Файл, который находится в карантине службой Forefront EndPoint Protection 2010 (FEP 2010) или System Center 2012 Endpoint Protection (SCEP 2012), может быть восстановлен в альтернативном расположении с помощью командной строки MPCMDRUN. Ниже объясняется синтаксис.
-Восстановить
-ListAll
Список всех элементов, которые были на карантине
-Name <name>
Восстановление последнего элемента в карантине на основе имени угрозы. Одна из угроз может соеоставиться с более чем одним файлом
-All
Восстановление всех элементов в карантине на основе имени.
-Path
Укажите путь, по котором будут восстановлены элементы в карантине. Если не указано, элемент будет восстановлен до исходного пути.
Пример синтаксиса:
Mpcmdrun –restore -name -path
where -name — это имя угрозы, а не имя файла, который нужно восстановить.
Что нужно запомнить:
-
При попытке восстановить файл его можно восстановить только по имени угрозы, а не по имени файла.
-
В результате восстановления будут восстановлены все файлы в карантине с одинаковыми именами угроз.
-
Нет способа восстановления только одного файла.
-
"Имя угрозы" с чувствительностью к делу.
Пример:
Threatname = RemoteAccess:Win32/RealVNC
Правильный синтаксис: MpCmdRun.exe -Восстановить -Name RemoteAccess:Win32/RealVNC
Этот синтаксис неправиден и не работает: MpCmdRun.exe -Восстановить -Name RemoteAccess:Win32/reallvnc
ПРИМЕЧАНИЕ. Чтобы узнать точное написание имени угрозы, используйте следующий синтаксис для создания списка имен угроз, которые сейчас находятся в папке карантина:
Mpcmdrun –Restore –ListAll
Пример выходных данных:
C:\Program Files\Microsoft Security Client>mpcmdrun -restore -listall
The following items are quarantined:
ThreatName = Backdoor:Win32/Qakbot
file:C:\Cases\Qakbot1\bjlgoma.exe quarantined at 2/21/2013 10:39:07 PM (UTC)
file:C:\Cases\Qakbot1\bsfsvesx.exe quarantined at 2/21/2013 10:39:07 PM (UTC)