статьи

Вирус xtgina.dll: подмена интерфейса и блокировка системы [решение]

Доброго времени суток, дорогие друзья.

block

Хочу поделиться небольшим решением послевирусной проблемы, с которой столкнулся буквально на днях. Авось кому-то будет полезно, ибо толковой информации в интернете по данному вопросу я не нашел (разве что пара упоминаний на форумах). В рамках статьи поведаю как удалить, собственно, вирус (точнее целый набор), а так же как решить проблему после его удаления, которая представляет собой сообщение вида "Невозможно загрузить DLL xtgina.dll".

Поехали.

Удаляем вирус и решаем проблему xtgina.dll

Суть в следующем. Система была поражена пакетом вирусов самых разных расцветок. Есть подозрение, что это был червь, подгрузивший и развернувший необходимый базис заразы, ибо поражение выглядело довольно забавно: система глухо зависла на несколько минут, а потом самостоятельно перезагрузилась, после перезагрузки обнаружив полный набор ниже описанных симптомов.

Симптоматика: полная блокировка работы антивирусов (в том числе антивирусных утилит типа avz), различных программ (софт по очистке реестра и временных файлов, Webmoney, Яндекс.Кошельки) и интернета (производятся подмены адресов в браузере, перенаправление на "левые" сайты, перехват трафика программ, подмена полей логина-пароля в систему Яндекс.Деньги и прочие манипуляции с целью увести как можно больше аккаунтов почты и прочих данных, особенно связанных с платежными системами). Само собой недоступны редактор реестра и диспетчер задач. Характерно, что запускается Spybot, но не спасает, что в общем-то верно, ибо засевшая вредина это всё таки вирус, а не Spyware.

Ситуация, в целом, не нова. Прежде всего, само собой, надо всю эту гадость вымести. Т.к. из системы это сделать невозможно (при попытке установить/запустить антивирус или антивирусную утилиту система либо закрывает оную, либо уходит в перезагрузку), пришлось прибегать к старому-доброму, но очень мною любимому Dr.Web LiveCD. О том, как им лечить компьютер, я писал в одноименной статье "Как удалить вирусы. Часть 3. [DrWeb liveCD]", а посему подробно описывать процесс работы с ним в рамках данной статьи не буду. Оный нашел в системе порядка 20-25 различных вирусов, червей, вирусных библиотек и прочих ужасов жизни и поместил в карантин. Естественно, что из карантина (и системы вообще) их надо удалить, путем выделения и нажатия кнопочки "Remove" (что характерно, Dr.Web почему-то сам не всегда удаляет вирус, а помещает его в карантин, даже если задан пункт "Delete" напротив соответствующей строки настроек и оное приходится делать вручную).

Устраняем ошибку "Невозможно загрузить DLL C:\Windows\System32\xtgina.dll"

После оного система вроде бы выглядит очищенной, но не тут то было. При загрузке выдается сообщение, крайне похожее на системное, которое гласит:

Ошибка пользовательского интерфейса:

Невозможно загрузить DLL C:\Windows\System32\xtgina.dll пользовательского интерфейса входа. Обратитесь к системному администратору или восстановите исходную библиотеку DLL.

И ниже оного кнопочка "Перезагрузка". Скриншот, к сожалению, снять не додумался, ну да ладно, думаю, что текста должно хватить.

Что характерно, за годы своей практики я никаких таких xtgina.dll библиотек не видел (многие системные файлы я узнаю в лицо :) ) и с сообщением подобным вообще столкнулся впервые, хотя до сего момента наверняка мог поручиться, что повидал в Windows XP все возможные вариации ошибок. Естественно, что оное навело меня на мысли, что имеет место быть подмена/перехват пользовательского интерфейса, путем подгрузки левой библиотеки.

Пошел в безопасный режим (кнопочка F8 до загрузочного экрана Windows, где ползет полосочка). Вуаля! Безопасный режим работает. Первым делом прошелся AVZ-том (естественно, на сей раз он запустился, ибо вирусы были вычищены с помощью Dr.Web LiveCD), но проблемы это, естественно, не решило. Попытка с помощью оного восстановить ключи запуска Explorer и убрать все Winlogon сообщения AVZ это делается путем комбинации "Файл - Восстановление системы" и выбором соотвествующих пунктов 7, 8 и 9) не удалась и вываливалась ошибка доступа к памяти.

xtgina.dll

Волевым решением я пошел смотреть в реестре (на всякий случай напоминаю, что редактор реестра запускается путем: Пуск - Выполнить - Regedit - ОК) где прописалась эта самая xtgina.dll (в редакторе поиск осуществляется путем выбора пунктов Правка - Найти), а прописались она, конечно же, в разделе Winlogon, а именно в ветке: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon.

xtgina.dll

Естественно, что эту злодейскую гадость надо удалить, ибо именно она является инициатором вызова сообщения. Выделяем правой кнопкой мышки, выбираем пункт "Удалить", закрываем редактор реестра, перезагружаемся.. Вуаля! Всё работает ;)

Единственное, что после перезагрузки я всё таки рекомендую провести еще одну тщательную проверку всем и вся, начиная от CureIT+AVZ и заканчивая, например, Spybot+Ccleaner-Regseeker.

В интернете так же я слышал, что подобная проблема после удаления вирусов актуальна и при загрузке безопасного режима. Печально, но не критично. В этом случае можно воспользоваться дистрибутивом Windows PE. И так, что делаем:

  • Берем другой компьютер, флешку и диск.
  • Скачиваем вот этот архив. Распаковываем. Внутри архива лежит образ загрузочного диска с ОС WindowsPE, программа для его записи + альтернативный редактор реестра (оный надо дописать на тот же диск после записи образа или же скопировать на флешку и потом запустить с флешки)
  • Запускаем SCD Writer (программа для записи, что была в архиве), там выбираем Диск - Записать ISO-образ на диск, выбираем скачанный образ на диске, выставляем скорость записи и ждем окончания записи.
  • Идем к пораженному компьютеру, перезагружаем и заходим в BIOS (сразу после перезагрузки давим в кнопочку DEL, чтобы туда попасть), находим пункт выбора устройств для загрузки (boot) и на первое место ставим CD-ROM. Сохраняем настройки, выходим из BIOS, вставляем диск и флешку с редактором реестра.
  • После перезагрузки ждем начала загрузки с CD-диска, в появившемся меню жмем в кнопочку 1, т.е. выбираем WindowsPE, долго ждем пока система загрузится. Возможно, что потребуется указать где (на каком диске и в какой папке на компьютере) стоит пораженная система. Укажите.
  • Открываем мой компьютер и проходим к флешке. Там запускаем рекдактор реестра. Возможно, что программа попросит Вас указать место расположение файла ntuser.dat в пораженной системе с целью получения доступа к реестру. Укажите C:\Documents and Settings\имя_аккаунта\ntuser.dat, где имя_аккаунта, – это Ваше имя пользователя в пораженной системе. Возможно, что программа не будет видеть, тогда откройте Мой компьютер, пройдите по указанному пути, найдите ntuser.dat, затем нажмите на него правой кнопкой мышки и выберите Свойства. Далее снимите галочку “Скрытый“, нажмите ОК. Теперь вернитесь в редактор реестра и укажите на появившийся ntuser.dat. Возможно, что программа предложит Вам указать путь к ntuser.dat еще одного пользователя, во второй раз откажитесь, если все уже проделали.
  • В редакторе реестра есть два типа ветвей (ветвь – это что-то вроде структуры с папками, в окне редактора они слева). Одни – это текущие, т.е. той системы, в которой мы сейчас находимся, а другие – это как раз пораженной системы. Нам нужны вторые. Они в редакторе реестра либо указаны со скобочками HKEY_LOCAL_MACHINE(…), где (…), – название Вашего компьютера или что-нибудь типа (W_IN_C). Так же возможно, что не будут продублированы ветви, а только подветви или что название ветвей пораженного компьютера будет не в скобках, а после подчеркивания HKEY_LOCAL_MACHINE_W_IN_C. В общем посмотрите повнимательней.
  • И так, мы с Вами проходим по пути HKEY_LOCAL_MACHINE(…)\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. На Winlogon мы тыркаем мышкой. В правом окне находим вышеупомянутый xtgina.dll (выше в статье есть скриншот строчки с ним), выделяем мышкой и удаляем.
  • Закрываем редактор реестра.
  • Вынимаем диск, перезагружаемся, заходим в BIOS, возвращаем загрузку с HDD. Выходим из BIOS, загружаем систему.

Как-то так. Звучит грозно, но в целом ничего сложного нету.

Вышеописанная методика так же актуальна и при сходных модификациях вируса или же при удалении программ, модифицирующих/перехватывающих пользовательский интерфейс, например, это PcAnywhere GINA при котором запись, вызывающая ошибку, ссылается на файл Awgina.dll и удаляется вышеописанными способами.

Послесловие.

Вот такая вот полузаметка-инструкция. Надеюсь, что кому-то когда-то она будет полезна.. Ну а начинающим айтишникам просто рекомендую мотать на ус, ибо никогда не знаешь где столкнешься с чем-либо подобным.

Спасибо за внимание. Оставайтесь рядом ;)

Оценить —

  1. 5
  2. 4
  3. 3
  4. 2
  5. 1
(2 голоса, в среднем: 5 из 5)
ул. Тверская, вл. 19 Россия, Москва (916) 174-8226
Темы:  , , ,

Комментарии к статье

  1. ксрасава, спс.)

  2. А вот интересно, как эта гадость через легальный работающий с актуальными базами антивирь пролазит?! у меня каспер пропустил на одном рабочем месте..

  3. Ответить
    Андрей

    Спасибо Вам за статью! Есть такой вопрос: После запуска редактора реестра в WindowsPE появляется сообщение "Do you wish to load remote user profiles for editing". Как я понимаю программа просит указать место расположение файла ntuser.dat. Я указываю его (предварительно убрав свойства "скрытый"), однако сразу опять появляется тоже самое сообщение и так можно бесконечно указывать расположение ntuser.dat (Как сказано в статье программа наверное предлагает указать путь к ntuser.dat еще одного пользователя). Если после первого указания нажать НЕТ в ответ на второе сообщение, то реестр загружается, однако в нем присутствуют стандартные разделы без дополнительных символов. Если открыть раздел, то там присутствуют имена подразделов, как обычные так и с дополнительными символами (как описано в статье). Если перейти по указаному пути в подразделы зарженой системы для нахождения xtgina.dll (или подобного), то там ничего такого нет. Получается или я что то неправильно делаю, или реестр пораженной системы не загружется полностью, или вирус не в том месте. Спасибо!

    • Та же картина и у меня. Как то решилось? а то ответа автора не вижу...

  4. Ответить
    Volchonok

    +1 Большое спасибо, статья 100% выручила =) сам ITшник уже несколько лет, инет рулит!сэкономил время

    • Рад, что пригодилось, коллега ;)

  5. РЕСПЕКТ И УВАЖУХА. И ЗЕЛЁНКА ПОЖИЗНИ!!!

  6. Ответить
    Виктор

    соник помоги! дело в том что у меня поменялась тема,картинка в порядке,никаких ошибок но пуск и панел задач поменя ли свой вид!как вернуть все назад?заранее спасибо...
    З.Ы.еще может поможешь,у меня пусто в окне "включение или отключение компонентов windows"(у меня 7)

  7. Ответить
    BIOHAZARD

    Есть такая проблема что постоянно пропадают DLL библиотеки с компьютера что с этим делать? :?:

  8. Долгое время лечился тоже Live CD с DR web потом стало жаль времени, что он тратит на лечение.
    А когда пару раз не помогло - нашел решение.
    флешка с Total Comm + AVZ + Autoruns = лечение 99.99% всех вирусов (и др. говна) за 15-30 мин.
    Правильно настроенный AVZ (читайте справку к ключам) и фильтры файлов сканирования.
    пару макросов для чистки темпа ОС и инета
    Autoruns - запускать от Администратора. Недавно, только так, увидел ключ с вирусом.
    Оставшийся 0.001% лечу или HBCD или диск через переходник к нотику на нем KAV.
    Все это можно запихать на флеху с загрузкой HBCD и все.
    Девайс 300 р стоит. позволяет на USB подрубать SATA IDE miniIDE диски - отбился уже 1000 раз.
    Это не понты, типа я все лучше знаю - просто нуждающийся попробует и выберет себе нужное.

  9. Ответить
    Дмитрий

    Млин,а у меня при включении комп начинает грузиться и тупо выпадает фоновая картинка заставка и все.Далее через 3 кнопки вызываю диспечера задач нахожу cвой explorer.exe тыкаю в него и после этого загружается рабочий стол.Какой то блок засел,не подскажете хоть в какую сторону копать и чем ковырять,а то у меня от этой компьютерной грамоты мозги выворачивает. :oops:

  10. Ответить
    наталья

    Спасибо огромное. Вы меня просто спасли))))

  11. Ответить
    Игорь

    Благодарочка автору статьи. Столкнувшись с этой проблемой,я не знал, что делать. Я слабо соображаю в компьютерах, но тут всё было понятно и у меня всё получилось. Сказать, что выручили- ничего не сказать. Ещё раз ОГРОМНОЕ спасибо!!!!!!!!!!!!!

    • Пожалуйста :) Главное, что на пользу

* - комментарии могут появляться не сразу (или попасть в спам)