береженого кольт бережет
береженого кольт бережет

Вирус xtgina.dll

virusДоброго времени суток, дорогие друзья. Хочу поделиться небольшим решением после вирусной проблемы, с которой столкнулся буквально на днях. В рамках статьи поведаю как удалить, собственно, вирус (точнее целый набор), а так же как решить проблему после его удаления, которая представляет собой сообщение вида Невозможно загрузить DLL xtgina.dll

Удаляем вирус и решаем проблему xtgina.dll

Суть в следующем. Система была поражена пакетом вирусов самых разных расцветок. Есть подозрение, что это был червь, подгрузивший и развернувший необходимый базис заразы, ибо поражение выглядело довольно забавно: система глухо зависла на несколько минут, а потом самостоятельно перезагрузилась, после перезагрузки обнаружив полный набор ниже описанных симптомов.

Симптоматика: полная блокировка работы антивирусов, различных программ (софт по очистке реестра и временных файлов, Webmoney, Яндекс.Кошельки) и интернета (производятся подмены адресов в браузере, перенаправление на левые сайты, перехват трафика программ, подмена полей логина-пароля в систему Яндекс.Деньги и прочие манипуляции с целью увести как можно больше аккаунтов почты и прочих данных, особенно связанных с платежными системами). Само собой недоступны редактор реестра и диспетчер задач. Характерно, что запускается Spybot, но не спасает, что в общем-то верно, ибо засевшая вредина это всё таки вирус, а не Spyware.

Ситуация, в целом, не нова. Прежде всего, само собой, надо всю эту гадость вымести. Т.к. из системы это сделать невозможно (при попытке установить/запустить антивирус или антивирусную утилиту система либо закрывает оную, либо уходит в перезагрузку), пришлось прибегать к старому-доброму, но очень мною любимому Dr.Web LiveCD. Подробно описывать процесс работы с ним в рамках данной статьи не буду. Оный нашел в системе порядка 20-25 различных вирусов, червей, вирусных библиотек и прочих ужасов жизни и поместил в карантин. Естественно, что из карантина (и системы вообще) их надо удалить, путем выделения и нажатия кнопочки Remove (что характерно, Dr.Web почему-то сам не всегда удаляет вирус, а помещает его в карантин, даже если задан пункт Delete напротив соответствующей строки настроек и оное приходится делать вручную).

Устраняем ошибку Невозможно загрузить DLL C:WindowsSystem32xtgina.dll

После оного система вроде бы выглядит очищенной, но не тут то было. При загрузке выдается сообщение, крайне похожее на системное, которое гласит:

Ошибка пользовательского интерфейса:

Невозможно загрузить DLL C:WindowsSystem32xtgina.dll пользовательского интерфейса входа.
Обратитесь к системному администратору или восстановите исходную библиотеку DLL
.

И ниже оного кнопочка Перезагрузка. Скриншот, к сожалению, снять не додумался, ну да ладно, думаю, что текста должно хватить.

Что характерно, за годы своей практики я никаких таких xtgina.dll библиотек не видел (многие системные файлы я узнаю в лицо) и с сообщением подобным вообще столкнулся впервые, хотя до сего момента наверняка мог поручиться, что повидал в Windows XP все возможные вариации ошибок. Естественно, что оное навело меня на мысли, что имеет место быть подмена/перехват пользовательского интерфейса, путем подгрузки левой библиотеки.

Пошел в безопасный режим (кнопочка F8 до загрузочного экрана Windows). Вуаля! Безопасный режим работает. Первым делом прошелся AVZ, но проблемы это, естественно, не решило.

Волевым решением я пошел смотреть в реестре (на всякий случай напоминаю, что редактор реестра запускается путем: Пуск Выполнить Regedit ОК) где прописалась эта самая xtgina.dll (в редакторе поиск осуществляется путем выбора пунктов ПравкаНайти), а прописались она, конечно же, в разделе Winlogon, а именно в ветке: HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinLogon.
1314370918-clip-31kb

Естественно, что эту злодейскую гадость надо удалить, ибо именно она является инициатором вызова сообщения. Выделяем правой кнопкой мышки, выбираем пункт Удалить, закрываем редактор реестра, перезагружаемся.