Um arquivo em quarentena pelo Forefront Endpoint Protection 2010 (FEP 2010) ou Pela Proteção de Ponto de Extremidade do System Center 2012 (SCEP 2012) pode ser restaurado para um local alternativo usando a ferramenta de linha de comando MPCMDRUN. A sintaxe é explicada abaixo:
-Restore
-ListAll
Listar todos os itens que foram colocados em quarentena
-Nome <nome>
Restaura o item colocado em quarentena mais recentemente com base no nome da ameaça. Uma ameaça pode mapear para mais de um arquivo
-All
Restaura todos os itens em quarentena com base no nome
-Path
Especifique o caminho onde os itens em quarentena serão restaurados. Se não for especificado, o item será restaurado para o caminho original.
Sintaxe de exemplo:
Mpcmdrun –restore -name -path
onde -name é o nome da ameaça, não o nome do arquivo a ser restaurado.
Coisas para lembrar:
-
Ao tentar restaurar um arquivo, você só pode restaurar por "nome da ameaça", não pelo nome do arquivo!
-
Seus resultados de restauração serão que todos os arquivos na quarentena que tenham o mesmo nome de ameaça sejam restaurados.
-
Não há nenhum método para restaurar apenas um único arquivo.
-
O "nome da ameaça" é sensível a casos.
Por exemplo:
Threatname = RemoteAccess:Win32/RealVNC
Esta sintaxe está correta: MpCmdRun.exe -Restore -Name RemoteAccess:Win32/RealVNC
Essa sintaxe não está correta e não funcionará: MpCmdRun.exe -Restore -Name RemoteAccess:Win32/reallvnc
OBSERVAÇÃO: Para saber a ortografia exata de um nome de ameaça, use a seguinte sintaxe para gerar a lista de nomes de ameaças atualmente na pasta de quarentena:
Mpcmdrun –Restore –ListAll
Saída de exemplo:
C:\Program Files\Microsoft Security Client>mpcmdrun -restore -listall
The following items are quarantined:
ThreatName = Backdoor:Win32/Qakbot
file:C:\Cases\Qakbot1\bjlgoma.exe quarantined at 2/21/2013 10:39:07 PM (UTC)
file:C:\Cases\Qakbot1\bsfsvesx.exe quarantined at 2/21/2013 10:39:07 PM (UTC)