Рішення проблеми з вірусом xtgina.dll, підміною інтерфейсу і блокуванням системи





Доброго часу доби, дорогі друзі.

Рішення проблеми з вірусом xtgina.dll, підміною інтерфейсу і блокуванням системи

Хочу поділитися невеликим рішенням послевірусной проблеми, з якою зіткнувся буквально днями. Авось комусь буде корисно, бо тямущою інформації в інтернеті з даного питання я не знайшов (хіба що пара згадок на форумах). В рамках статті повідаю як видалити, власне, вірус (точніше цілий набір), а так само як вирішити проблему після його видалення, яка являє собою повідомлення виду «Неможливо завантажити DLL xtgina.dll«.

Поїхали.

Видаляємо вірус і вирішуємо проблему xtgina.dll

Суть в наступному. Система була вражена пакетом вірусів самих різних забарвлень. Є підозра, що це був черв’як, довантажити і розгорнув необхідний базис зарази, бо поразка виглядало досить кумедно: система глухо зависла на кілька хвилин, а потім самостійно перезавантажилась, після перезавантаження виявивши повний набір нижче описаних симптомів.

Симптоматика: повне блокування роботи антивірусів (у тому числі антивірусних утиліт типу avz), різних програм (софт з очищення реєстру і тимчасових файлів, Webmoney, Яндекс.Гаманця) та інтернету (виробляються підміни адрес в браузері, перенаправлення на «ліві» сайти, перехоплення трафіку програм, підміна полів логіна-пароля в систему Яндекс.Деньги та інші маніпуляції з метою відвести якомога більше акаунтів пошти та інших даних, особливо пов’язаних з платіжними системами). Само собою недоступні редактор реєстру і диспетчер задач. Характерно, що запускається Spybot, але не рятує, що взагалі-то вірно, бо засіла вредина це все таки вірус, а не Spyware.

Ситуація, в цілому, не нова. Перш за все, само собою, треба всю цю гидоту вимести. Тому з системи це зробити неможливо (при спробі встановити / запустити антивірус або антивірусну утиліту система або закриває ону, або іде у перезавантаження), довелося вдаватися до старого-доброму, але дуже мною коханому Dr.Web LiveCD. Про те, як їм лікувати комп’ютер, я писав в однойменній статті «Як видалити віруси. Частина 3. [DrWeb liveCD] «, а тому докладно описувати процес роботи з ним в рамках даної статті не буду. Оно знайшов в системі близько 20-25 різних вірусів, хробаків, вірусних бібліотек і інших жахів життя і помістив в карантин. Природно, що з карантину (і системи взагалі) їх треба видалити, шляхом виділення і натиснення кнопочки «Remove» (що характерно, Dr.Web чомусь сам не завжди видаляє вірус, а поміщає його в карантин, навіть якщо заданий пункт «Delete »напроти відповідного рядка налаштувань і оне доводиться робити вручну).

Усуваємо помилку «Неможливо завантажити DLL C: Windows System32 xtgina.dll»

Після оного система начебто виглядає очищеної, але не тут то було. При завантаженні видається повідомлення, вкрай схоже на системне, яке свідчить:

Помилка користувальницького інтерфейсу:

Неможливо завантажити DLL C: Windows System32 xtgina.dll користувача інтерфейсу входу. Зверніться до системного адміністратора або відновите вихідну бібліотеку DLL.

І нижче оного кнопочка «Перезавантаження«. Скріншот, на жаль, зняти не додумався, ну да ладно, думаю, що тексту повинно вистачити.

Що характерно, за роки своєї практики я ніяких таких xtgina.dll бібліотек не бачив (багато системні файли я дізнаюся в обличчя Рішення проблеми з вірусом xtgina.dll, підміною інтерфейсу і блокуванням системи ) І з повідомленням подібним взагалі зіткнувся вперше, хоча до цього моменту напевно міг поручитися, що побачив в Windows XP всі можливі варіації помилок. Природно, що оне навело мене на думці, що має місце бути підміна / перехоплення користувача інтерфейсу, шляхом подгрузки лівої бібліотеки.

Пішов у безпечний режим (кнопочка F8 до завантажувального екрану Windows, де повзе смужка). Вуаля! Безпечний режим працює. Першим ділом пройшовся AVZ-те (природно, цього разу він запустився, бо віруси були вичищені за допомогою Dr.Web LiveCD), але проблеми це, природно, не вирішило. Спроба за допомогою оного відновити ключі запуску Explorer і прибрати все Winlogon повідомлення (у AVZ це робиться шляхом комбінації «Файл — Відновлення системи» і вибором соотвествующих пунктів 7, 8 і 9) не вдалася і вивалювалася помилка доступу до пам’яті.

Рішення проблеми з вірусом xtgina.dll, підміною інтерфейсу і блокуванням системи

Вольовим рішенням я пішов дивитися в реєстрі (про всяк випадок нагадую, що редактор реєстру запускається шляхом: Пуск — Виконати — Regedit — ОК) де прописалася ця сама xtgina.dll (в редакторі пошук здійснюється шляхом вибору пунктів Правка — Знайти), а прописалися вона , звичайно ж, в розділі Winlogon, а саме в гілці: HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion WinLogon.

Рішення проблеми з вірусом xtgina.dll, підміною інтерфейсу і блокуванням системи

Природно, що цю злочинницьку гидоту треба видалити, бо саме вона є ініціатором виклику повідомлення. Виділяємо правою кнопкою мишки, вибираємо пункт «Видалити«, закриваємо редактор реєстру, перезавантажуємося .. Вуаля! Все працює Рішення проблеми з вірусом xtgina.dll, підміною інтерфейсу і блокуванням системи

Єдине, що після перезавантаження я все таки рекомендую провести ще одну ретельну перевірку всім і вся, починаючи від CureIT + AVZ і закінчуючи, наприклад, Spybot + Ccleaner-Regseeker.

В інтернеті так само я чув, що подібна проблема після видалення вірусів актуальна і при завантаженні безпечного режиму. Сумно, але не критично. У цьому випадку можна скористатися дистрибутивом Windows PE. І так, що робимо:

Беремо інший комп’ютер, флешку і диск.

Викачуємо ось цей архів. Розпаковуємо. Всередині архіву лежить образ завантажувального диска з ОС WindowsPE, програма для його записи + альтернативний редактор реєстру (нім треба дописати на той же диск після запису образу або ж скопіювати на флешку і потім запустити з флешки)

Запускаємо SCD ​​Writer (програма для запису, що була в архіві), там вибираємо Диск — Записати образ ISO на диск, вибираємо скачаний образ на диску, виставляємо швидкість запису і чекаємо закінчення запису.

Йдемо до ураженого комп’ютера, перезавантажуємо і заходимо в BIOS (відразу після перезавантаження тиснемо в кнопочку DEL, щоб туди потрапити), знаходимо пункт вибору пристроїв для завантаження (boot) і на перше місце ставимо CD-ROM. Зберігаємо налаштування, виходимо з BIOS, вставляємо диск і флешку з редактором реєстру.

Після перезавантаження чекаємо початку завантаження з CD-диска, в меню, тиснемо в кнопочку 1, тобто вибираємо WindowsPE, довго чекаємо поки система завантажиться. Можливо, що буде потрібно вказати де (на якому диску і в якій папці на комп’ютері) коштує уражена система. Вкажіть.

Відкриваємо мій комп’ютер і проходимо до флешці. Там запускаємо рекдактор реєстру. Можливо, що програма попросить Вас вказати місце розташування файлу ntuser.dat в ураженій системі з метою отримання доступу до реєстру. Вкажіть C: Documents and Settings імя_аккаунта ntuser.dat, де імя_аккаунта, — це Ваше ім’я користувача в ураженій системі. Можливо, що програма не буде бачити, тоді відкрийте Мій комп’ютер, пройдіть по зазначеному шляху, знайдіть ntuser.dat, потім натисніть на нього правою кнопкою мишки і виберіть Властивості. Далі зніміть галочку «Прихований», натисніть ОК. Тепер поверніться в редактор реєстру і вкажіть на що з’явився ntuser.dat. Можливо, що програма запропонує Вам вказати шлях до ntuser.dat ще одного користувача, вдруге відмовтеся, якщо все вже виконали.

У редакторі реєстру є два типи гілок (гілка — це щось на зразок структури з папками, у вікні редактора вони зліва). Одні — це поточні, тобто тієї системи, в якій ми зараз знаходимося, а інші — це якраз ураженої системи. Нам потрібні другі. Вони в редакторі реєстру або вказані з скобочки HKEY_LOCAL_MACHINE (…), де (…), — назва Вашого комп’ютера або що-небудь типу (W_IN_C). Так само можливо, що не братимуть продубльовані гілки, а тільки подветви або що назва гілок ураженого комп’ютера буде не в дужках, а після підкреслення HKEY_LOCAL_MACHINE_W_IN_C. Загалом подивіться уважніше.

І так, ми з Вами проходимо по шляху HKEY_LOCAL_MACHINE (…) SOFTWARE Microsoft Windows NT CurrentVersion Winlogon. На Winlogon ми Тиркало мишкою. У правому вікні знаходимо вищезгаданий xtgina.dll (вище у статті є скріншот строчки з ним), виділяємо мишкою і видаляємо.

Закриваємо редактор реєстру.

Виймаємо диск, перезавантажується, заходимо в BIOS, повертаємо завантаження з HDD. Виходимо з BIOS, завантажуємо систему.

Якось так. Звучить грізно, але в цілому нічого складного немає.

Вищеописана методика так само актуальна і при подібних модифікаціях вірусу або ж при видаленні програм, модифікують / перехоплюючих користувальницький інтерфейс, наприклад, це PcAnywhere GINA при якому запис, що викликає помилку, посилається на файл Awgina.dll і віддаляється вищеописаними способами.

Післямова.

Ось така от полузаметка-інструкція. Сподіваюся, що комусь колись вона буде корисна .. Ну а початківцям айтішникам просто рекомендую мотати на вус, бо ніколи не знаєш де зіткнешся з чимось подібним.

Спасибі за увагу. Залишайтеся поруч Рішення проблеми з вірусом xtgina.dll, підміною інтерфейсу і блокуванням системи

Це може бути корисно: тут один товариш пропонує завантажити безкоштовний антивірус касперского, можете спробувати, благо користуватися демоверсіями корисно для тестування і вибору свого улюбленого антивіруса