrc.dll
c:\archivos de programa\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll
c:\archivos de programa\Hewlett-Packard\IAM\bin\itmsg.dll
c:\archivos de programa\ActivIdentity\ActivClient\acunlock.dll
c:\windows\system32\aipingui.dll
c:\windows\system32\aicext.dll
c:\archivos de programa\ActivIdentity\ActivClient\Resources\Localized\aipinguirc.dll
c:\archivos de programa\ActivIdentity\ActivClient\resources\acCobAPIrc.dll
c:\archivos de programa\ActivIdentity\ActivClient\Resources\Localized\acunlockrc.dll
c:\windows\system32\DeviceNP.dll
c:\windows\system32\SSREGLIB.dll

- - - - - - - > 'lsass.exe'(708)
c:\windows\system32\APSHook.dll
c:\archivos de programa\Hewlett-Packard\IAM\bin\ASWLNPkg.dll
c:\archivos de programa\Hewlett-Packard\IAM\bin\itmsg.dll
.
Completion time: 2009-06-03 8:48
ComboFix-quarantined-files.txt 2009-06-03 14:48

Pre-Run: 39,220,744,192 bytes libres
Post-Run: 39,209,984,000 bytes libres

186 --- E O F --- 2009-05-18 14:14
Message postés
205
Date d'inscription
miércoles, 27 de mayo de 2009
Estatus
Miembro
Última intervención
viernes, 23 de abril de 2010
208
mira lo mejor que podrias acer es formatear el pc per sino quieres puede aver otras soluciones primero descarga trojan remover este podria eliminarlo si vuelve a aparecer eraser es un programa que elimina tu disco duro completamente y tus archivos borrados seran irrecuperables y luego esta este Disk Redactor En el caso de Disk Redactor, el mecanismo que utiliza para evitar posibles recuperaciones es sobrescribir conceros todo el espacio ocupado por archivos previamente borrados. conesto representa que seria impsivle la recuperacion del virus pero asegurate vien de borrar todo lo relacionado kon este virus ho programas estos programas los encuentras en softonic o en https://download.cnet.com/
hola,,, gracias por tu ayuda..
ya resolvi,, no tuve que formatear, realmente no es un virus tiene que ver con las versiones de office.
como asi las versiones de offices? , porfa explikamee , yo tambien tengo el mismo problemaa =S
hola Dcda!!... esos archivos temporales se deben a que tienes office 2007 y sigues guardando los archivos con versión 2003,... no sé a que se debe ese problema entre versiones porq no deberia ser asi.

debes de guardar o guardar como, tipo de archivo: Documento de word ("docx"en caso q sean arch de word)

cuando vayas a modificar los archivos 2003 y los que estas creando nuevos los tienes que guardar normal con su extensión docx.

en otras palabras no tienes que guardarlos con extensión .doc si tienes 2007

ejemplo: nArchivo.docx


esto es un problema de compatibilidad entre versiones de office, pero no significa que puedas guardar tus archivos utilizando las ext de office 2003, cuando lo necesites.
Message postés
205
Date d'inscription
miércoles, 27 de mayo de 2009
Estatus
Miembro
Última intervención
viernes, 23 de abril de 2010
208
prueba de eliminarlos con frerasser esos archibvos
Noo... la verdad no conozco ese programa!!.. me puedes decir en q sitio web lo puedo conseguir??... ya lo estuve buscando y no lo encuentro
a mi me pasa lo mismo solo que con los microsoft word al guardarlos
Message postés
205
Date d'inscription
miércoles, 27 de mayo de 2009
Estatus
Miembro
Última intervención
viernes, 23 de abril de 2010
208
softonic sintienes algun problema a la ora de eliminar los virus escribeme