Это цитата сообщения Tatiana_Goroshko Оригинальное сообщение

Решение проблемы с вирусом xtgina.dll, подменой интерфейса и блокировкой системы

Решение проблемы с вирусом xtgina.dll, подменой интерфейса и блокировкой системы

Хочу поделиться небольшим решением послевирусной проблемы, с которой столкнулся буквально на днях. Авось кому-то будет полезно, ибо толковой информации в интернете по данному вопросу я не нашел (разве что пара упоминаний на форумах). В рамках статьи поведаю как удалить, собственно, вирус (точнее целый набор), а так же как решить проблему после его удаления, которая представляет собой сообщение вида “Невозможно загрузить DLL xtgina.dll“.

Удаляем вирус и решаем проблему xtgina.dll

Суть в следующем. Система была поражена пакетом вирусов самых разных расцветок. Есть подозрение, что это был червь, подгрузивший и развернувший необходимый базис заразы, ибо поражение выглядело довольно забавно: система глухо зависла на несколько минут, а потом самостоятельно перезагрузилась, после перезагрузки обнаружив полный набор ниже описанных симптомов.

Симптоматика: полная блокировка работы антивирусов (в том числе антивирусных утилит типа avz), различных программ (софт по очистке реестра и временных файлов, Webmoney, Яндекс.Кошельки) и интернета (производятся подмены адресов в браузере, перенаправление на “левые” сайты, перехват трафика программ, подмена полей логина-пароля в систему Яндекс.Деньги и прочие манипуляции с целью увести как можно больше аккаунтов почты и прочих данных, особенно связанных с платежными системами). Само собой недоступны редактор реестра и диспетчер задач. Характерно, что запускается Spybot, но не спасает, что в общем-то верно, ибо засевшая вредина это всё таки вирус, а не Spyware.

Ситуация, в целом, не нова. Прежде всего, само собой, надо всю эту гадость вымести. Т.к. из системы это сделать невозможно (при попытке установить/запустить антивирус или антивирусную утилиту система либо закрывает оную, либо уходит в перезагрузку), пришлось прибегать к старому-доброму, но очень мною любимому Dr.Web LiveCD. О том, как им лечить компьютер, я писал в одноименной статье “Как удалить вирусы. Часть 3. [DrWeb liveCD]“, а посему подробно описывать процесс работы с ним в рамках данной статьи не буду. Оный нашел в системе порядка 20-25 различных вирусов, червей, вирусных библиотек и прочих ужасов жизни и поместил в карантин. Естественно, что из карантина (и системы вообще) их надо удалить, путем выделения и нажатия кнопочки “Remove” (что характерно, Dr.Web почему-то сам не всегда удаляет вирус, а помещает его в карантин, даже если задан пункт “Delete” напротив соответствующей строки настроек и оное приходится делать вручную).

Устраняем ошибку “Невозможно загрузить DLL C:\Windows\System32\xtgina.dll”

После оного система вроде бы выглядит очищенной, но не тут то было. При загрузке выдается сообщение, крайне похожее на системное, которое гласит:

Ошибка пользовательского интерфейса:

Невозможно загрузить DLL C:\Windows\System32\xtgina.dll пользовательского интерфейса входа. Обратитесь к системному администратору или восстановите исходную библиотеку DLL.

И ниже оного кнопочка “Перезагрузка“. Скриншот, к сожалению, снять не додумался, ну да ладно, думаю, что текста должно хватить.

Что характерно, за годы своей практики я никаких таких xtgina.dll библиотек не видел (многие системные файлы я узнаю в лицо [показать] ) и с сообщением подобным вообще столкнулся впервые, хотя до сего момента наверняка мог поручиться, что повидал в Windows XP все возможные вариации ошибок. Естественно, что оное навело меня на мысли, что имеет место быть подмена/перехват пользовательского интерфейса, путем подгрузки левой библиотеки.

Пошел в безопасный режим (кнопочка F8 до загрузочного экрана Windows, где ползет полосочка). Вуаля! Безопасный режим работает. Первым делом прошелся AVZ-том (естественно, на сей раз он запустился, ибо вирусы были вычищены с помощью Dr.Web LiveCD), но проблемы это, естественно, не решило. Попытка с помощью оного восстановить ключи запуска Explorer и убрать все Winlogon сообщения (в AVZ это делается путем комбинации “Файл – Восстановление системы” и выбором соотвествующих пунктов 7, 8 и 9) не удалась и вываливалась ошибка доступа к памяти.

[461x350]

Волевым решением я пошел смотреть в реестре (на всякий случай напоминаю, что редактор реестра запускается путем: Пуск - Выполнить - Regedit - ОК) где прописалась эта самая xtgina.dll (в редакторе поиск осуществляется путем выбора пунктов Правка – Найти), а прописались она, конечно же, в разделе Winlogon, а именно в ветке: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon.

[488x435]

Естественно, что эту злодейскую гадость надо удалить, ибо именно она является инициатором вызова сообщения. Выделяем правой кнопкой мышки, выбираем пункт “Удалить“, закрываем редактор реестра, перезагружаемся.. Вуаля! Всё работает [показать]

Единственное, что после перезагрузки я всё таки рекомендую провести еще одну тщательную проверку всем и вся, начиная от CureIT+AVZ и заканчивая, например, Spybot+Ccleaner-Regseeker.

В интернете так же я слышал, что подобная проблема после удаления вирусов актуальна и при загрузке безопасного режима. Печально, но не критично. В этом случае можно воспользоваться дистрибутивом Windows PE. И так, что делаем:

• Берем другой компьютер, флешку и диск.
• Скачиваем вот этот архив. Распаковываем. Внутри архива лежит образ загрузочного диска с ОС WindowsPE, программа для его записи + альтернативный редактор реестра (оный надо дописать на тот же диск после записи образа или же скопировать на флешку и потом запустить с флешки)
• Запускаем SCD Writer (программа для записи, что была в архиве), там выбираем Диск - Записать ISO-образ на диск, выбираем скаченный образ на диске, выставляем скорость записи и ждем окончания записи.
• Идем к пораженному компьютеру, перезагружаем и заходим в BIOS (сразу после перезагрузки давим в кнопочку DEL, чтобы туда попасть), находим пункт выбора устройств для загрузки (boot) и на первое место ставим CD-ROM. Сохраняем настройки, выходим из BIOS, вставляем диск и флешку с редактором реестра.
• После перезагрузки ждем начала загрузки с CD-диска, в появившемся меню жмем в кнопочку 1, т.е. выбираем WindowsPE, долго ждем пока система загрузится. Возможно, что потребуется указать где (на каком диске и в какой папке на компьютере) стоит пораженная система. Укажите.
• Открываем мой компьютер и проходим к флешке. Там запускаем рекдактор реестра. Возможно, что программа попросит Вас указать место расположение файла ntuser.dat в пораженной системе с целью получения доступа к реестру. Укажите C:\Documents and Settings\имя_аккаунта\ntuser.dat, где имя_аккаунта, – это Ваше имя пользователя в пораженной системе. Возможно, что программа не будет видеть, тогда откройте Мой компьютер, пройдите по указанному пути, найдите ntuser.dat, затем нажмите на него правой кнопкой мышки и выберите Свойства. Далее снимите галочку “Скрытый“, нажмите ОК. Теперь вернитесь в редактор реестра и укажите на появившийся ntuser.dat. Возможно, что программа предложит Вам указать путь к ntuser.dat еще одного пользователя, во второй раз откажитесь, если все уже проделали.
• В редакторе реестра есть два типа ветвей (ветвь – это что-то вроде структуры с папками, в окне редактора они слева). Одни – это текущие, т.е. той системы, в которой мы сейчас находимся, а другие – это как раз пораженной системы. Нам нужны вторые. Они в редакторе реестра либо указаны со скобочками HKEY_LOCAL_MACHINE(…), где (…), – название Вашего компьютера или что-нибудь типа (W_IN_C). Так же возможно, что не будут продублированы ветви, а только подветви или что название ветвей пораженного компьютера будет не в скобках, а после подчеркивания HKEY_LOCAL_MACHINE_W_IN_C. В общем посмотрите повнимательней.
• И так, мы с Вами проходим по пути HKEY_LOCAL_MACHINE(…)\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. На Winlogon мы тыркаем мышкой. В правом окне находим вышеупомянутый xtgina.dll (выше в статье есть скриншот строчки с ним), выделяем мышкой и удаляем.
• Закрываем редактор реестра.
• Вынимаем диск, перезагружаемся, заходим в BIOS, возвращаем загрузку с HDD. Выходим из BIOS, загружаем систему.

Как-то так. Звучит грозно, но вцелом ничего сложного нету.

Вышеописанная методика так же актуальна и при сходных модификациях вируса или же при удалении программ, модифицирующих/перехватывающих пользовательский интерфейс, например, это PcAnywhere GINA при котором запись, вызывающая ошибку, ссылается на файл Awgina.dll и удаляется вышеописанными способами.

 

Заметки Сис.Админа

Серия сообщений "Шпаргалки":
Часть 1 - Картинки в пост
Часть 2 - Супер удобная программа
...
Часть 59 - Улучшение работы операционной системы
Часть 60 - Web of Thrust (WOT) – плагин проверки сайтов и безопасности для Firefox
Часть 61 - Решение проблемы с вирусом xtgina.dll, подменой интерфейса и блокировкой системы