como eliminar virus ~WRL0001.TMP Cerrado

Question

Hola, a todos!!... tengo un problema con un virus que me convierte archivos originales en temporales ~WRL0001.TMP y no me permite modificar o guardar archivos cuando un archivo de estos está en X carpeta, 
los he eliminado pero a las semanas aparecen nuevamete. Quiero saber como eliminarlo por completo?.. si tienen la solución les agradeceré que me ayuden a solucionarlos!!

Saludos

tudsa · Accepted Answer

^^ falsos positivos

ferralla · Answer

prueba de eliminarlos con frerasser esos archibvos

ferralla · Answer

softonic sintienes algun problema a la ora de eliminar los virus escribeme

Mer · Answer

Hola, ferralla!!..  le instalé freraser y aun asi siguia apareciendo el temporal asi que tuve que realizar la limpieza que usualmente hago con combofix. Pero no  sé como analizar el log. limpie de temporales y ejecute malvare, ejecute programas antitroyanos y después la scanee, todo esto desde modo a prueba de error... necesito q me ayudes con el log.... me puedes ayudar??... 

ComboFix 09-05-26.05 - Administrador 03/06/2009  8:47.1 - NTFSx86 NETWORK
Microsoft Windows XP Professional  5.1.2600.2.1252.34.3082.18.3543.3242 [GMT -6:00]
Running from: c:\documents and settings\Beatriz.Peralta\Escritorio\2009\ComboFix.exe
AV: Symantec Endpoint Protection *On-access scanning disabled* (Updated) {FB06448E-52B8-493A-90F3-E43226D3305C}

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat
c:\windows\system32\_000005_.tmp.dll
c:\windows\system32\uninstall.exe
c:\windows\system32\x64

----- BITS: Possible infected sites -----

hxxp://sus.mhcp.gob.ni:8530
.
(((((((((((((((((((((((((   Files Created from 2009-05-03 to 2009-06-03  )))))))))))))))))))))))))))))))
.

2009-06-03 14:45 . 2008-11-06 08:03	--------	d-----w	C:\SDFix
2009-06-03 14:37 . 2009-06-03 14:37	--------	d-----w	c:\documents and settings\Administrador\Datos de programa\Malwarebytes
2009-06-03 14:23 . 2009-06-03 14:23	--------	d-----w	c:\archivos de programa\Trend Micro
2009-06-03 14:23 . 2009-06-03 14:23	--------	d-----w	c:\documents and settings\Beatriz.Peralta\Datos de programa\Malwarebytes
2009-06-03 14:23 . 2009-05-26 19:20	40160	----a-w	c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-03 14:23 . 2009-06-03 14:23	--------	d-----w	c:\archivos de programa\Malwarebytes' Anti-Malware
2009-06-03 14:23 . 2009-06-03 14:23	--------	d-----w	c:\documents and settings\All Users\Datos de programa\Malwarebytes
2009-06-03 14:23 . 2009-05-26 19:19	19096	----a-w	c:\windows\system32\drivers\mbam.sys
2009-06-03 14:22 . 2009-06-03 14:22	--------	d-----w	c:\archivos de programa\CCleaner
2009-05-21 21:31 . 2001-08-23 04:15	5632	----a-w	c:\windows\system32\ptpusb.dll
2009-05-21 21:31 . 2004-08-19 21:42	159232	----a-w	c:\windows\system32\ptpusd.dll
2009-05-21 21:31 . 2004-08-04 04:58	15104	----a-w	c:\windows\system32\drivers\usbscan.sys
2009-05-21 21:31 . 2004-08-04 04:58	15104	----a-w	c:\windows\system32\dllcache\usbscan.sys

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-18 14:14 . 2008-12-16 15:12	--------	d-----w	c:\documents and settings\All Users\Datos de programa\Microsoft Help
2009-05-09 00:49 . 2009-01-09 22:57	--------	d-----w	c:\documents and settings\Beatriz.Peralta\Datos de programa\AdobeUM
2009-04-22 14:07 . 2004-09-01 11:07	92058	----a-w	c:\windows\system32\perfc00A.dat
2009-04-22 14:07 . 2004-09-01 11:07	509106	----a-w	c:\windows\system32\perfh00A.dat
2009-03-19 17:27 . 2009-03-19 17:27	60800	----a-w	c:\windows\system32\S32EVNT1.DLL
2009-03-19 17:27 . 2009-03-19 17:27	123952	----a-w	c:\windows\system32\drivers\SYMEVENT.SYS
2009-03-11 15:12 . 2009-03-19 17:26	89088	-c--a-w	c:\documents and settings\All Users\Datos de programa\Symantec\Cached Installs\{C1B0BDC8-0624-4036-90D1-F7DF0EE8C96D}\System32\atl71.dll
2009-03-06 14:01 . 2004-08-19 22:42	286720	----a-w	c:\windows\system32\pdh.dll
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-19 15360]
"LightScribe Control Panel"="c:\archivos de programa\Archivos comunes\LightScribe\LightScribeControlPanel.exe" [2008-06-09 2363392]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-07-01 150040]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-07-01 170520]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-07-01 141848]
"SoundMAXPnP"="c:\archivos de programa\Analog Devices\Core\smax4pnp.exe" [2008-04-04 1044480]
"picon"="c:\archivos de programa\Archivos comunes\Intel\Privacy Icon\PrivacyIconClient.exe" [2008-07-19 773144]
"PDF Complete"="c:\archivos de programa\PDF Complete\pdfsty.exe" [2008-04-07 318488]
"accrdsub"="c:\archivos de programa\ActivIdentity\ActivClient\accrdsub.exe" [2007-11-27 298536]
"PTHOSTTR"="c:\archivos de programa\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE" [2008-08-19 329520]
"CognizanceTS"="c:\archiv~1\HEWLET~1\IAM\Bin\ASTSVCC.dll" [2008-07-23 24848]
"SetRefresh"="c:\archivos de programa\Compaq\SetRefresh\SetRefresh.exe" [2003-11-20 525824]
"File Sanitizer"="c:\archivos de programa\Hewlett-Packard\File Sanitizer\CoreShredder.exe" [2008-06-23 10244096]
"GrooveMonitor"="c:\archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"ccApp"="c:\archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe" [2009-03-11 115560]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

c:\documents and settings\All Users\Men£ Inicio\Programas\Inicio\
Acrobat Assistant.lnk - c:\archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-5-15 217193]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\ackpbsc]
2007-11-27 16:41	109568	----a-w	c:\windows\system32\ackpbsc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\acunlock]
2007-11-27 16:40	286720	----a-w	c:\archivos de programa\ActivIdentity\ActivClient\acunlock.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\OneCard]
2008-07-23 12:03	158992	----a-w	c:\archivos de programa\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\DeviceNP]
2008-04-21 10:48	69632	----a-w	c:\windows\system32\DeviceNP.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages	REG_MULTI_SZ   	scecli ASWLNPkg

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ccEvtMgr]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ccSetMgr]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Symantec Antivirus]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AllAlertsDisabled"=dword:00000001
"TermService"=dword:00000001
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Archivos de programa\Microsoft Office\Office12\OUTLOOK.EXE"=
"c:\Archivos de programa\Microsoft Office\Office12\GROOVE.EXE"=
"c:\Archivos de programa\Microsoft Office\Office12\ONENOTE.EXE"=
"c:\Archivos de programa\Symantec\Symantec Endpoint Protection\Smc.exe"=
"c:\Archivos de programa\Symantec\Symantec Endpoint Protection\SNAC.EXE"=
"c:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"=

R0 SafeBoot;SafeBoot;c:\windows\system32\drivers\SafeBoot.sys [07/08/2008 10:47 a.m. 109184]
R0 SbAlg;SbAlg;c:\windows\system32\drivers\SbAlg.sys [07/08/2008 10:47 a.m. 51376]
R0 SbFsLock;SbFsLock;c:\windows\system32\drivers\SbFsLock.sys [07/08/2008 10:47 a.m. 12928]
R0 SFAUDIO;Sonic Focus DSP Driver;c:\windows\system32\drivers\sfaudio.sys [16/12/2008 09:42 a.m. 24064]
R3 e1kexpress;Intel(R) PRO/1000 PCI Express Network Connection Driver K;c:\windows\system32\drivers\e1k5132.sys [16/12/2008 10:17 a.m. 144480]
R3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [16/12/2008 09:41 a.m. 44800]
S1 FSLX;FSLX;c:\windows\system32\drivers\fslx.sys [11/07/2008 07:44 a.m. 191872]
S1 RsvLock;RsvLock;c:\windows\system32\driverssvlock.sys [07/08/2008 10:47 a.m. 12496]
S2 accoca;ActivClient Middleware Service;c:\archivos de programa\ActivIdentity\ActivClient\accoca.exe [27/11/2007 10:42 a.m. 185896]
S2 ASBroker;Logon Session Broker;c:\windows\System32\svchost.exe -k Cognizance [19/08/2004 04:43 p.m. 14336]
S2 ASChannel;Canal de comunicación local;c:\windows\System32\svchost.exe -k Cognizance [19/08/2004 04:43 p.m. 14336]
S2 HP ProtectTools Service;HP ProtectTools Service;c:\archivos de programa\Hewlett-Packard\HP ProtectTools Security Manager\PTChangeFilterService.exe [19/08/2008 10:03 a.m. 32768]
S2 HpFkCryptService;Drive Encryption Service;c:\archivos de programa\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe [07/08/2008 09:23 a.m. 256512]
S2 HPFSService;File Sanitizer for HP ProtectTools;c:\archivos de programa\Hewlett-Packard\File Sanitizer\HPFSService.exe [16/12/2008 01:36 a.m. 77824]
S2 pdfcDispatcher;PDF Document Manager;c:\archivos de programa\PDF Complete\pdfsvc.exe [16/12/2008 01:34 a.m. 576024]
S2 UNS;Intel(R) Active Management Technology User Notification Service;c:\archivos de programa\Archivos comunes\Intel\Privacy Icon\UNS\UNS.exe [16/12/2008 01:31 a.m. 2054680]
S3 DAMDrv;DAMDrv;c:\windows\system32\drivers\DAMDrv.sys [16/12/2008 01:36 a.m. 32256]
S3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\archivos de programa\Archivos comunes\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [19/03/2009 11:52 a.m. 101936]
S3 FLCDLOCK;Bloqueo de dispositivos/auditoría de HP ProtectTools;c:\windows\system32\flcdlock.exe [21/04/2008 06:27 a.m. 349432]
S3 RoxMediaDB10;RoxMediaDB10;c:\archivos de programa\Archivos comunes\Roxio Shared\10.0\SharedCOM\RoxMediaDB10.exe [08/04/2008 11:12 a.m. 1112560]
S3 Smcinst;Symantec Auto-upgrade Agent;c:\archivos de programa\Symantec\Symantec Endpoint Protection\SmcLU\Setup\smcinst.exe --> c:\archivos de programa\Symantec\Symantec Endpoint Protection\SmcLU\Setup\smcinst.exe [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Cognizance	REG_MULTI_SZ   	ASBroker ASChannel

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"c:\archivos de programa\Archivos comunes\LightScribe\LSRunOnce.exe"
.
- - - - ORPHANS REMOVED - - - -

SafeBoot-procexp90.Sys
SafeBoot-Symantec Antvirus


.
------- Supplementary Scan -------
.
uStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=es_ni&c=81&bd=smb&pf=desktop
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=es_ni&c=81&bd=smb&pf=desktop
uInternet Connection Wizard,ShellNext = ftp://ftp.mhcp.gob/
IE: &AOL Toolbar Buscar - c:\documents and settings\All Users\Datos de programa\AOL\ieToolbaresources\es-ES\local\search.html
IE: E&xportar a Microsoft Excel - c:\archiv~1\MICROS~2\Office12\EXCEL.EXE/3000
DPF: {86ecb6a0-400a-11d5-b638-00c04faedb18}
DPF: {CAFECAFE-0013-0001-0022-ABCDEFABCDEF}
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-03 08:47
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...  

scanning hidden autostart entries ... 

scanning hidden files ...  

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\pdfcDispatcher]
"ImagePath"="c:\archivos de programa\PDF Complete\pdfsvc.exe /startedbyscm:66B66708-40E2BE4D-pdfcService"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vsdatant]
"ImagePath"="a"
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(652)
c:\windows\system32\APSHook.dll
c:\windows\system32\ackpbsc.dll
c:\windows\system32\aclog.dll
c:\windows\system32\accrypto.dll
c:\windows\system32\ACLIBEAY.dll
c:\windows\system32\acevtsub.dll
c:\windows\system32\asphat32.dll
c:\windows\system32\acerrmes.dll
c:\windows\system32\aspcom.dll
c:\archivos de programa\ActivIdentity\ActivClient\Resources\Localized\acerrmrc.dll
c:\archivos de programa\ActivIdentity\ActivClient\Resources\Localized\asphatrc.dll
c:\archivos de programa\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll
c:\archivos de programa\Hewlett-Packard\IAM\bin\itmsg.dll
c:\archivos de programa\ActivIdentity\ActivClient\acunlock.dll
c:\windows\system32\aipingui.dll
c:\windows\system32\aicext.dll
c:\archivos de programa\ActivIdentity\ActivClient\Resources\Localized\aipinguirc.dll
c:\archivos de programa\ActivIdentity\ActivClientesources\acCobAPIrc.dll
c:\archivos de programa\ActivIdentity\ActivClient\Resources\Localized\acunlockrc.dll
c:\windows\system32\DeviceNP.dll
c:\windows\system32\SSREGLIB.dll

- - - - - - - > 'lsass.exe'(708)
c:\windows\system32\APSHook.dll
c:\archivos de programa\Hewlett-Packard\IAM\bin\ASWLNPkg.dll
c:\archivos de programa\Hewlett-Packard\IAM\bin\itmsg.dll
.
Completion time: 2009-06-03  8:48
ComboFix-quarantined-files.txt  2009-06-03 14:48

Pre-Run: 39,220,744,192 bytes libres
Post-Run: 39,209,984,000 bytes libres

186	--- E O F ---	2009-05-18 14:14

ferralla · Answer

mira lo mejor que podrias acer es formatear el pc per sino quieres puede aver otras soluciones primero descarga trojan remover este podria eliminarlo si vuelve a aparecer eraser es un programa que elimina tu disco duro completamente y tus archivos borrados seran irrecuperables y luego esta este Disk Redactor En el caso de Disk Redactor, el mecanismo que utiliza para evitar posibles recuperaciones es sobrescribir conceros todo el espacio ocupado por archivos previamente borrados. conesto representa que seria impsivle la recuperacion del virus pero asegurate vien de borrar todo lo relacionado kon este virus ho programas  estos programas los encuentras en softonic o en https://download.cnet.com/

Mer · Answer

hola Dcda!!... esos archivos temporales se deben a que tienes office 2007 y sigues guardando los archivos con versión 2003,... no sé  a que se debe ese problema entre versiones porq no deberia ser asi.

debes de guardar o guardar como, tipo de archivo: Documento de word ("docx"en caso q sean arch de word)

cuando vayas a modificar los archivos 2003 y los que estas creando nuevos los tienes que guardar normal con su extensión docx.

en otras palabras no tienes que guardarlos con extensión .doc  si tienes 2007

ejemplo: nArchivo.docx


esto es un problema de compatibilidad entre versiones de office, pero no significa que puedas guardar tus archivos utilizando las ext de office 2003, cuando lo necesites.

Como eliminar virus ~WRL0001.TMP

6 respuestas

Discusiones similares

¡Suscríbete a nuestra Newsletter!