статьи

Как удалить вирус xtgina.dll из Windows — решение

Доброго времени суток, дорогие друзья.

block

Хочу поделиться небольшим решением послевирусной проблемы, с которой столкнулся буквально на днях. Авось кому-то будет полезно, ибо толковой информации в интернете по данному вопросу я не нашел (разве что пара упоминаний на форумах). В рамках статьи поведаю как удалить, собственно, вирус (точнее целый набор), а так же как решить проблему после его удаления, которая представляет собой сообщение вида "Невозможно загрузить DLL xtgina.dll".

Поехали.

Удаляем вирус и решаем проблему xtgina.dll

Суть в следующем. Система была поражена пакетом вирусов самых разных расцветок. Есть подозрение, что это был червь, подгрузивший и развернувший необходимый базис заразы, ибо поражение выглядело довольно забавно: система глухо зависла на несколько минут, а потом самостоятельно перезагрузилась, после перезагрузки обнаружив полный набор ниже описанных симптомов.

Симптоматика: полная блокировка работы антивирусов (в том числе антивирусных утилит типа avz), различных программ (софт по очистке реестра и временных файлов, Webmoney, Яндекс.Кошельки) и интернета (производятся подмены адресов в браузере, перенаправление на "левые" сайты, перехват трафика программ, подмена полей логина-пароля в систему Яндекс.Деньги и прочие манипуляции с целью увести как можно больше аккаунтов почты и прочих данных, особенно связанных с платежными системами). Само собой недоступны редактор реестра и диспетчер задач. Характерно, что запускается Spybot, но не спасает, что в общем-то верно, ибо засевшая вредина это всё таки вирус, а не Spyware.

Ситуация, в целом, не нова. Прежде всего, само собой, надо всю эту гадость вымести. Т.к. из системы это сделать невозможно (при попытке установить/запустить антивирус или антивирусную утилиту система либо закрывает оную, либо уходит в перезагрузку), пришлось прибегать к старому-доброму, но очень мною любимому Dr.Web LiveCD. О том, как им лечить компьютер, я писал в одноименной статье "Как удалить вирусы. Часть 3. [DrWeb liveCD]", а посему подробно описывать процесс работы с ним в рамках данной статьи не буду. Оный нашел в системе порядка 20-25 различных вирусов, червей, вирусных библиотек и прочих ужасов жизни и поместил в карантин. Естественно, что из карантина (и системы вообще) их надо удалить, путем выделения и нажатия кнопочки "Remove" (что характерно, Dr.Web почему-то сам не всегда удаляет вирус, а помещает его в карантин, даже если задан пункт "Delete" напротив соответствующей строки настроек и оное приходится делать вручную).

к содержанию ↑

Устраняем ошибку "Невозможно загрузить DLL C:\Windows\System32\xtgina.dll"

После оного система вроде бы выглядит очищенной, но не тут то было. При загрузке выдается сообщение, крайне похожее на системное, которое гласит:

Ошибка пользовательского интерфейса:

Невозможно загрузить DLL C:\Windows\System32\xtgina.dll пользовательского интерфейса входа. Обратитесь к системному администратору или восстановите исходную библиотеку DLL.

И ниже оного кнопочка "Перезагрузка". Скриншот, к сожалению, снять не додумался, ну да ладно, думаю, что текста должно хватить.

Что характерно, за годы своей практики я никаких таких xtgina.dll библиотек не видел (многие системные файлы я узнаю в лицо :) ) и с сообщением подобным вообще столкнулся впервые, хотя до сего момента наверняка мог поручиться, что повидал в Windows XP все возможные вариации ошибок. Естественно, что оное навело меня на мысли, что имеет место быть подмена/перехват пользовательского интерфейса, путем подгрузки левой библиотеки.

Пошел в безопасный режим (кнопочка F8 до загрузочного экрана Windows, где ползет полосочка). Вуаля! Безопасный режим работает. Первым делом прошелся AVZ-том (естественно, на сей раз он запустился, ибо вирусы были вычищены с помощью Dr.Web LiveCD), но проблемы это, естественно, не решило. Попытка с помощью оного восстановить ключи запуска Explorer и убрать все Winlogon сообщения (в AVZ это делается путем комбинации "Файл - Восстановление системы" и выбором соотвествующих пунктов 7, 8 и 9) не удалась и вываливалась ошибка доступа к памяти.

xtgina.dll

Волевым решением я пошел смотреть в реестре (на всякий случай напоминаю, что редактор реестра запускается путем: Пуск - Выполнить - Regedit - ОК) где прописалась эта самая xtgina.dll (в редакторе поиск осуществляется путем выбора пунктов Правка - Найти), а прописались она, конечно же, в разделе Winlogon, а именно в ветке: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon.

xtgina.dll

Естественно, что эту злодейскую гадость надо удалить, ибо именно она является инициатором вызова сообщения. Выделяем правой кнопкой мышки, выбираем пункт "Удалить", закрываем редактор реестра, перезагружаемся.. Вуаля! Всё работает ;)

Единственное, что после перезагрузки я всё таки рекомендую провести еще одну тщательную проверку всем и вся, начиная от CureIT+AVZ и заканчивая, например, Spybot+Ccleaner-Regseeker.

В интернете так же я слышал, что подобная проблема после удаления вирусов актуальна и при загрузке безопасного режима. Печально, но не критично. В этом случае можно воспользоваться дистрибутивом Windows PE. И так, что делаем:

  • Берем другой компьютер, флешку и диск.
  • Скачиваем вот этот архив. Распаковываем. Внутри архива лежит образ загрузочного диска с ОС WindowsPE, программа для его записи + альтернативный редактор реестра (оный надо дописать на тот же диск после записи образа или же скопировать на флешку и потом запустить с флешки)
  • Запускаем SCD Writer (программа для записи, что была в архиве), там выбираем Диск - Записать ISO-образ на диск, выбираем скачанный образ на диске, выставляем скорость записи и ждем окончания записи.
  • Идем к пораженному компьютеру, перезагружаем и заходим в BIOS (сразу после перезагрузки давим в кнопочку DEL, чтобы туда попасть), находим пункт выбора устройств для загрузки (boot) и на первое место ставим CD-ROM. Сохраняем настройки, выходим из BIOS, вставляем диск и флешку с редактором реестра.
  • После перезагрузки ждем начала загрузки с CD-диска, в появившемся меню жмем в кнопочку 1, т.е. выбираем WindowsPE, долго ждем пока система загрузится. Возможно, что потребуется указать где (на каком диске и в какой папке на компьютере) стоит пораженная система. Укажите.
  • Открываем мой компьютер и проходим к флешке. Там запускаем рекдактор реестра. Возможно, что программа попросит Вас указать место расположение файла ntuser.dat в пораженной системе с целью получения доступа к реестру. Укажите C:\Documents and Settings\имя_аккаунта\ntuser.dat, где имя_аккаунта, – это Ваше имя пользователя в пораженной системе. Возможно, что программа не будет видеть, тогда откройте Мой компьютер, пройдите по указанному пути, найдите ntuser.dat, затем нажмите на него правой кнопкой мышки и выберите Свойства. Далее снимите галочку “Скрытый“, нажмите ОК. Теперь вернитесь в редактор реестра и укажите на появившийся ntuser.dat. Возможно, что программа предложит Вам указать путь к ntuser.dat еще одного пользователя, во второй раз откажитесь, если все уже проделали.
  • В редакторе реестра есть два типа ветвей (ветвь – это что-то вроде структуры с папками, в окне редактора они слева). Одни – это текущие, т.е. той системы, в которой мы сейчас находимся, а другие – это как раз пораженной системы. Нам нужны вторые. Они в редакторе реестра либо указаны со скобочками HKEY_LOCAL_MACHINE(…), где (…), – название Вашего компьютера или что-нибудь типа (W_IN_C). Так же возможно, что не будут продублированы ветви, а только подветви или что название ветвей пораженного компьютера будет не в скобках, а после подчеркивания HKEY_LOCAL_MACHINE_W_IN_C. В общем посмотрите повнимательней.
  • И так, мы с Вами проходим по пути HKEY_LOCAL_MACHINE(…)\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. На Winlogon мы тыркаем мышкой. В правом окне находим вышеупомянутый xtgina.dll (выше в статье есть скриншот строчки с ним), выделяем мышкой и удаляем.
  • Закрываем редактор реестра.
  • Вынимаем диск, перезагружаемся, заходим в BIOS, возвращаем загрузку с HDD. Выходим из BIOS, загружаем систему.

Как-то так. Звучит грозно, но в целом ничего сложного нету.

Вышеописанная методика так же актуальна и при сходных модификациях вируса или же при удалении программ, модифицирующих/перехватывающих пользовательский интерфейс, например, это PcAnywhere GINA при котором запись, вызывающая ошибку, ссылается на файл Awgina.dll и удаляется вышеописанными способами.

к содержанию ↑

Послесловие.

Вот такая вот полузаметка-инструкция. Надеюсь, что кому-то когда-то она будет полезна.. Ну а начинающим айтишникам просто рекомендую мотать на ус, ибо никогда не знаешь где столкнешься с чем-либо подобным.

Спасибо за внимание. Оставайтесь рядом ;)

  • Васька

    Я так и делаю когда не могу зайти в ось,захожу с лайв сиди в котором 5-6 антивирусов,прогонюсь одним,не поможет вторым.Хотя после Проверки КуреИтом уже ничего как правило не остается))))Вопрос.Соник а где ты так вирусов нахватался?Судя по скринам компьютер твой(Mac OS Theme).

    • Sonikelf

      Вирусов нахватался не я, - у меня оных не было уже очень давно :)

      А скрины действительно с моей машины, ибо редактор реестра везде запускается, а на пораженной машине было не до снятия скриншотов :)

  • Миджа

    Добрый вечер, Соник!

    Хотелось узнать как на том компе оказался такой пакет вирусов ?! (О О)
    Что бы быть на чеку. Как говориться предупрежден, значит вооружен.

    Спасибо за инфу, о том как избавиться от такой мощной заразы))))))

    • Sonikelf

      Хотелось узнать как на том компе оказался такой пакет вирусов ?! (О О)

      Понятия не имею :)

    • Араб

      Sonikelf лечил от этой проблемы мой компьютер.Данный пакет вирусов оказался на моем компьютере в результате захода на сайт с безобидным названием "Насосы-Садовые фонтаны и пруды". Могу дать ссылку на него если кто-то захочет рискнуть и проверить. После попадания на этот сайт компьютер спустя какое то время зависает.Видимо в этот момент идет загрузка файлов и, как потом выяснилось, и каталогов с вирусами. В этот момент моя клавиатура и мышь были отключены.Сделать что либо невозможно. Потом компьютер сам перезагружается и происходит все то, что описал Sonikelf. С подобным лично я ранее не встречался. Моих инструментов и знаний для решения этой проблемы не хватило, хотя по праву считаю себя опытным пользователем ПК. Sonikelf - реальный мастер своего дела!Прямо волшебник да и только!Все вычистил и исправил!Слава Sonikelf и большое ему спасибо!

      • DocenT

        Араб кидай ссыль на сайт в аську 79з9195О (даже если я оффлайн)

  • Александр

    У меня проблема! Кажется какой то вирус который поражает проводник! Он постоянно виснет и блокирует доступ к рабочему столу! AVZ также не помогает! Вирусы находит но проблемы не решает! Что это может быть? И как это устранить?

    • Sonikelf

      Используйте Dr.Web LiveCD и Spybot

  • assassins

    Да интересно как надо юзать интернет чтобы подхватить такое .
    З.Ы. А можно было его удалить без антивируса .
    (долго бы наверное мучился .
    )

    • Sonikelf

      Никогда не знаешь где наткнешься.
      Часто обычный сайт может быть поражен червем и, сам того не зная, рассылать вирус.

      • assassins

        Да бывает и такое .

  • Седой

    Почему в образе, скачанном по ссылке , обнаружены четыре вируса?

    • Sonikelf

      Я уже неоднократно писал, что никаких вирусов там нету.
      Там есть ряд софта на который антивирус, на всякий случай, перестраховываясь, реагирует нервным способом, что логично, учитывая, что там и редакторы реестра и прочие программы, которые позволяют копаться внутри системы.

      • Седой

        Хорошо, если нет. А то думается, что вирусы ещё здесь.

  • Segment

    Очень занимательно!
    Отличный пример находчивости с этой ddl-кой!)

    • Sonikelf

      Спасибо :)

  • morvinger

    Спасибо! Исправил за 5 минут! Все работает!

    • Sonikelf

      Пожалуйста, рад, что помог :)

  • Alexander

    Спасибо, Андрей!
    Весьма актуальная тема. Этим летом пришлось дважды встретиться с этой проблемой. К сожалению, не было времени разбираться с причиной. Положение исправлялось форматированием диска и переустановкой оси. К слову, на обеих машинах стояли бесплатные антивирусы. У меня Каспер, не пропускает подобную гадость.

    • Sonikelf

      Всегда пожалуйста.
      А вообще, видал я модификации и связки, когда не справлялся и нормальный платный антивирус, что Каспер, что Веб.

  • Evros

    Sonikelf молочага !!! Спас .

    • Sonikelf

      Рад слышать :)

  • Михаил

    Хм! Думал, что Spyware и вирус это одно и тоже. Спасибо за интересную статью.

    • Sonikelf

      Пожалуйста ;)

  • Bosica

    Спасибо вам огромнейшее! Я вас просто обожаю =))) Быстро и просто реабилитировала рабочую машину!

    • Sonikelf

      Рад был помочь ;) Приходите еще, зовите друзей и все такое разное :)

  • No Title

    Огромное спасибо за статью!

    Помогло!

  • van

    спасибо за инструкцию!

  • Алексей

    Огромное спасибо за информацию! Один из лучших сайтов по данной тематике которые я когда-либо видел!
    Огромное количество реально ценных и эффективных советов! В общем спасибо за вашу работу,
    как говорится продолжайте в том же духе =)

  • дмитрич

    Спасибо большое, всё получилось :). Только у меня файл назывался egisgina.dll.

  • Skie2004

    Моей главбухше попался модифицированный вирь этого семейства, в ключ userinit после запятой был добавлен путь к некоему файлу mpk.exe, плюс в автозагрузке была какая-то еще хрень :)
    Загрузился с Erd Commander, почистил реестр, почистил автозагрузку и темпы(др. веб лайвсиди пока еще качался;)) Система ожила.

  • jonny666

    спс за статью) я использовал Erd Commander откат на день все круто ! xtgina.dll уничтожил Ура))))

  • Радмир Шишков на микрофоне

    спасибо тебе добрый человек. ты няшка

  • nero211

    в качестве варианте win pe можно заюзать сборку alkid live dvd (работает как с болванки так и с флехи. инструкция на рутрекере) не раз выручала. обидно что последний билд оказался без авиры.

  • EM

    Спасибо, друг! Оч выручил!

  • McTraher

    ксрасава, спс.)

  • Илья

    А вот интересно, как эта гадость через легальный работающий с актуальными базами антивирь пролазит?! у меня каспер пропустил на одном рабочем месте..

  • Андрей

    Спасибо Вам за статью! Есть такой вопрос: После запуска редактора реестра в WindowsPE появляется сообщение "Do you wish to load remote user profiles for editing". Как я понимаю программа просит указать место расположение файла ntuser.dat. Я указываю его (предварительно убрав свойства "скрытый"), однако сразу опять появляется тоже самое сообщение и так можно бесконечно указывать расположение ntuser.dat (Как сказано в статье программа наверное предлагает указать путь к ntuser.dat еще одного пользователя). Если после первого указания нажать НЕТ в ответ на второе сообщение, то реестр загружается, однако в нем присутствуют стандартные разделы без дополнительных символов. Если открыть раздел, то там присутствуют имена подразделов, как обычные так и с дополнительными символами (как описано в статье). Если перейти по указаному пути в подразделы зарженой системы для нахождения xtgina.dll (или подобного), то там ничего такого нет. Получается или я что то неправильно делаю, или реестр пораженной системы не загружется полностью, или вирус не в том месте. Спасибо!

    • Петр

      Та же картина и у меня. Как то решилось? а то ответа автора не вижу...

  • Volchonok

    +1 Большое спасибо, статья 100% выручила =) сам ITшник уже несколько лет, инет рулит!сэкономил время

    • Sonikelf

      Рад, что пригодилось, коллега ;)

  • PEPS

    РЕСПЕКТ И УВАЖУХА. И ЗЕЛЁНКА ПОЖИЗНИ!!!

  • Виктор

    соник помоги! дело в том что у меня поменялась тема,картинка в порядке,никаких ошибок но пуск и панел задач поменя ли свой вид!как вернуть все назад?заранее спасибо...
    З.Ы.еще может поможешь,у меня пусто в окне "включение или отключение компонентов windows"(у меня 7)

  • BIOHAZARD

    Есть такая проблема что постоянно пропадают DLL библиотеки с компьютера что с этим делать? :?:

  • Sh_s

    Долгое время лечился тоже Live CD с DR web потом стало жаль времени, что он тратит на лечение.
    А когда пару раз не помогло - нашел решение.
    флешка с Total Comm + AVZ + Autoruns = лечение 99.99% всех вирусов (и др. говна) за 15-30 мин.
    Правильно настроенный AVZ (читайте справку к ключам) и фильтры файлов сканирования.
    пару макросов для чистки темпа ОС и инета
    Autoruns - запускать от Администратора. Недавно, только так, увидел ключ с вирусом.
    Оставшийся 0.001% лечу или HBCD или диск через переходник к нотику на нем KAV.
    Все это можно запихать на флеху с загрузкой HBCD и все.
    Девайс 300 р стоит. позволяет на USB подрубать SATA IDE miniIDE диски - отбился уже 1000 раз.
    Это не понты, типа я все лучше знаю - просто нуждающийся попробует и выберет себе нужное.

  • Дмитрий

    Млин,а у меня при включении комп начинает грузиться и тупо выпадает фоновая картинка заставка и все.Далее через 3 кнопки вызываю диспечера задач нахожу cвой explorer.exe тыкаю в него и после этого загружается рабочий стол.Какой то блок засел,не подскажете хоть в какую сторону копать и чем ковырять,а то у меня от этой компьютерной грамоты мозги выворачивает. :oops:

  • наталья

    Спасибо огромное. Вы меня просто спасли))))

  • Игорь

    Благодарочка автору статьи. Столкнувшись с этой проблемой,я не знал, что делать. Я слабо соображаю в компьютерах, но тут всё было понятно и у меня всё получилось. Сказать, что выручили- ничего не сказать. Ещё раз ОГРОМНОЕ спасибо!!!!!!!!!!!!!

    • Sonikelf

      Пожалуйста :) Главное, что на пользу

  • Ald

    Тоже поймал такой вирь. Причём судя по всему откуда то с яндекс маркета, точнее с одного из магазинчиков.
    Суть в следующем: во время загрузки системы блокируется клавиатура, выбрать вариант загрузки нельзя, точно так же как и нельзя поменять что либо в биосе. Видимо только снос поможет. Очень интересная штука этот вирь, но смысла какого то от него не вижу..

 

* - комментарии могут появляться не сразу, попасть в спам или быть удалены за несоответствие правилам