Virus popular en estos días ....

Buenos días y muy Feliz Naviad a todos los Taringueros! Quería compartir con ustedes mi experiencia personal, brindo servicios de soporte técnico, con un virus del cual he encontrado muchas infecciones. Lamento no ser muy docente, ya que he dado por sentado el conocimiento de varias herramientas del sistema, como el editor de políticas, el editor del registro, etc. No se exctamente las vís de infección, aunque parece ser una de propagación los pendrives y la red LAN. Pasa por alto los antivirus, al menos AVG, NOD32 y Avast y puede ocasionar, entre otras cosas problemas de red, en algunos casos reincio de la computadora al usar Outlook o problemas de baja de perfomance. 1:\ Reconocer la Infección: Una forma sencilla de darse cuenta si estamos infectados es verificar en los discos de nuestras PC la existencia de uno o dos archivos, con atributo de sistema y solo lectura, y sin extensión: khs y khr. Si tenemos estos archivos en el disco, nuestra pc o una máquina de la red seguramente está infectada. Suele haber además al menos un archivo, con los mismos atributos que estos, que tiene un nombre de unos 5 a 7 caracteres y extensión .exe. A tener en cuenta además, que el propio "virus" desactiva en forma automática la vista de archivos ocultos y de sistema, y aunque explicitamente lo hayamos habilitado, tras un par de minutos lo vuelve a desactivas. El "virus" agrega un proceso cuyo ejecutable se encuantra en la carpeta system32 dentro de Windows: csrcs.exe de unos 400kb ( ojo, no confundir con csrss.exe que es propia de Windows !!). También modifica el registro para que cargue este proceso, y en caso que la infección haya provenido de la red, cambia los parámetros para que al acceder a un recurso de red "mapeado" en nuestro equipo, cargue antes que nada el propio virus. En algunos casos he hallado también un archivo oculto y de sistema en System32 y/o en las unidades compartidas, llamado "autorun.inf", el cual abierto con notepad, nos da una idea de como se llama el ejecutable que provoca la infección. 2:\ Removerlo Manualmente. Primero es conveniente desconcetar las máquinas de la red, siempre y cuando esto sea posible dado el tamaño de la organización. Matar el proceso csrcs.exe ( ojo, no confundir con csrss.exe que es de Windows ) * Eliminar el archivo csrcs.exe de la carpeta System32. * Eliminar el archivo autorun.inf de la misma carpeta, y del raiz de los discos y existiera. *Eliminar los archivos khs y khr del raiz de los discos, si existiera. *Abrir el editor del registro (ojo, pueden dejar fuera de operación Windows si cambian algo indebido, no apro para principiantes) y buscar csrcs.exe. *Borrar del registro las llamadas a este proceso, salvo en una llave donde aparace como valor asignado a una clave junto a explorer.exe, es decir el valor de la clave será "Shell= Explorer.exe csrcs.exe" . En este caso editar la clave y dejar solo Explorer.exe. *Buscar tambien en el registro la sección "Mountpoints2". En esta sección se encuantran los puntos de montaje, entre otros, de las unidades de red. Por ajemplo "#server#F", que indica la existencia de una unidad de red mapeada a "\\server\F". Verifique que no existan clave shell, open o run apuntando a un archivo exe de la unidad de red, si existe borrenlo. *Deshabiliten la autoejecución para las unidades de CD y USB. Pueden hacerlo por políticas (ejecutando gpedit.msc): Directiva de equipo local, configuración del equipo, plantillas administrativas, sistema, Desactivar reproducción automática. Deben habilitar esta política y aplicarla a todas la unidades. Cierren gpedit y fuercen la aplicación de las políticas (ejecutando gpupdate /force) *En este punto, convendría reiniciar el equipo, conectarlo a la red pero no acceder a ningun carpeta fuera de nuestra PC hasta no actualizar el antivirus y escanear la máquina. Luego de hacer esto en todas las máquinas, verifiquen que no se hayan creado en los share los archivos de infección, y borrenlos si están allí. Con esto deberían quedar limpios nuevamente! Espero a alguien le resulte de utilidad, me llevó cerca de una semana dominar el proceso de eliminación!