Vírusirtás parancssorból: profi trükkök haladóknak

Amikor a számítógépünk lassulni kezd, furcsa felugró ablakok jelennek meg, vagy az internetkapcsolatunk akadozik, azonnal egy vírusirtó program telepítésére gondolunk. De mi történik akkor, ha a kártevő annyira beette magát a rendszerbe, hogy a grafikus felületű programok már el sem indulnak, vagy egyszerűen blokkolva vannak? Ilyenkor jön el a parancssor ideje. Ez a cikk nem az átlagfelhasználóknak szól. Ez a hardcore rendszergazdáknak, a mélyebb rendszerismeretekkel rendelkezőknek, akik nem riadnak vissza a fekete képernyőtől, és tudják, hogy a valódi kontroll gyakran a GUI mögött rejlik. Készülj fel, mert most olyan trükköket mutatunk be, amelyekkel a legmakacsabb kártevőket is legyőzheted, közvetlenül a rendszer szívéből.

Miért pont a parancssor? A „fekete képernyő” előnyei

A modern operációs rendszerek gazdag grafikus felületet kínálnak, ami kényelmes és intuitív. De pontosan ez a kényelem lehet a vesztünk is egy komolyabb fertőzés esetén. A malware-ek gyakran úgy vannak programozva, hogy blokkolják a vírusirtókat, letiltják a Task Manager-t, vagy egyszerűen annyi erőforrást emésztenek fel, hogy a rendszer használhatatlanná válik. Itt jön képbe a parancssor, számos előnyével:

Azonnali hozzáférés és kontroll: Gyakran a kártevők nem tudják blokkolni a parancssort, különösen Csökkentett módban.
Alacsonyabb erőforrásigény: A parancssor sokkal kevesebb memóriát és processzoridőt igényel, mint egy grafikus felületű program, így még egy erősen fertőzött, lassú rendszeren is használható lehet.
Zárt fájlok elérése: Bizonyos fájlokat és könyvtárakat csak parancssorból lehet törölni vagy módosítani.
Automatizálás: Batch fájlokkal (.bat) automatizálhatunk komplex feladatokat, felgyorsítva a tisztítási folyamatot.
Részletes információk: A parancssori eszközök gyakran sokkal részletesebb információkat szolgáltatnak a rendszer állapotáról, mint a grafikus felületű társaik.

Felkészülés a harcra: Amit tudnod kell, mielőtt belevágsz

Mielőtt elmerülnénk a parancssor rejtelmeiben, győződj meg róla, hogy a következő feltételek teljesülnek:

Rendszergazdai jogosultságok: A legtöbb kritikus parancs futtatásához rendszergazdai jogosultságok szükségesek. A parancssort (cmd.exe) mindig rendszergazdaként indítsd el (jobb kattintás -> Futtatás rendszergazdaként).
Csökkentett mód: A legjobb, ha a rendszert Csökkentett módban indítod (Safe Mode). Ez minimálisra csökkenti a futó szolgáltatások és programok számát, így a kártevő kevésbé tudja magát elrejteni vagy blokkolni a tevékenységedet. Ha lehetséges, válassza a „Csökkentett mód hálózati támogatással” (Safe Mode with Networking) opciót, ha letöltésre is szükséged lehet.
Hálózati leválasztás: Ha nem szükséges a hálózati kapcsolat (pl. letöltéshez), húzd ki az Ethernet kábelt, vagy kapcsold ki a Wi-Fi-t. Ez megakadályozza, hogy a kártevő kommunikáljon a vezérlőszerverével, vagy továbbterjedjen.
Biztonsági mentés/Rendszer-visszaállítási pont: Mielőtt bármibe belekezdenél, ha még van rá mód, hozz létre egy rendszer-visszaállítási pontot, vagy végezz biztonsági mentést a fontos adataidról. A parancssori műveletek veszélyesek lehetnek, ha tévedsz, és könnyen tönkreteheted a rendszert!

A legfontosabb parancsok és eszközök

Íme egy lista a leggyakrabban használt parancssori eszközökről, amelyekre szükséged lesz:

tasklist: Listázza az összes futó folyamatot. Nagyon hasznos a gyanús alkalmazások azonosítására.
taskkill: Leállítja a megadott folyamatot (PID vagy képnév alapján).
attrib: Megváltoztatja a fájlok és mappák attribútumait (pl. rejtett, rendszerfájl, csak olvasható). Gyakran használják rejtett kártevők felfedezésére.
regedit: Elindítja a regisztrációs adatbázis szerkesztőjét. Bár ez egy grafikus eszköz, a parancssorból indítva elengedhetetlen az indítási bejegyzések és szolgáltatások kezeléséhez.
sc: Szolgáltatásvezérlő eszköz. Lehetővé teszi a Windows szolgáltatások lekérdezését, indítását, leállítását és törlését.
dir, cd, del, rd: Alapvető fájlkezelési parancsok: könyvtár tartalmának listázása, könyvtár váltása, fájl törlése, mappa törlése.
wmic: Windows Management Instrumentation Command-line. Erősebb és részletesebb információkat nyújt a rendszerről, mint a tasklist vagy sc.
sfc /scannow: Rendszerfájl-ellenőrző. Ellenőrzi és javítja a sérült Windows rendszerfájlokat.
chkdsk /f /r: Lemezellenőrző. Javítja a lemezhibákat és helyreállítja a sérült szektorokat.
netstat -ano: Megjeleníti az összes aktív hálózati kapcsolatot és a hozzájuk tartozó folyamat-azonosítókat (PID). Segít azonosítani a hálózatot használó gyanús programokat.
ipconfig /all: Megjeleníti a részletes hálózati konfigurációt.
netsh: Hálózati konfigurációs segédprogram.

Lépésről lépésre: A professzionális vírusirtás folyamata

1. Kezdeti felmérés és folyamat azonosítása

Indítsa el a parancssort rendszergazdaként, ideális esetben Csökkentett módban.

Futó folyamatok átvizsgálása:
```
tasklist /svc /fi "imagename ne iexplore.exe" /fi "imagename ne chrome.exe"
```
Listázza az összes futó folyamatot a hozzájuk tartozó szolgáltatásokkal. Keressen szokatlan, ismeretlen folyamatneveket, vagy olyanokat, amelyek irreálisan sok memóriát vagy CPU-t használnak (ezt a tasklist /v paranccsal nézheti meg). Ne tévessze össze a legitim Windows-folyamatokat a kártevőkkel!
Hálózati kapcsolatok ellenőrzése:
```
netstat -ano
```
Ez megmutatja az összes nyitott portot és aktív kapcsolatot. Figyeljen a kimenő kapcsolatokra ismeretlen IP-címek felé, vagy a meghallgató portokra, amelyekről nem tudja, mire valók. A PID oszlop segít összekapcsolni a kapcsolatot egy futó folyamattal (amit a tasklist-ből ismer).
Gyanús fájlok keresése:
```
dir /a:hs c:windowssystem32*.dll
dir /a:hs c:windowssystem32*.exe
dir /s c:users%username%appdatalocaltemp
dir /s c:windowstemp
```
Keressen rejtett (h) és rendszerfájl (s) attribútummal rendelkező fájlokat a rendszerkönyvtárakban, különösen az ideiglenes mappákban. Sok kártevő ide rejti magát. Az attrib parancs segítségével megváltoztathatja ezeket az attribútumokat, hogy láthatóvá tegye őket. Pl.: attrib -h -s C:pathtomalware.exe

2. Gyanús folyamatok leállítása

Miután azonosítottál egy gyanús folyamatot a tasklist és netstat segítségével, állítsd le a taskkill paranccsal. Ehhez szükséged lesz a folyamat PID-jére vagy képnevére.

PID alapján:
```
taskkill /PID [PID_száma] /F
```
(Az /F opció kényszeríti a folyamat leállítását.)
Képnév alapján:
```
taskkill /IM [képnév.exe] /F
```
(Pl.: taskkill /IM malware.exe /F)

Ne feledje, hogy egyes kártevők több folyamatként is futhatnak, és azonnal újraindítják magukat. Ezért kell a Csökkentett mód és a gyors cselekvés.

3. Indítási bejegyzések és szolgáltatások tisztítása

A kártevők gyakran beírják magukat az operációs rendszer indítási pontjaiba, hogy minden rendszerindításkor elinduljanak. Itt jön képbe a regisztrációs adatbázis és a szolgáltatások kezelése.

Regisztrációs adatbázis szerkesztése (Startup bejegyzések):
```
regedit
```
Indítsa el a Registry Editor-t. Keresse fel a következő kulcsokat, amelyek gyakran tartalmaznak indítási bejegyzéseket:
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
- HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
- HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
- HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices
Törölje azokat az értékeket, amelyek gyanús programokra mutatnak, vagy amelyekről tudja, hogy kártevővel kapcsolatosak. Legyen rendkívül óvatos, ha téved, károsíthatja a rendszert!
Szolgáltatások kezelése a sc paranccsal:
A kártevők gyakran telepítenek saját szolgáltatásokat.
```
sc query state= all | more
```
Ez kilistázza az összes szolgáltatást. Keressen gyanús neveket. Ha azonosított egyet:
- Leállítás: sc stop [szolgáltatás_neve]
- Törlés: sc delete [szolgáltatás_neve] (Csak akkor töröld, ha 100%-ig biztos vagy benne, hogy kártevőhöz tartozik!)

4. Kártevő fájlok törlése

Miután letiltottad a kártevő indítási pontjait, itt az ideje, hogy töröld magát a fájlt. Használd a del és rd (remove directory) parancsokat.

Fájl törlése:
```
del /F /S /Q [útvonalfájlnév.exe]
```
(/F: kényszerített törlés, /S: alkönyvtárakban is töröl, /Q: csendes mód, nem kér megerősítést.)
Mappa törlése (tartalmával együtt):
```
rd /S /Q [útvonalmappa_neve]
```
(/S: alkönyvtárakat és fájlokat is töröl, /Q: csendes mód.)

A leggyakoribb helyek, ahol a kártevők elrejtőzhetnek:

C:Users[Felhasználónév]AppDataLocalTemp
C:Users[Felhasználónév]AppDataRoaming
C:ProgramData
C:WindowsTemp
C:WindowsSystem32 (különös odafigyeléssel!)

Mindig győződj meg róla, hogy helyes útvonalat adtál meg, mielőtt törölsz valamit!

5. Rendszerintegritás ellenőrzése és helyreállítása

A kártevők gyakran módosítják vagy sérültté teszik a Windows rendszerfájljait.

Rendszerfájl-ellenőrzés:
```
sfc /scannow
```
Ez a parancs átvizsgálja az összes védett rendszerfájlt, és lecseréli a sérült változatokat a helyes Microsoft verzióval. Ez eltarthat egy ideig.
Lemezellenőrzés:
```
chkdsk C: /f /r
```
Ez ellenőrzi a merevlemez C: meghajtóját hibákra, és megpróbálja kijavítani azokat. Előfordulhat, hogy újraindításra van szükség.
Hálózati beállítások visszaállítása:
A kártevők módosíthatják a hálózati beállításokat (DNS-beállítások, proxy, Winsock katalógus). Visszaállíthatja őket:
```
ipconfig /flushdns
netsh winsock reset
netsh int ip reset
```

Haladó tippek és eszközök

Windows Preinstallation Environment (WinPE) vagy Linux Live CD/USB: Ha a Windows annyira fertőzött, hogy még Csökkentett módban sem indul el, vagy a kártevő blokkolja az összes próbálkozást, akkor a rendszerindító adathordozóról indítható WinPE vagy egy Linux Live rendszer a megoldás. Ezekről az operációs rendszerekről hozzáférhetsz a fertőzött rendszerfájlokhoz, és törölheted, módosíthatod őket, miközben a kártevő inaktív.
Sysinternals Suite: Mark Russinovich és Bryce Cogswell által fejlesztett, a Microsoft által felvásárolt eszközgyűjtemény. Számos parancssori eszközt tartalmaz, mint például a Process Explorer (procexp.exe), Autoruns (autoruns.exe), PsExec, amelyek rendkívül hasznosak a mélyebb rendszerdiagnosztikában és a kártevők felkutatásában. Ezek többsége rendelkezik parancssori opciókkal, vagy GUI-val, amit a parancssorból indíthatsz.
PowerShell: A modern Windows rendszerekben a PowerShell sokkal erőteljesebb és rugalmasabb, mint a hagyományos cmd. Kiterjedt képességeket kínál a rendszerfelügyeletre, beleértve a folyamatok, szolgáltatások, registry és fájlrendszer kezelését. Érdemes megismerkedni vele a még hatékonyabb vírusirtás érdekében.
Külső vírusirtók CLI verziói: Néhány vírusirtó szoftver (pl. ClamAV) kínál parancssori szkennert. Ezeket egy USB meghajtóról futtatva, offline környezetben is átvizsgálhatod a rendszert.

Megelőzés és legjobb gyakorlatok

A parancssori vírusirtás egy utolsó mentsvár, nem pedig elsődleges védekezési vonal. Mindig jobb megelőzni a fertőzést, mint gyógyítani. Íme néhány alapvető tipp:

Frissítések: Tartsd naprakészen az operációs rendszert és az összes szoftvert.
Valós idejű védelem: Használj megbízható és frissített antivírus szoftvert.
Tűzfal: Aktiváld a Windows tűzfalat, vagy használj egy harmadik féltől származó megoldást.
Erős jelszavak és UAC: Használj erős, egyedi jelszavakat, és tartsd bekapcsolva a Felhasználói Fiókok Felügyeletét (UAC).
Rendszeres biztonsági mentés: Készíts rendszeresen biztonsági mentést a fontos adataidról, ideális esetben külső meghajtóra.
Gondos böngészés: Ne kattints gyanús linkekre, ne nyiss meg ismeretlen mellékleteket, és légy óvatos a letöltésekkel.

Összefoglalás

A parancssor egy rendkívül erőteljes eszköz a haladó felhasználók kezében, különösen akkor, ha egy makacs vírus vagy malware beette magát a rendszerbe. A benne rejlő kontroll lehetősége mélyebb beavatkozást tesz lehetővé, mint bármely grafikus felületű program. Azonban ez a hatalom felelősséggel jár. A pontatlan parancsok visszafordíthatatlan károkat okozhatnak. Ha bizonytalan vagy, mindig kérj segítséget szakembertől. De ha megérted a rendszer működését, és hajlandó vagy elmerülni a parancsok világában, akkor a kezedben van az egyik leghatékonyabb fegyver a digitális kártevők elleni harcban.