En fil som er satt i karantene av Forefront Endpoint Protection 2010 (FEP 2010) eller System Center 2012 Endpoint Protection (SCEP 2012), kan gjenopprettes til en alternativ plassering ved hjelp av kommandolinjeverktøyet MPCMDRUN. Syntaksen er forklart nedenfor:
-Gjenopprett
-ListAll
Liste over alle elementer som ble satt i karantene
-Navn <navn>
Gjenoppretter elementet som sist ble satt i karantene, basert på trusselnavn. Én trussel kan tilordnes til mer enn én fil
-Alle
Gjenoppretter alle elementer i karantene basert på navn
-Bane
Angi banen der elementene som er satt i karantene, skal gjenopprettes. Hvis det ikke er angitt, gjenopprettes elementet til den opprinnelige banen.
Eksempelsyntaks:
Mpcmdrun –restore -name -path
where -name er trusselnavnet, ikke navnet på filen som skal gjenopprettes.
Ting du må huske på:
-
Når du prøver å gjenopprette en fil, kan du bare gjenopprette med «trusselnavn», ikke etter filnavn!
-
Gjenopprettingsresultatene blir at alle filer i karantene som har samme trusselnavn, gjenopprettes.
-
Det finnes ingen metode for å gjenopprette bare én enkelt fil.
-
Trusselnavnet skiller mellom store og små bokstaver.
Eksempel:
Threatname = RemoteAccess:Win32/RealVNC
Denne syntaksen er riktig: MpCmdRun.exe -Restore -Name RemoteAccess:Win32/RealVNC
Denne syntaksen er ikke riktig og vil ikke fungere: MpCmdRun.exe -Restore -Name RemoteAccess:Win32/reallvnc
OBS! Hvis du vil vite nøyaktig stavemåten til et trusselnavn, bruker du følgende syntaks til å generere listen over trusselnavn som for øyeblikket er i karantenemappen:
Mpcmdrun – Gjenopprett – ListAll
Eksempel på utdata:
C:\Program Files\Microsoft Security Client>mpcmdrun -restore -listall
The following items are quarantined:
ThreatName = Backdoor:Win32/Qakbot
file:C:\Cases\Qakbot1\bjlgoma.exe quarantined at 2/21/2013 10:39:07 PM (UTC)
file:C:\Cases\Qakbot1\bsfsvesx.exe quarantined at 2/21/2013 10:39:07 PM (UTC)
