Security Essentials: Wiederherstellen einer isolierten Datei an einem anderen Speicherort?
1512
fdmillion
Ich habe eine Datei, die von Security Essentials "auf Sicht" in Quarantäne gestellt wurde und die ich zur weiteren Analyse wiederherstellen möchte.
Die Datei wurde jedoch auf meinem NAS-Server gespeichert. Dies bedeutet, dass ich auf den Server zugegriffen habe, indem \\192.168.1.5ich in mein Feld Ausführen eingetreten bin, die Anmeldeinformationen eingebe und nach dem Ordner suche. Security Essentials hat das Objekt entfernt und in Quarantäne gestellt. Ich kann das Element mit dem Fehlercode nicht aus der Quarantäne wiederherstellen 0x80508014.
Meine Forschung zeigt, dass dieser Fehler darauf hinweist, dass SE nicht auf den Pfad zugreifen kann, in dem sich die Originaldatei befand, und dass der Pfad neu erstellt werden muss. Das Problem ist, dass ich keine Ordner entfernt habe, sodass der Pfad bereits existiert. Weitere Ausgrabungen scheinen darauf hinzudeuten, dass das Problem darin besteht, dass SE nicht auf die Netzwerkfreigabe zugreifen kann, da die Freigabe mit meiner Benutzerkontositzung und nicht mit SYSTEM oder Administrator verbunden ist. SE listet den Pfad der Originaldatei in den Details als auf file:\\192.168.1.5\storage\research\file.exe, so dass es scheint, dass SE versucht, die Datei direkt an diesem Speicherort wiederherzustellen. Dies kann nicht geschehen, da der SE-Prozess keinen Zugriff auf die Freigabeverbindung hat.
Ich habe versucht, eine Administrator-Eingabeaufforderung zu öffnen und die Netzwerkfreigabe manuell mit der Sitzung des Administrators zu verbinden. net useDies hat jedoch nicht geholfen.
Gibt es eine Möglichkeit, SE anzuweisen, eine unter Quarantäne gestellte Datei an einem anderen Ort als dem, an dem sie ursprünglich gefunden wurde, wiederherzustellen? Ich sehe keine Möglichkeit, dem SE-Prozess Zugriff auf die Netzwerkfreigabe zu gewähren, damit die Datei wiederhergestellt werden kann.
2 Antworten auf die Frage
4
Snoophogg
Ich habe ein ähnliches Problem festgestellt, als Windows 10 Defender einige Dateien von meiner NAS-Box unter Quarantäne stellte.
In einer Eingabeaufforderung (als Administrator geöffnet) konnte ich das Befehlszeilentool verwenden, um die isolierten Dateien aufzulisten:
c:\Program Files\Windows Defender>MpCmdRun.exe -restore -listall The following items are quarantined: XXX XXX
Dann habe ich die Option -restore zusammen mit -Path verwendet, um einen lokalen Pfad wiederherzustellen:
Danach konnte ich die Dateien wieder auf mein Netzlaufwerk kopieren (das sich jetzt auf der Ausschlussliste befindet!).
0
David Woodward
Wenn Sie den net useBefehl an der administrativen Eingabeaufforderung ausgeführt haben, haben Sie dann auch die SE-Schnittstelle an dieser Eingabeaufforderung ausgeführt bzw. gestartet?
net use \\192.168.1.5\ipc$ /user:username pwd net use \\192.168.1.5\storage /user:username pwd "C:\Program Files\Microsoft Security Client\msseces.exe"
Meiner Erfahrung nach ist dies erforderlich, da der SE-Prozess nicht nur unter derselben Benutzer-ID, sondern unter derselben Sitzung laufen muss. Wenn Sie net usevon einer administrativen Eingabeaufforderung aus ausführen, hat dies möglicherweise keine Auswirkungen auf die administrative SE-App, wenn SE separat von der Eingabeaufforderung gestartet wurde.