Доброго времени суток, дорогие друзья.
Хочу поделиться небольшим решением послевирусной проблемы, с которой столкнулся буквально на днях. Авось кому-то будет полезно, ибо толковой информации в интернете по данному вопросу я не нашел (разве что пара упоминаний на форумах). В рамках статьи поведаю как удалить, собственно, вирус (точнее целый набор), а так же как решить проблему после его удаления, которая представляет собой сообщение вида "Невозможно загрузить DLL xtgina.dll".
Поехали.
Удаляем вирус и решаем проблему xtgina.dll
Суть в следующем. Система была поражена пакетом вирусов самых разных расцветок. Есть подозрение, что это был червь, подгрузивший и развернувший необходимый базис заразы, ибо поражение выглядело довольно забавно: система глухо зависла на несколько минут, а потом самостоятельно перезагрузилась, после перезагрузки обнаружив полный набор ниже описанных симптомов.
Симптоматика: полная блокировка работы антивирусов (в том числе антивирусных утилит типа avz), различных программ (софт по очистке реестра и временных файлов, Webmoney, Яндекс.Кошельки) и интернета (производятся подмены адресов в браузере, перенаправление на "левые" сайты, перехват трафика программ, подмена полей логина-пароля в систему Яндекс.Деньги и прочие манипуляции с целью увести как можно больше аккаунтов почты и прочих данных, особенно связанных с платежными системами). Само собой недоступны редактор реестра и диспетчер задач. Характерно, что запускается Spybot, но не спасает, что в общем-то верно, ибо засевшая вредина это всё таки вирус, а не Spyware.
Ситуация, в целом, не нова. Прежде всего, само собой, надо всю эту гадость вымести. Т.к. из системы это сделать невозможно (при попытке установить/запустить антивирус или антивирусную утилиту система либо закрывает оную, либо уходит в перезагрузку), пришлось прибегать к старому-доброму, но очень мною любимому Dr.Web LiveCD. О том, как им лечить компьютер, я писал в одноименной статье "Как удалить вирусы. Часть 3. [DrWeb liveCD]", а посему подробно описывать процесс работы с ним в рамках данной статьи не буду. Оный нашел в системе порядка 20-25 различных вирусов, червей, вирусных библиотек и прочих ужасов жизни и поместил в карантин. Естественно, что из карантина (и системы вообще) их надо удалить, путем выделения и нажатия кнопочки "Remove" (что характерно, Dr.Web почему-то сам не всегда удаляет вирус, а помещает его в карантин, даже если задан пункт "Delete" напротив соответствующей строки настроек и оное приходится делать вручную).
к содержанию ↑Устраняем ошибку "Невозможно загрузить DLL C:\Windows\System32\xtgina.dll"
После оного система вроде бы выглядит очищенной, но не тут то было. При загрузке выдается сообщение, крайне похожее на системное, которое гласит:
Ошибка пользовательского интерфейса:
Невозможно загрузить DLL C:\Windows\System32\xtgina.dll пользовательского интерфейса входа. Обратитесь к системному администратору или восстановите исходную библиотеку DLL.
И ниже оного кнопочка "Перезагрузка". Скриншот, к сожалению, снять не додумался, ну да ладно, думаю, что текста должно хватить.
Что характерно, за годы своей практики я никаких таких xtgina.dll библиотек не видел (многие системные файлы я узнаю в лицо :) ) и с сообщением подобным вообще столкнулся впервые, хотя до сего момента наверняка мог поручиться, что повидал в Windows XP все возможные вариации ошибок. Естественно, что оное навело меня на мысли, что имеет место быть подмена/перехват пользовательского интерфейса, путем подгрузки левой библиотеки.
Пошел в безопасный режим (кнопочка F8 до загрузочного экрана Windows, где ползет полосочка). Вуаля! Безопасный режим работает. Первым делом прошелся AVZ-том (естественно, на сей раз он запустился, ибо вирусы были вычищены с помощью Dr.Web LiveCD), но проблемы это, естественно, не решило. Попытка с помощью оного восстановить ключи запуска Explorer и убрать все Winlogon сообщения (в AVZ это делается путем комбинации "Файл - Восстановление системы" и выбором соотвествующих пунктов 7, 8 и 9) не удалась и вываливалась ошибка доступа к памяти.
Волевым решением я пошел смотреть в реестре (на всякий случай напоминаю, что редактор реестра запускается путем: Пуск - Выполнить - Regedit - ОК) где прописалась эта самая xtgina.dll (в редакторе поиск осуществляется путем выбора пунктов Правка - Найти), а прописались она, конечно же, в разделе Winlogon, а именно в ветке: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon.
Естественно, что эту злодейскую гадость надо удалить, ибо именно она является инициатором вызова сообщения. Выделяем правой кнопкой мышки, выбираем пункт "Удалить", закрываем редактор реестра, перезагружаемся.. Вуаля! Всё работает ;)
Единственное, что после перезагрузки я всё таки рекомендую провести еще одну тщательную проверку всем и вся, начиная от CureIT+AVZ и заканчивая, например, Spybot+Ccleaner-Regseeker.
В интернете так же я слышал, что подобная проблема после удаления вирусов актуальна и при загрузке безопасного режима. Печально, но не критично. В этом случае можно воспользоваться дистрибутивом Windows PE. И так, что делаем:
- Берем другой компьютер, флешку и диск.
- Скачиваем вот этот архив. Распаковываем. Внутри архива лежит образ загрузочного диска с ОС WindowsPE, программа для его записи + альтернативный редактор реестра (оный надо дописать на тот же диск после записи образа или же скопировать на флешку и потом запустить с флешки)
- Запускаем SCD Writer (программа для записи, что была в архиве), там выбираем Диск - Записать ISO-образ на диск, выбираем скачанный образ на диске, выставляем скорость записи и ждем окончания записи.
- Идем к пораженному компьютеру, перезагружаем и заходим в BIOS (сразу после перезагрузки давим в кнопочку DEL, чтобы туда попасть), находим пункт выбора устройств для загрузки (boot) и на первое место ставим CD-ROM. Сохраняем настройки, выходим из BIOS, вставляем диск и флешку с редактором реестра.
- После перезагрузки ждем начала загрузки с CD-диска, в появившемся меню жмем в кнопочку 1, т.е. выбираем WindowsPE, долго ждем пока система загрузится. Возможно, что потребуется указать где (на каком диске и в какой папке на компьютере) стоит пораженная система. Укажите.
- Открываем мой компьютер и проходим к флешке. Там запускаем рекдактор реестра. Возможно, что программа попросит Вас указать место расположение файла ntuser.dat в пораженной системе с целью получения доступа к реестру. Укажите C:\Documents and Settings\имя_аккаунта\ntuser.dat, где имя_аккаунта, – это Ваше имя пользователя в пораженной системе. Возможно, что программа не будет видеть, тогда откройте Мой компьютер, пройдите по указанному пути, найдите ntuser.dat, затем нажмите на него правой кнопкой мышки и выберите Свойства. Далее снимите галочку “Скрытый“, нажмите ОК. Теперь вернитесь в редактор реестра и укажите на появившийся ntuser.dat. Возможно, что программа предложит Вам указать путь к ntuser.dat еще одного пользователя, во второй раз откажитесь, если все уже проделали.
- В редакторе реестра есть два типа ветвей (ветвь – это что-то вроде структуры с папками, в окне редактора они слева). Одни – это текущие, т.е. той системы, в которой мы сейчас находимся, а другие – это как раз пораженной системы. Нам нужны вторые. Они в редакторе реестра либо указаны со скобочками HKEY_LOCAL_MACHINE(…), где (…), – название Вашего компьютера или что-нибудь типа (W_IN_C). Так же возможно, что не будут продублированы ветви, а только подветви или что название ветвей пораженного компьютера будет не в скобках, а после подчеркивания HKEY_LOCAL_MACHINE_W_IN_C. В общем посмотрите повнимательней.
- И так, мы с Вами проходим по пути HKEY_LOCAL_MACHINE(…)\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. На Winlogon мы тыркаем мышкой. В правом окне находим вышеупомянутый xtgina.dll (выше в статье есть скриншот строчки с ним), выделяем мышкой и удаляем.
- Закрываем редактор реестра.
- Вынимаем диск, перезагружаемся, заходим в BIOS, возвращаем загрузку с HDD. Выходим из BIOS, загружаем систему.
Как-то так. Звучит грозно, но в целом ничего сложного нету.
Вышеописанная методика так же актуальна и при сходных модификациях вируса или же при удалении программ, модифицирующих/перехватывающих пользовательский интерфейс, например, это PcAnywhere GINA при котором запись, вызывающая ошибку, ссылается на файл Awgina.dll и удаляется вышеописанными способами.
к содержанию ↑Послесловие.
Вот такая вот полузаметка-инструкция. Надеюсь, что кому-то когда-то она будет полезна.. Ну а начинающим айтишникам просто рекомендую мотать на ус, ибо никогда не знаешь где столкнешься с чем-либо подобным.
Спасибо за внимание. Оставайтесь рядом ;)
Я так и делаю когда не могу зайти в ось,захожу с лайв сиди в котором 5-6 антивирусов,прогонюсь одним,не поможет вторым.Хотя после Проверки КуреИтом уже ничего как правило не остается))))Вопрос.Соник а где ты так вирусов нахватался?Судя по скринам компьютер твой(Mac OS Theme).
Вирусов нахватался не я, - у меня оных не было уже очень давно :)
А скрины действительно с моей машины, ибо редактор реестра везде запускается, а на пораженной машине было не до снятия скриншотов :)
Добрый вечер, Соник!
Хотелось узнать как на том компе оказался такой пакет вирусов ?! (О О)
Что бы быть на чеку. Как говориться предупрежден, значит вооружен.
Спасибо за инфу, о том как избавиться от такой мощной заразы))))))
Понятия не имею :)
Sonikelf лечил от этой проблемы мой компьютер.Данный пакет вирусов оказался на моем компьютере в результате захода на сайт с безобидным названием "Насосы-Садовые фонтаны и пруды". Могу дать ссылку на него если кто-то захочет рискнуть и проверить. После попадания на этот сайт компьютер спустя какое то время зависает.Видимо в этот момент идет загрузка файлов и, как потом выяснилось, и каталогов с вирусами. В этот момент моя клавиатура и мышь были отключены.Сделать что либо невозможно. Потом компьютер сам перезагружается и происходит все то, что описал Sonikelf. С подобным лично я ранее не встречался. Моих инструментов и знаний для решения этой проблемы не хватило, хотя по праву считаю себя опытным пользователем ПК. Sonikelf - реальный мастер своего дела!Прямо волшебник да и только!Все вычистил и исправил!Слава Sonikelf и большое ему спасибо!
Араб кидай ссыль на сайт в аську 79з9195О (даже если я оффлайн)
У меня проблема! Кажется какой то вирус который поражает проводник! Он постоянно виснет и блокирует доступ к рабочему столу! AVZ также не помогает! Вирусы находит но проблемы не решает! Что это может быть? И как это устранить?
Используйте Dr.Web LiveCD и Spybot
Да интересно как надо юзать интернет чтобы подхватить такое .
З.Ы. А можно было его удалить без антивируса .
(долго бы наверное мучился .
)
Никогда не знаешь где наткнешься.
Часто обычный сайт может быть поражен червем и, сам того не зная, рассылать вирус.
Да бывает и такое .
Почему в образе, скачанном по ссылке , обнаружены четыре вируса?
Я уже неоднократно писал, что никаких вирусов там нету.
Там есть ряд софта на который антивирус, на всякий случай, перестраховываясь, реагирует нервным способом, что логично, учитывая, что там и редакторы реестра и прочие программы, которые позволяют копаться внутри системы.
Хорошо, если нет. А то думается, что вирусы ещё здесь.
Очень занимательно!
Отличный пример находчивости с этой ddl-кой!)
Спасибо :)
Спасибо! Исправил за 5 минут! Все работает!
Пожалуйста, рад, что помог :)
Спасибо, Андрей!
Весьма актуальная тема. Этим летом пришлось дважды встретиться с этой проблемой. К сожалению, не было времени разбираться с причиной. Положение исправлялось форматированием диска и переустановкой оси. К слову, на обеих машинах стояли бесплатные антивирусы. У меня Каспер, не пропускает подобную гадость.
Всегда пожалуйста.
А вообще, видал я модификации и связки, когда не справлялся и нормальный платный антивирус, что Каспер, что Веб.
Sonikelf молочага !!! Спас .
Рад слышать :)
Хм! Думал, что Spyware и вирус это одно и тоже. Спасибо за интересную статью.
Пожалуйста ;)
Спасибо вам огромнейшее! Я вас просто обожаю =))) Быстро и просто реабилитировала рабочую машину!
Рад был помочь ;) Приходите еще, зовите друзей и все такое разное :)
Огромное спасибо за статью!
Помогло!
спасибо за инструкцию!
Огромное спасибо за информацию! Один из лучших сайтов по данной тематике которые я когда-либо видел!
Огромное количество реально ценных и эффективных советов! В общем спасибо за вашу работу,
как говорится продолжайте в том же духе =)
Спасибо большое, всё получилось :). Только у меня файл назывался egisgina.dll.
Моей главбухше попался модифицированный вирь этого семейства, в ключ userinit после запятой был добавлен путь к некоему файлу mpk.exe, плюс в автозагрузке была какая-то еще хрень :)
Загрузился с Erd Commander, почистил реестр, почистил автозагрузку и темпы(др. веб лайвсиди пока еще качался;)) Система ожила.
спс за статью) я использовал Erd Commander откат на день все круто ! xtgina.dll уничтожил Ура))))
спасибо тебе добрый человек. ты няшка
в качестве варианте win pe можно заюзать сборку alkid live dvd (работает как с болванки так и с флехи. инструкция на рутрекере) не раз выручала. обидно что последний билд оказался без авиры.
Спасибо, друг! Оч выручил!
ксрасава, спс.)
А вот интересно, как эта гадость через легальный работающий с актуальными базами антивирь пролазит?! у меня каспер пропустил на одном рабочем месте..
Спасибо Вам за статью! Есть такой вопрос: После запуска редактора реестра в WindowsPE появляется сообщение "Do you wish to load remote user profiles for editing". Как я понимаю программа просит указать место расположение файла ntuser.dat. Я указываю его (предварительно убрав свойства "скрытый"), однако сразу опять появляется тоже самое сообщение и так можно бесконечно указывать расположение ntuser.dat (Как сказано в статье программа наверное предлагает указать путь к ntuser.dat еще одного пользователя). Если после первого указания нажать НЕТ в ответ на второе сообщение, то реестр загружается, однако в нем присутствуют стандартные разделы без дополнительных символов. Если открыть раздел, то там присутствуют имена подразделов, как обычные так и с дополнительными символами (как описано в статье). Если перейти по указаному пути в подразделы зарженой системы для нахождения xtgina.dll (или подобного), то там ничего такого нет. Получается или я что то неправильно делаю, или реестр пораженной системы не загружется полностью, или вирус не в том месте. Спасибо!
Та же картина и у меня. Как то решилось? а то ответа автора не вижу...
+1 Большое спасибо, статья 100% выручила =) сам ITшник уже несколько лет, инет рулит!сэкономил время
Рад, что пригодилось, коллега ;)
РЕСПЕКТ И УВАЖУХА. И ЗЕЛЁНКА ПОЖИЗНИ!!!
соник помоги! дело в том что у меня поменялась тема,картинка в порядке,никаких ошибок но пуск и панел задач поменя ли свой вид!как вернуть все назад?заранее спасибо...
З.Ы.еще может поможешь,у меня пусто в окне "включение или отключение компонентов windows"(у меня 7)
Есть такая проблема что постоянно пропадают DLL библиотеки с компьютера что с этим делать? :?:
Долгое время лечился тоже Live CD с DR web потом стало жаль времени, что он тратит на лечение.
А когда пару раз не помогло - нашел решение.
флешка с Total Comm + AVZ + Autoruns = лечение 99.99% всех вирусов (и др. говна) за 15-30 мин.
Правильно настроенный AVZ (читайте справку к ключам) и фильтры файлов сканирования.
пару макросов для чистки темпа ОС и инета
Autoruns - запускать от Администратора. Недавно, только так, увидел ключ с вирусом.
Оставшийся 0.001% лечу или HBCD или диск через переходник к нотику на нем KAV.
Все это можно запихать на флеху с загрузкой HBCD и все.
Девайс 300 р стоит. позволяет на USB подрубать SATA IDE miniIDE диски - отбился уже 1000 раз.
Это не понты, типа я все лучше знаю - просто нуждающийся попробует и выберет себе нужное.
Млин,а у меня при включении комп начинает грузиться и тупо выпадает фоновая картинка заставка и все.Далее через 3 кнопки вызываю диспечера задач нахожу cвой explorer.exe тыкаю в него и после этого загружается рабочий стол.Какой то блок засел,не подскажете хоть в какую сторону копать и чем ковырять,а то у меня от этой компьютерной грамоты мозги выворачивает. :oops:
Спасибо огромное. Вы меня просто спасли))))
Благодарочка автору статьи. Столкнувшись с этой проблемой,я не знал, что делать. Я слабо соображаю в компьютерах, но тут всё было понятно и у меня всё получилось. Сказать, что выручили- ничего не сказать. Ещё раз ОГРОМНОЕ спасибо!!!!!!!!!!!!!
Пожалуйста :) Главное, что на пользу
Тоже поймал такой вирь. Причём судя по всему откуда то с яндекс маркета, точнее с одного из магазинчиков.
Суть в следующем: во время загрузки системы блокируется клавиатура, выбрать вариант загрузки нельзя, точно так же как и нельзя поменять что либо в биосе. Видимо только снос поможет. Очень интересная штука этот вирь, но смысла какого то от него не вижу..