home *** CD-ROM | disk | FTP | other *** search
/ ftp.f-secure.com / 2014.06.ftp.f-secure.com.tar / ftp.f-secure.com / support / tools / unquar / readme.txt next >
Text File  |  2013-03-18  |  5KB  |  81 lines
  1. ==================== F-Secure Un-quarantine tool ==========================
  2. Version 2.1
  3. ===========================================================================
  4.  
  5. Recovering quarantined items from the quarantine folder manually
  6. Summary
  7.  
  8. This article describes how you can recover quarantined items from the quarantine manually.
  9.  
  10. About the quarantine recovery tool
  11.  
  12. The main purpose of the advanced quarantine recovery tool ( unquar.exe ) is to recover 
  13. from a situation where an important file or files have been placed into quarantine due 
  14. to a false positive detection.
  15.  
  16. The tool also provides means for deleting a given quarantine repository. This is intended
  17. for cleaning up the quarantine repository after a product has been removed with the uninstallation tool.
  18.  
  19. Recovering files from quarantine after a false positive incident
  20.  
  21. If the F-Secure product is still installed and real-time scanning is turned on, make sure you
  22. have the latest definition updates downloaded and installed before you begin. Unquar.exe can be downloaded from ftp://ftp.f-secure.com/support/tools/unquar/unquar.exe .
  23.  
  24.     Copy unquar.exe , for example to c:\temp\ .
  25.     Open Command Prompt in one of the following ways:
  26.         In Windows XP , click the Start menu, select Run , type cmd in the Open field in the Run window and finally click OK .
  27.         In Windows Vista/7 , click the Start menu, type cmd and press Enter .
  28.     In Command Prompt, change to the desired folder. For example, to change to folder c:\temp\ , type cd c:\temp\ and press Enter .
  29.     To list the quarantined items from the quarantine repository, use
  30.     a) Detection name: unquar.exe -m recovery -i Trojan:W32/F-Secure_testfile.A
  31.     This option lists all the items in the quarantine with the given malware family name (in this example Trojan:W32/F-Secure_testfile.A)
  32.     b) Quarantine date: unquar.exe -m recovery -d 2011.04.15-2011.04.16
  33.     This option lists all the items in the quarantine with the given quarantine date (in this example from 15th of April through 16th of April, 2011). The range is specified in the following format: YYYY.MM.DD-YYYY.MM.DD.
  34.     To restore the items from the quarantine, use
  35.  
  36.     Note: Make sure you are restoring the correct files from the quarantine. There is a chance that the
  37.     quarantine contains malware and you might risk real infection by releasing these items. If you are not sure, contact support to get the malware family name or the date information.
  38.  
  39.     a) Detection name: unquar.exe -m recovery -i Trojan:W32/F-Secure_testfile.A --doit
  40.     This option releases all the items in the quarantine with the given malware family name (in this example Trojan:W32/F-Secure_testfile.A).
  41.     b) Quarantine date: unquar.exe -m recovery -d 2011.04.15-2011.04.16 --doit
  42.     This option releases all the items in the quarantine with the given quarantine date (in this example from 15th of April through 16th of April, 2011). The range is specified in the following format: YYYY.MM.DD-YYYY.MM.DD.
  43.     The tool moves the files to their original location and restores all relevant registry settings.
  44.     Note: If you are not sure how to use the script, contact support for further details!
  45.  
  46. Delete mode
  47.  
  48. The tool also provides means for deleting a given repository. This might not be possible otherwise since the repository contains folders protected by a strict ACL. The tool drops the ACL and recursively deletes the contents.
  49.  
  50. To delete a repository:
  51.  
  52.     Copy unquar.exe , for example to c:\temp\ .
  53.     Open Command Prompt in one of the following ways:
  54.         In Windows XP , click the Start menu, select Run , type cmd in the Open field in the Run window and finally click OK .
  55.         In Windows Vista/7 , click the Start menu, type cmd and press Enter .
  56.     In Command Prompt, change to the desired folder. For example, to change to folder c:\temp\ , type cd c:\temp\ and press Enter .
  57.     Run unquar.exe -del
  58.  
  59.  
  60. More information
  61.  
  62. Running the unquar.exe tool from command prompt without additional command line parameters will print out the extra parameters for using the tool.
  63.  
  64. Support
  65. * Please submit any problems you might be facing to F-Secure support, according to support contact information available 
  66. in your License Agreement.
  67.  
  68. =====================================================================
  69. The software from F-Secure Corp. is distributed 'as is' and with no warranties 
  70. of any kind, whether express or implied, including and without limitation, any 
  71. warranty of merchantability or fitness for a particular purpose.
  72.  
  73. The user (you) must assume the entire risk of using the software.
  74.  
  75. In no event shall any individual, company or organization involved in any way 
  76. in the development, sale or distribution of this software be liable for any 
  77. damages whatsoever relating to the use, misuse, or inability to use this 
  78. software (including, without limitation, damages for loss of profits, business 
  79. interruption, loss of information, or any other loss).
  80. =====================================================================
  81.