sábado, mayo 10, 2008

Como eliminar el virus mae11c.exe

Hola amigos, hace poco me tope con este virus que para variar se propaga a traves de las memorias flash o usb, este virus, genera 3 archivos ocultos y se propaga en cada una de las particiones por las que se propaga ademas de memorias usb si estan conectadas, estos son: mae11c.exe, autorun.inf y archivolog.txt, en este ultimo archivo es en donde almacena todo lo ingresado por teclado como un Keylogger.

A este virus lo pille por casualidad cuando estaba copiando informacion a mi memoria usb:

Otras de las cosas que hace este virus es cambiar la informacion en las propiedades de Mi PC en la parte en donde se especifica el nombre a quien se ha registrado el Sistema Operativo.

Ahora, como eliminamos este virus, el primer paso es reiniciar la PC en modo seguro, en el Explorador de Windows, menu Herramientas, ubicar Opciones de Carpeta y en la pestaña Ver activamos la opcion "Mostrar todos los archivos y carpetas ocultos", ademas de quitar el check en la opcion "Ocultar archivos protegidos del sistema operativo", estos cambios son temporales hasta que eliminemos el virus.

Entonces en el explorador en cualquiera de sus particiones encontraran si estan infectados, estos 3 archivos, que se propagan en las particiones que no son mas que accesos directos a un ejecutable que se encuentra en C:\WINDOWS\system32\drivers, en esta ruta encontraran a los mismos 3 archivos, solo que el archivo mae11c.exe se llama smss.exe que se ejecuta como uno de los procesos propios de Windows XP, este es el ejecutable que genera todo el desorden, lo eliminan junto con los otros dos archivos (archivolog.txt y autorun.inf) y luego procedan a eliminar manualmente dichos archivos en cada una de sus particiones, ya no se volveran a generar, tambien encontre una copia de dichos archivos en Documents and Settings, en la carpeta con el nombre del usuario del equipo.

Con esto tienen solucionado este problema, tambien pueden completar el proceso, instalando, actualizando y ejecutando esta herramienta, que realiza los mismos pasos: Malwarebyte's Anti-Malware

Una vez que todo regrese a la normalidad, deben dejar como estaba el nombre del usuario por quien se registra la PC, recuerden que habia sido cambiado por el virus y lo podian notar al ver las proopiedades de Mi PC, esto lo restauran, buscando en el registro del Sistema, click en Inicio (Start), Ejecutar (Run), tipean regedit y buscan el nombre del virus (mae11c), lo deben encontrar en esta ruta:
Mi PC\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \WindowsNT\CurrentVersion
y modifican los valores de la claves RegisteredOwner y RegisteredOrganization que han sido modificada por el virus, en lugar de mae11c deben colocar por lo general el nombre del usuario de la PCy en lugar de CMBG, el nombre de la empresa a la que pertenece el usuario (recuerde que estos valores son a eleccion del usuario).

Saludos, nos vemos.

17 comentarios:

henry dijo...

hola q tal, yo justamente, el dia de ayer, se infecto mi computadora con este virus, y si me di ceunta del archivolog, lo cual borre, recien ahora investigando me doy ceunta q mi computadora esta ifectada cone ste virus, he instlado varios programas de spyware y adware para ver si le doy solucion, incluso le pase el bitdefender online y me detecto varios virus.
ahora bien hice los pasos qse saño aquí, y si encontre tanto en el system32 como en documentos and settings el archivolog.txt, pero el archivo mae11c no lo encontre incluso con el nombre q sijiste q podria estar, a lo mjeor algun de los programas que instalo lo elimino o no se a q se deba, pero mi interrogante es esta, tanto en driver de system32 como en documentos and settings encuentro el archivo autorun.inf, pero lo extraño es q estos archivos tienen como fecha de modificacion hace mas de un mes y los archivoslog.txt q encontre su fecha de modificacin es el del dia de ayer, justo cuando fue infectadá mi computadora. Quisiera saber, si es q estos archivos autorun con fecha de modificación de hace mas de un mes son los archivos del virus "mae11c" o son archivos del sistema y si los elimanara , pueda malograr mi pc.
Agradesco de antemano su respuesta.
Pd: en el caso que se solucionara esto, eliminando el virus por completo, el nombre de mi pc q ahora a adoptado el nombre de mae11c, se podra restaurar al nombe a nteriormente tenia?. gracias

Daniel Llanos Meza dijo...

recuerda que debes hacerlo en modo seguro, elimina ese archivo autorun.inf porque esta infectado, y el nombre de la pc tienes que recurrir al registro y busca mae11c y lo encontraras en la ruta Mi PC\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \WindowsNT\CurrentVersion, la clave es RegisteredOwner (a nombre de quien esta registrado la PC), y RegisteredOrganization (Empresa u Organizacion a quien pertenece el usuario)

Eduardo Zavala Ayala dijo...

hola, gracias es justo lo que estaba buscando ... mi pc se infecto hace una semana ... pero gracias a ti ya esta solucionado ... el problema ahora es que es un problema eliminar ese virus que se aloja en mi usb ... cada vez que lo inserto se regenera el virus ... un problema ... gracias

Daniel Llanos Meza dijo...

Si los archivos que se generan por el virus permanecen en tu USB eliminalos manualmente, ya no se volvera a regenerar siempre y cuando hayas eliminado el archivo raiz que se encuentra en System32/drivers como dice en el articulo pero que esta con otro nombre (smss.exe y que tiene el mismo icono que el mae11xc.exe) que se hace pasar por el otro smss que si es un proceso genuino del Sistema Operativo.

AlAzif dijo...

Hola vecino, mi nombre es alonso, tambien soy de trujillo peru, y encontre este vurs hace unos meses, probe con distintos antivirus, busque referencia de el y no encontre nada, hasta hoy q volvi a intentar, espero poder eliminar a este bicho y solucionar l problema, luego les informo los resultados. gracias por la informacion.

AlAzif dijo...

Realice el proceso como fue indicado, pero al reiniciar cai en cunta q habia otro archivo maec11 nuevamente, asi q reinicie en modo seguro y use la herramienta de busqueda, encontre mas d3 estos archivos no solo en system 32 sino en otras carpetas, al igual con el archivo smss, elimine todos los maec11, y los smss con el icono de maec (pq los otros parecen ser los verdaderos de windows y q no llevan el icono) igual busque el autoexec y elimine todos, sin importar si eran de sistema. igual los verifique abriendolos con el block de notas y contenian un codigo q mencionaba maec11. tambien los archivolog.txt finalment cai encuenta q haban otros archivos .exe con el mismo icono de maec11... pero con otros nombres diversso.. asi q corrie el riesgo y los elimine. cambie el registro de nombre y usuario y reinicie. Al parecer no hay mas problemas con este bicho ya q el nombre de sitema esta correcto y no hay mas de estos iconos.

Anónimo dijo...

hola...hice los pasos q dijiste...y mi computadora no pudo prender despues u_u...tuve q volver a instalar el sistema operativo nuevamente...me podrias decir como puedo hacer para q esto no pase...ya q el virus no me deja entrar a mis unidades...gracias

Daniel Llanos Meza dijo...

Estos mismos pasos los repetí en otra PC infectada y resolví el problema, debes asegurarte de eliminar los archivos correctos y no eliminar los archivos del sistema, seguro eliminaste el smss.exe de \WINDOWS\System32 y no el archivo smss.exe de \WINDOWS\system32\drivers que es el proceso raiz del virus y que te genera los archivos relacionados a el. Y si reinstalaste el Sistema Operativo no puede ser posible que tengas el problema de no poder acceder a tus unidades de disco, a menos que hayas insertado una memoria usb infectada.

Anónimo dijo...

bueno gracias a sus aportes tb pude liberarme d ese virus....en lo personal recomiendo hacerlo manualmente estando en modo seguro cm en mi caso no podia visualizar los archivos ocultos x mas q los ajustaba desde panel de control asi que tuve q restaurarlo cn una entrada del regedit y recien ahi pude borrar manualmente esos archivos q staban cn virus q cm lei en uno de sus comentarios no solo estan en la unidad c sino en varios lugares de MIPC finalmente escanee mi PC cn mi antivirus en este caso NOD luego de esto inicie normalmente y mi pc esta libre d ese virus.....gracias x su ayuda

Anónimo dijo...

Cañón maestro sí funciona, pude eliminar el bendito bicho, gracias.

Anónimo dijo...

Hola gente, la verdad ese maldito bicho genera estragos en tus unidades de disco, incluso en las USB, pero gracias a Dios lo he eliminado de mi PC, realmente te felicito por la informacion, yo lo pude eliminar antes por otros medios, pero estuve buscando informacion para saber si existia otra manera de hacerlo y me topie con tu blog. Esta diez puntos tu informacion. Felicitaciones

Anónimo dijo...

Hola quisiera saber como puedo hacer para eliminar el winrofl32.exe
Este me genera un archivo de confirmacion de ejecucion al iniciar la pc (le pongo cancelar en lugar de ejecutar cada vez que me sale).
Me dice que se encuentra en C/Windows pero cuando entro ahi, no lo encuentro!
GRacias!

Anónimo dijo...

Hola com stas ehhh
estoy aq d pas q n stas hors stn mis viejs para decirt d y tmbien tngo es problema del virus mae11c pero tngo horror de poder eliminarlo porque derrepente falta la casualidad de borrar un archivo del sistema y todo se ba para abajo.Porfavor explicame detalladamente a mi correro roberto_2089@hot... ni l kasperky ni un otro antivirus que tan famoso que sea lo elimina y eso me pone preocupante. Gracias.

Anónimo dijo...

gracias amigo, tu informacion me fue de gran ayuda por que mi Pc ya no soportaba, estaba a punto de formatearla.
Hice los pasos que indicas y el virus ya no se reproduce y para segurarme revise el c:\WINDOWS\system32\drivers y ya no estan, pero cuando quiero cambiar el nombre de mi Pc resulta que no funciona el regedit. No se que pude hacer mal o si talvez no elimine todo pero busque y rebusque y no encuentro nada relacionado al mae11c.exe ni al autorum.inf o archivoslog.txt

Daniel Llanos Meza dijo...

no puedes entrar al regedit?, me puedes comentar un poco mas el problema. Saludos.

Anónimo dijo...

amigo tengo el problema en mis cabinas de internet pero tengo unas dudas si estan con frezer en el disco C igual se guardan? y la otra duda es que escribo en registeredorganization ???? desde ya mis agradecimientos por tu ayuda

Daniel Llanos Meza dijo...

En Registered Organization no hay problema, puedes poner lo que se te ocurra, ejemplo: Home.

Y si estas con el Freezer chekea despues del reinicio si siguen alli esos archivos, sino tendras que desactivar el Freezer.