検疫済みのファイルが復元できない…
ある日いつも通りPCを操作していると、Windows セキュリティ(Windows Defender)から脅威を検出したとの通知が…
確認したところ、身に覚えのあるファイルでウイルスではないと判断できたので復元することに。
でも、GUI上から復元操作をしてもうんともすんとも言わずファイルが復活しない!!
詳しい条件は不明ですが、私が現象が出たときの状況は以下でした。
- NAS上のファイル
- 日本語を含むパス
他に考えられるのは、脅威の種類が重大なものは復元させないようにしているとかでしょうか?
それか復元しても再度隔離されるからダメ、とか・・・?
ともあれ困ったことに復元ができない状況陥ってしまったので解決を試みることに。
通常の復元手順
通常、Windows セキュリティ(Windows Defender)で検疫されたファイルの復元は、Windows セキュリティ画面上の操作で行うことができます。
手順は以下の通りです。
Windowsセキュリティを開く
[スタート]メニュー – [設定] – [更新とセキュリティ] – [Windows セキュリティ] などからWindows セキュリティを開きます。
保護の履歴を開く
[ホーム]タブ – [ウイルスと脅威の防止] – [保護の履歴] と辿り、保護の履歴を表示します。
復元操作を行う
[脅威が検疫されました]をクリック、復元したいファイルの[操作]プルダウンから[復元]を選択。
ただ今回の場合、上記手順では復元できず…
解決策
私の場合、コマンドラインから復元操作を行うことで解決することができました。
構文
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -Restore -Name <脅威の名前> -Path <復元先パス>
-Path指定なしで元の場所に復元しようとすると、エラーコード:0x80508014で復元できませんでしたが、–Path指定ありで復元先を指定すると復元することができました。
具体的な作業手順は以下になります。
作業手順
①管理者権限でコマンドプロンプトを起動
管理者権限でコマンドプロンプトを起動します。
②対象ファイルの脅威の名前を調べる
①で起動したコマンドプロンプトで以下のコマンドを実行。
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -Restore -ListAll
検疫済みファイルがある場合、以下のような結果が表示されます。
結果を確認し、復元したいファイルの「ThreatName = 」の値をコピーします。
また、同じ「ThreatName = 」内の一覧に、復元したいファイル以外が表示されていないことを確認します。
③復元コマンドを実行
②でコピーしたThreatNameと復元先のフォルダパスをコマンドに与えて復元を実行します。
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -Restore -Name <②でコピーしたThreatName> -Path <復元先のフォルダ>
上記のようなメッセージ(was restored)が表示されていれば成功です。
④③で復元したファイルを元のフォルダに移動
③でファイルが復元できたら、元のフォルダに移動します。
ファイルやフォルダを検疫の除外対象にしておかないと再度検疫されてしまうので、除外対象に設定しておきましょう。
検疫されたくないフォルダ/ファイルは除外設定をしておく
誤検知されてしまうファイルがわかっている場合は、あらかじめ除外設定をして検疫の対象外としてきましょう。
Windowsセキュリティ
[ウイルスと脅威の防止]タブ – [設定の管理] – [除外の追加または削除]
除外する項目にフォルダ指定した場合は、すべてのサブフォルダに適用されるとのこと。
(除外されたファイルが格納されたフォルダの上位階層のフォルダ指定してたハズなんだけれど…)
動作確認環境
Windows 10
