Wednesday, September 30, 2009

How To Remove Mahasona.exe

In this post my intention is to reviel the way I removed Mahasona.exe which I assume, is the easiest. Hope this will help the others as well.


1. Open Task Manager (Ctrl+Shift+Ecs)
2. Under the processes tab find explorar.exe not explorer.exe and 'End Task'
3. Run --> (type)C:\windows
4. Find a file named "autofrun.inf" and not "autorun.inf". It may be hidden. If so Tools-->Folder Options-->View--> (Check)"Show hidden files and folders" and also (Uncheck)"Hide protected Oparating system files"-->Apply-->OK. Now again look for "autofrun.inf" not "autorun.inf" and delete it.
5. Now go in to the "System32" folder in the same directory and find "explorar.exe" and not "explorer.exe" and delete it.

Now your PC is safe. If the above didn't work for you, boot the PC in safe mode(Keep hitting F8 when your PC start up and select safe mode.)

1. Run-->[type]cmd[ENTER]
2.type the following


cd/
cd windows
attrib -s -h -r -a autofrun.inf
del/f autofrun.inf
cd system32
attrib -s -h -r -a explorar.exe
del/f explorar.exe


then your done. If you are not sure with this also, just copy the above code and paste it on to a new notepad.





Save it as "mahasonaRemoval.bat" on your desktop.




Now just double click and it will fix the problem for you. Now reboot the PC as normal

To remove the virus prom your pen drive.
1. Hold the shift key when inserting the Pen drive to the PC
2. Then right click and Open OR Explore
3. Unhide all files mentioned as above and delete the autofrun.inf and any unknown *.exe
4. Now your pen drive is also safe.
Alternatively you could download third party S/W to help you through http://answers.yahoo.com/question/index?qid=20090726065303AApWPsI
Hope this post was informative to you.

20 comments:

  1. Friend ,
    del/f explorar.exe will not work if you already infected, because explorar.exe is MaHasona's running process. You will see error message like "Access is denied."
    I have analyzed MaHasona.exe virus and published the report and a removal tool use it to remove it.
    http://it.web44.net/VirusDetails/MaHasona.exe_Recover_Report.html

    Submit any malicious files to my website. Then I will able to provide reports and removal tools for them.
    Thank You.

    ReplyDelete
  2. @Daham & Kanishka
    I never had to face this problem. But, appreciate both of you for give some valuable information who really need it. :)

    ReplyDelete
  3. හලෝ K_ZONE, AutoIt තියෙන්නේ worms ලියන්න නෙවෙයි. ප්‍රයෝජනවත් දෙයකට දැනුම යොදවනවා, නිකම් අමාරුවේ වැටෙන්නේ නැතුව​.

    ReplyDelete
  4. thanks very very very much for this

    ReplyDelete
  5. u have to end the process from task manager....press ctrl+alt+del got task manager and to process and locate mahasona.exe and end the process....

    ReplyDelete
  6. """"හලෝ K_ZONE, AutoIt තියෙන්නේ worms ලියන්න නෙවෙයි. ප්‍රයෝජනවත් දෙයකට දැනුම යොදවනවා, නිකම් අමාරුවේ වැටෙන්නේ නැතුව​. """"

    mr.කනිශ්ක, මම Autoit ඉගෙන ගත්තෙ වෛරස් වත් වර්ම්ලා වත් හදන්න නෙමෙයි. වැරදිමකින් එලියට ගියාට කාටවත් රිද්දන්න කරපු දෙයකුත් නෙමෙයි. අනිත් එක මට වැඩ පෙන්නන්න වෛරස් හදන්න ඔනි නම්, ඔය වගේ චුටි චුටි වැඩ කරන කෙනෙකුත් නෙමෙයි. mahasonage තියෙන්නෙ lines 20ටත් අඩු code එකක්, එත් එක out වෙලා කියල මම දැන ගන්න වෙලාව වෙනකොට මම tasm වල try කර කර හිටපු stealth coding එක lines 20,000 කටත් වැඩියි. මම පොර වෙන්න කලානම් මම එලියට දාන්නෙ ඒ වගේ එකක්. මට Autoit කියන්නේ මම තනියම ආසවෙන් ඉගන ගත්ත තවත් එක පරිගනක භාශාවක් විතරයි ඔයා නම දැන ගත්ත පලියට මට autoit ගැන...........

    ReplyDelete
  7. මේ ලොකු උන්නැහේ ඔහේ මට AutoIt ගැනවත් Computer Languages ගැනවත් කියලා දෙන්න ඕන නෑ. virus ලියන එක ඔහෙට හ‍රි ලොකු දෙයක් වුනාට අපිට ඒවා ලොකු දේවල් වුනෙ 9, 10 පන්තිවලදී.(මමත් ආසාවට ලියලා බලලා තියනවා file system එක recursive විදියට crawl ක‍රලා executables infect ක‍රන්න පුලුවන් vir එකක් ඒකට Autorun.inf ඕන නෑ spread වෙන්න. ඒත් මම එවා test කලෙ virtual machine එකේ. අනිත් එක මම ඒවා ලිව්වෙ මගේ ආසාවට මිසක් ලොකු දෙයක් කියලා හිතාගෙන නොවෙයි.)
    මහ ලොකු stealth coding එක...හි..හි.. පිස්සු හැදෙනවා ඔහෙගෙ කතා ඇහුවම ඇත්තටම. පණ්ඩිතකම අර මොකක්ද එකටත් වඩා ලොකුයිලු නේ.
    line 20 වුනාට ප‍රිගණක දැනුම අඩු අයට එමගින්(මහසෝනා) ගැටලු ඇතිවෙලා තියනවා.
    ඔහෙට ඇයි බැරි උනේ "anti mahasona" එකක් හදලා ඒ විදියටම යවන්න.?? සැර vir එකක් ලියුව පලියට පොර වෙනවා කියලා හිතන්න ත‍රම් බාල අයත් ඉන්නවනෙ!
    turbo assembly වලින් virus එකක් ලියලා එලියට දාලා බලනවා වෙන්නෙ මොකක්ද කියලා. වෙන්නෙ වැඩ 2i බොහෝ විට අලුත් virus guards වල behavior detection එකට අහුවෙයි. නැත්නම් තමුන්නැහේ මේ රටේ නීතියට අහුවෙයි තොරතුරු පද්ධති වලට හානි පැමිණවීම සම්බන්දව.
    ඒක නිසා පණ්ඩිතකම් පැත්තකින් දාලා අලුත් විදියකට හිතන්න පුරුදුවෙනවා.
    පරිගණක විද්‍යාව හෝ තොරතුරු තාක්ෂණය කියන්නෙ මේ වගේ මේ වගේ ලාමක දේවල් නොවෙයි.

    ReplyDelete
  8. Thumbs up Kaniskha. Excellent reply

    follow this link and read the last post.
    http://www.facebook.com/topic.php?uid=94476133047&topic=9228

    It was posted on July 6, 2009. But a year later he claims it to be a mistake. wonder why...? :)

    ReplyDelete
  9. mr,කනිශ්ක අයියෙ, මට වෛරස් ලියන එක ඔයා හිතන වදියට ලොකූ දෙයක්වත් මම පොර වෙන්න කරපු දෙයක්වත් නෙමෙයි මම ඒක කලිනුත් කිව්වා ඔයාට, ඔයාලා වගේ මම 9, 10 කාලෙ වත් වෛරස් හැදුවෙ ලොකු දේවල් කියලා හිතගෙන නෙමෙයි,
    අනිත් එක මමත් එක test කලේ මගෙ VM එකේ මම තමත් දන්නෙ නැහැ ඒක එලියට ගිය හැටි. සමහරවිට network එකෙන් වෙන්න ඇති (VN). (ඒ දවස් වල 10 වසරෙ පොඩි එකානෙ කොහොමද virtual network ගැන දන්නේ)
    ඔයා කිව්වා වගේම "ප‍රිගණක දැනුම අඩු අයට එමගින්(මහසෝනා) ගැටලු ඇතිවෙලා" කියන එක මම පිලිගන්නවා, එක ගැන Google කලාම මට එක හොදටම තෙරෙනවා, මම දන්නවා ඔයත් ඒ අය වෙනුවෙන් ගොඩක් මගහන්සි උනා කියලා, ඔයාගේ removal tool එක ඔයා අප්ලෝඩ් කරපු දවසෙම මම ටෙස්ට් කලා. එකෙන් මහසොනා remove කරන්න බැරි උනත් උත්සහය වටිනවා,
    ඔයාගෙ කමෙන්ට් එක දැක්කම ඔයත් ethical hacking ගැන හොයලා තියෙනවා කියලා මට තෙරෙනවා. ලංකාව වගේ රටකට ඒ වගේ අය ගොඩක් වටිනවා රට ඉස්සටහට යන්න. පොතෙන් ඉගන ගත්ත ප්‍රොග්‍රැමර් කෙනෙකුට කරන්න පුලුවන් බහුජතික කම්පනි එකක පිටරට බොසෙක්ගෙ කකුල් 2 ලග වැඩ කරන්න විතරයි.
    අනිත් එක අපේ අයට පිට රටවල් වල හදපු සොෆ්ට්වයා ක්රැක් කරකර පැච් දදා වැඩ කරන කොට හරි ලොකුයි ඒ ගැන බ්ලොග් පොස්ට් දාන්නෙ පුම්බගෙන, එවගෙ තියෙන keyloggers, blackdoors ගැන අපේ හරක්ට ගානක් නැහැ, එත් එවුන්ට අපෙ එකෙක්ගෙ එකක් දැක්කම තමයි ජාතික ආරක්ශාවයි, නිතියයි මතක් වෙන්නෙ,
    තව කට්ට්යකට ඉන්ගිරිසියෙන් "wonder why...? :)" වෙලා, වොන්ඩ වෙන්න ඔන උබලා ගැනම. ඔව් ඉතින් සුද්දා හදන v1rus අවාම උඩ බලගෙන ඉදලා, අපේ කෙනෙක්ගෙ පුන්චි වැරද්දක් උනාම ලේ රත් වෙන එවුන්ට ඉන්ග්ලිශ් වලින් වචන 2ක් ගැහුවම හරි කෙලියයිනෙ,, ලැජ්ජයි ! මේ රටේ නීති හදන්න ඕනි ඒ වගේ උන් මේ ලස්සන ලංකාවෙන් එලවන්න.
    මම 10,11 වසර වගේ ඉන්නකාලේ penetration testing, kernel Base එක ගැන ඉගනගන්න අසවට වෛරස් ගැන ඉගන ගත්තා මිසක් කවවත් රිද්දලා සතුටු වෙන්න පුලුවන් කෙනෙක් නෙමෛ මම. අනිත් එක මම ඒ ගත්ත දැනුමෙන් හදපු ඔපන් සොස් ඉන්ටලිජන්ට් වෛරස් ගර්ඩ් එක මට හදන්න පුලුවන් උනේ මම ඒ ගැන එහෙම හරි ඉගන ගනිපු හින්දා.
    ඔයා කියපු PE infecting Autoit වලිනුත් කරන්න පුලුවන්.
    ###########################################
    $host_body = Fi####ead($host)
    $my_body = FileRead(@AutoItExe)
    $ret = (Stri####Str($host_body, "[h0st]", True) = 0)
    If ($ret) Then
    $handle = FileOpen($host, 2)
    $####= ($h####e <> -1)
    If ($ret) Then
    $host_body = "[h0st]" & $host_body
    FileWrite($handle, $my####y & $host_body)
    F####ose($handle)
    EndIf
    ###########################################
    ලෝ ලෙවල් ලැන්ග්වෙජස් පවිච්චි කරනවට වඩා එක ගොඩක් ලෙසියෙන්. ඉතින් කනිශ්ක අයියෙ, ඔයාම කියන්න ඔයා PE infect කරන්න දන්නෙ නැත්නම්, ඔයා කොහොමද දැනගන්නේ infect signature එක අයින් කරන්න? එතකොට, ඔවා හදන්නෙ කාව හරි රිද්දන්නමද? එහෙම නැත්නම් පොර වෙන්නද? මිනිහෙක් පිනන්න ඉගන ගන්නනම්, වතුරට බහින්න ඔනි. Anonymous ලා වගේ අය තැපැලෙන් පීනන්න ඉගෙනගෙන, කවදහරි වතුරකට වැටුන දවසකත් Thumb"S" up තමයි.

    ReplyDelete
  10. පණ්ඩිතකම නම් තාමත් අඩුවෙලා නැති හැඩයි......
    ඔයා ජාතික ආරස්සාවයි,ethical හැකිනුයි සේරම පටලෝගෙන.
    මම ඔයාගෙ ඉංගිරිසි වචනයක් අල්ලාගෙන බැන්නා නොවෙයි. මට ඒක කියවනකොට හිනාගියා ඒකයි. මට මොකටද ඔයා ගැන ලේ රත් වෙන්නෙ! හොදයි ඒ වල්පල් පැත්තකට දාමු.
    මට ඔයාගෙ reply එක බැලුවාම ගැටලු කිහිපයක් එනවා.
    VM එකේ network එකෙන් mahasona එලියට ගියා කිව්ව කතාව මට පිලිගන්න බෑ මොකද මම mahasona analyze ක‍රනකොට මට ඒකෙ කිසිම network activity එකක් අහුවුනේ නෑ. ඒ කිව්වෙ "මහසෝනා" local data පිටට යවන්න හෝ remote data ඇතුලට ගන්න කිසිම port එකක් use කලේ නෑ.ඉතින් අද්භූත විදියකින් පිටට ගියාද!
    අනිත් එක තමයි මල්ලී mahasona අයින් ක‍රන්න හදපු tool එකෙ PE infections reomve කිරීමක් ක‍රන්නෙ ඕන නෑ. මොකද mahasona ගෙ කිසිම PE infection කිරීමක් මට අහුවුනේ නෑ.එහෙම එකක් තිබුනා නම් අහුවෙන්නම ඕන.
    අනිත් එක මම mahasona detect ක‍රගන්න භාවිතා කලේ file එකෙ MD5 signature එක මොකද mahasona කියන්නෙ polymorphic එකක් නොවෙයි. අනිත් අතට PE infections අයින් කොරන්න ගිහින් අනුන්ගෙ files destroy වුනාම කොහෙවත් ඉන්න මගෙ බෙල්ල තමයි හිරවෙන්නෙ.
    මම මුලින් අහුවුන mahasona ගෙ තිබුනෙ 9F5A508D6725EB6FB11B445274BA9A52 කියන MD5 එක.
    මම ඒකට හදපු tool එක කීප පාරක්ම මගෙ VM එකෙත් test ක‍රලා mahasona ගිහිපු අයගෙ PC වලත් test ක‍රලා තමයි publish කලේ. මට පස්සෙ තව mahasona එකක් හම්බුනා වෙන MD5 එකකින් (0A12CDC1A916387857DD73AD9D2DAFEF) ඊට පස්සෙ මම ඒකටත් මගේ tool එක update ක‍රලා මගෙ කාලය නාස්ති ක‍්රගෙන කීප පාරක්ම test ක‍රලා තමයි නැවත publish කලෙ ඒක තමයි දැන් මගෙ site එකෙ තියෙන්නෙ. මට හිතාගන්න බැරි ඔයා ගාව තියන මහසෝනා එක විත‍රක් අයින් වුනේ නැත්තෙ මොකද කියලයි.
    මම අහපු එක ගැටලුවකට පිලිතුරු නොදී ඔයා හත‍රව‍රං කියවනවා. ඇයි ඔයා anti mahasona එකක් හදලා ඒ විදියටම යැව්වෙ නැත්තෙ? ඔයාට ඔයත‍රම් සත්ව කරුණාව තිබුනා නම් අඩුගානෙ removal tool එකක් වත් හදලා publish ක‍්රන්න තිබුනා නෙ!, ඒත් බැරිනම් mahasona එකෙ source code එක release ක‍රන්න තිබුනානෙ removal program එකක් හදන අයගෙ කාලය නාස්ති නොක‍ර..
    මල්ලී මට ඔයා ගැන ලේ රත් වෙන්න දෙයක් නම් නෑ මම සර්ව සම්පූර්ණ කෙනෙක්යැ! කුණුවෙලා දියවෙලා පොලොවට පස් වන ශ‍රීරයක් ද‍රාගෙන ඉන්න මට ඔයාගෙ වැඩ වලින් මොනවට නම් ලේ රත්වෙන්නද.......

    ReplyDelete
  11. හ්ම්... ඔයාගෙ මහසෝනාගෙ polymorphic behaviour එකක් තියනවා තමයි මල්ලී. මට හම්බවුන sample කිහිපයක md5 වෙනස් තමයි. එත් මම අහපු ඒවාට පිලිතුරක් ඕන.

    ReplyDelete
  12. උත්තරේ මේකයි. polymorphic behavior කියන්නෙ වෙනස් වෙනව කියන එකනෙ, ඉන්න පද්ධතිය අනුව, ප්‍රොසෙසෙර් එකෙ අර්කිටෙක්ච්ර් එක අනුව එයා ඉන්න හැටි වෙනස්. නෙට්ව්‍ර්ක් එකක් නැත්නම්(එහෙම නැත්නම් ගොඩක් අරක්ශාකරි උනෝත්) එයා තවදුරටත් පින්ග් කරකර ඉන්න වනම් හරි ඒ කොඩ් එක්සිකියුට් කරනවනම් හරි ෆයර් වොල් එකටම නිකම්ම අහුවෙනවනෙ, හැබැයි මහසොනාගෙ නම් ලොකු ලොකු දෙවල් නැ, නෙට්වක් ඩ්‍රියිව් එකක් තිබ්බොත් නම් රින්ගයි.
    දැන් එවා වැඩක් නැහැ, ඒ අවුරුදු 4කට කලින් කතා. අනිත් එක, දැන් හැම වෛරස් ගාර්ඩ් එකකින්ම මහසොනා අදුන ගන්නවා. ඒ ගොඩක් කම්පනි වලට ෆයිල් එක අප්ලොඩ් කරලා රිපොර්ට් කලෙත් මම. මම මහසොනා අයින් කරන්න System_Cleaner එකක් release කරලා හුගක් අය තමත් antimalware application එකක් විදියට පාවිච්චි කරන්නෙ ඒක. ඒත් මම කවදාවත් source code එක නම් release ක‍රන්නෙ නැහැ. මොකද අපේ අය ඊට පස්සෙ කරන දේ මම දන්න නිසා. එත් ඉගන ගන්න කෙනෙකුට මම එක දෙන්න කැමතියි, දැනට මම ලග තියෙන වෛරස් වල සොස් කොඩ් එකතුව 1000 කට වැඩියි. ගොඩක් එවා, එවා ලියපු අයගෙන්ම හැකින් ගැන තියෙන ෆොරම් වලදි ඉල්ලලා මෙල් කරගනිපු ඒවා. ඉගන ගන්නවනම් මම එවත් දෙන්නම් හැබැයි හොද කෙනෙක්ට විතරයි. අනිත් එක ASM ඉගන ගන්නවනම් හොදම උදාහරන තියෙන්නෙ ඒවගෙ.

    ReplyDelete
  13. හ්ම්.. හොදයි හොදයි. ඔයා ඔයාගෙ වැඩ දිගටම ක‍රගෙන යන්න. අන් අයට ගැටලු ඇතිනොවන විදියට.

    ReplyDelete
  14. හරි එහෙනම් දහම්ලා, කනිශ්කලත් ඔයාලගේ වැඩ හොදට කරගෙන යන්න. හැබැයි මට එක දෙයක් ගැන සතුටුයි, ඒ මහසොනාගෙන් පස්සෙ ගොඩක් අය තමන්ගේ පද්ධති වල අරක්ෂාව ගැන ගොඩක් හොයල බලනවා, ඉගන ගන්නවා. එහෙනම් මම ගියා,, ආයේ ඕන උනොත් එන්නම්!
    පද්ධති අරක්ෂාව, වෛරස්, බැක්ඩෝස්, වර්ම්, කීලොගින්, ෆේක් ප්‍රොක්සි, ඩ්එල්එල් ඉන්ජ්ක්සන්, ඩේටා ඩීක්‍රයිප්ටින්, එස්කිව්එල් ඉන්ජ්ක්සන්, රිවස් ඉන්ජිනියරින්ග් වගේ මාතෘකා ගැන ඕනි උදව්වක් මගෙන්! හැබැයි හොද දේට විතරයි!

    ReplyDelete
  15. thanx......this is very usable...:)

    ReplyDelete
  16. I honestly am glad to witness something like this debate.i just googled "කනිශ්ක " .just learned the name after that "taboo - kudulal" incident.I'm proud that we do have people with extensive knowledge on hardcore programmingand doing research on them other than releasing a paper'" to keep the job".(I'm not a programmer learned some c and c++ 20 years ago)ඔහොම යන් ඔහොම යන්

    ReplyDelete
  17. kanishka,
    mama progamming danne neha,mage pen drives 02 evari.podi evunta english medium lesson kiya dena pc eka infect vela.
    Pc format karala,aluth pen drives gaththoth goda da ganna haki da?
    wish u a great future, my children also must have at least some future.

    ReplyDelete