MENU

23:06
Решение проблемы с вирусом xtgina.dll, подменой интерфейса и блокировкой системы

Нашла вот такую статью...

Вот, не дай Бог, чтобы кому-то пригодилось, но пусть будет!!!

block

 

Хочу поделиться небольшим решением послевирусной проблемы, с которой столкнулся буквально на днях. Авось кому-то будет полезно, ибо толковой информации в интернете по данному вопросу я не нашел (разве что пара упоминаний на форумах). В рамках статьи поведаю как удалить, собственно, вирус (точнее целый набор), а так же как решить проблему после его удаления, которая представляет собой сообщение вида "Невозможно загрузить DLL xtgina.dll".

 

Удаляем вирус и решаем проблему xtgina.dll

Суть в следующем. Система была поражена пакетом вирусов самых разных расцветок. Есть подозрение, что это был червь, подгрузивший и развернувший необходимый базис заразы, ибо поражение выглядело довольно забавно: система глухо зависла на несколько минут, а потом самостоятельно перезагрузилась, после перезагрузки обнаружив полный набор ниже описанных симптомов.

Симптоматика: полная блокировка работы антивирусов (в том числе антивирусных утилит типа avz), различных программ (софт по очистке реестра и временных файлов, Webmoney, Яндекс.Кошельки) и интернета (производятся подмены адресов в браузере, перенаправление на "левые” сайты, перехват трафика программ, подмена полей логина-пароля в систему Яндекс.Деньги и прочие манипуляции с целью увести как можно больше аккаунтов почты и прочих данных, особенно связанных с платежными системами). Само собой недоступны редактор реестра и диспетчер задач. Характерно, что запускается Spybot, но не спасает, что в общем-то верно, ибо засевшая вредина это всё таки вирус, а неSpyware.

Ситуация, в целом, не нова. Прежде всего, само собой, надо всю эту гадость вымести. Т.к. из системы это сделать невозможно (при попытке установить/запустить антивирус или антивирусную утилиту система либо закрывает оную, либо уходит в перезагрузку), пришлось прибегать к старому-доброму, но очень мною любимому Dr.Web LiveCD. О том, как им лечить компьютер, я писал в одноименной статье "Как удалить вирусы. Часть 3. [DrWeb liveCD]", а посему подробно описывать процесс работы с ним в рамках данной статьи не буду. Оный нашел в системе порядка 20-25различных вирусов, червей, вирусных библиотек и прочих ужасов жизни и поместил в карантин. Естественно, что из карантина (и системы вообще) их надо удалить, путем выделения и нажатия кнопочки "Remove” (что характерно, Dr.Web почему-то сам не всегда удаляет вирус, а помещает его в карантин, даже если задан пункт "Delete” напротив соответствующей строки настроек и оное приходится делать вручную).

Устраняем ошибку "Невозможно загрузитьDLL C:\Windows\System32\xtgina.dll”

После оного система вроде бы выглядит очищенной, но не тут то было. При загрузке выдается сообщение, крайне похожее на системное, которое гласит:

Ошибка пользовательского интерфейса:

Невозможно загрузить DLL C:\Windows\System32\xtgina.dll пользовательского интерфейса входа. Обратитесь к системному администратору или восстановите исходную библиотеку DLL.

И ниже оного кнопочка "Перезагрузка". Скриншот, к сожалению, снять не додумался, ну да ладно, думаю, что текста должно хватить.

Что характерно, за годы своей практики я никаких такихxtgina.dll библиотек не видел (многие системные файлы я узнаю в лицо :) ) и с сообщением подобным вообще столкнулся впервые, хотя до сего момента наверняка мог поручиться, что повидал в Windows XP все возможные вариации ошибок. Естественно, что оное навело меня на мысли, что имеет место быть подмена/перехват пользовательского интерфейса, путем подгрузки левой библиотеки.

Пошел в безопасный режим (кнопочка F8 до загрузочного экрана Windows, где ползет полосочка). Вуаля! Безопасный режим работает. Первым делом прошелся AVZ-том (естественно, на сей раз он запустился, ибо вирусы были вычищены с помощью Dr.Web LiveCD), но проблемы это, естественно, не решило. Попытка с помощью оного восстановить ключи запуска Explorer и убрать всеWinlogon сообщения (в AVZ это делается путем комбинации "Файл – Восстановление системы” и выборомсоотвествующих пунктов 7, 8 и 9) не удалась и вываливалась ошибка доступа к памяти.

xtgina.dll

Волевым решением я пошел смотреть в реестре (на всякий случай напоминаю, что редактор реестра запускается путем: Пуск - Выполнить - Regedit - ОК) где прописалась эта самая xtgina.dll (в редакторе поиск осуществляется путем выбора пунктов Правка – Найти) , а прописались она, конечно же, в разделе Winlogon, а именно в ветке:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon.

xtgina.dll

Естественно, что эту злодейскую гадость надо удалить, ибо именно она является инициатором вызова сообщения. Выделяем правой кнопкой мышки, выбираем пункт "Удалить", закрываем редактор реестра, перезагружаемся.. Вуаля! Всё работает ;)

Единственное, что после перезагрузки я всё таки рекомендую провести еще одну тщательную проверку всем и вся, начиная от CureIT+AVZ и заканчивая, например, Spybot+Ccleaner-Regseeker.

В интернете так же я слышал, что подобная проблема после удаления вирусов актуальна и при загрузке безопасного режима. Печально, но не критично. В этом случае можно воспользоваться дистрибутивом Windows PE. И так, что делаем:

  • Берем другой компьютер, флешку и диск.
  • Скачиваем вот этот архив. Распаковываем. Внутри архива лежит образ загрузочного диска с ОС WindowsPE, программа для его записи + альтернативный редактор реестра(оный надо дописать на тот же диск после записи образа или же скопировать на флешку и потом запустить с флешки)
  • Запускаем SCD Writer (программа для записи, что была в архиве), там выбираем Диск - Записать ISO-образ на диск, выбираем скаченный образ на диске, выставляем скорость записи и ждем окончания записи.
  • Идем к пораженному компьютеру, перезагружаем и заходим в BIOS (сразу после перезагрузки давим в кнопочку DEL, чтобы туда попасть), находим пункт выбора устройств для загрузки (boot) и на первое место ставимCD-ROM. Сохраняем настройки, выходим из BIOS, вставляем диск и флешку с редактором реестра.
  • После перезагрузки ждем начала загрузки с CD-диска, в появившемся меню жмем в кнопочку 1, т.е. выбираемWindowsPE , долго ждем пока система загрузится. Возможно, что потребуется указать где (на каком диске и в какой папке на компьютере) стоит пораженная система. Укажите.
  • Открываем мой компьютер и проходим к флешке. Там запускаем рекдактор реестра. Возможно, что программа попросит Вас указать место расположение файлаntuser.dat в пораженной системе с целью получения доступа к реестру. Укажите C:\Documents and Settings\имя_аккаунта\ntuser.dat, гдеимя_аккаунта, – это Ваше имя пользователя в пораженной системе. Возможно, что программа не будет видеть, тогда откройте Мой компьютер, пройдите по указанному пути, найдите ntuser.dat , затем нажмите на него правой кнопкой мышки и выберите Свойства. Далее снимите галочку "Скрытый", нажмите ОК. Теперь вернитесь в редактор реестра и укажите на появившийсяntuser.dat. Возможно, что программа предложит Вам указать путь к ntuser.dat еще одного пользователя, во второй раз откажитесь, если все уже проделали.
  • В редакторе реестра есть два типа ветвей(ветвь – это что-то вроде структуры с папками, в окне редактора они слева). Одни – это текущие, т.е. той системы, в которой мы сейчас находимся, а другие – это как раз пораженной системы. Нам нужны вторые. Они в редакторе реестра либо указаны со скобочкамиHKEY_LOCAL_MACHINE(…), где (…), – название Вашего компьютера или что-нибудь типа (W_IN_C). Так же возможно, что не будут продублированы ветви, а только подветви или что название ветвей пораженного компьютера будет не в скобках, а после подчеркиванияHKEY_LOCAL_MACHINE_W_IN_C. В общем посмотрите повнимательней.
  • И так, мы с Вами проходим по путиHKEY_LOCAL_MACHINE(…)\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. На Winlogon мы тыркаем мышкой. В правом окне находим вышеупомянутый xtgina.dll (выше в статье есть скриншот строчки с ним), выделяем мышкой и удаляем.
  • Закрываем редактор реестра.
  • Вынимаем диск, перезагружаемся, заходим в BIOS, возвращаем загрузку с HDD . Выходим из BIOS, загружаем систему.

Как-то так. Звучит грозно, но вцелом ничего сложного нету.

Вышеописанная методика так же актуальна и при сходных модификациях вируса или же при удалении программ, модифицирующих/перехватывающих пользовательский интерфейс, например, это PcAnywhere GINA при котором запись, вызывающая ошибку, ссылается на файл Awgina.dll и удаляется вышеописанными способами.

 

 

Заметки Сис.Админа

 спасибо Леди in Red
Просмотров: 720 | Добавил: galina | Теги: защищаем комп | Рейтинг: 0.0/0