Windows Defender odzyskanie pliku z kwarantanny – przywracanie i wykluczenia Windows 10/11

Pytanie

Windows Defender odzyskanie z kwarantanny

Odpowiedź Sztucznej Inteligencji

Bezpośrednia odpowiedź na pytanie

• Aby odzyskać plik z kwarantanny Windows (Microsoft) Defender, najszybciej zrób to przez Zabezpieczenia Windows: Ochrona przed wirusami i zagrożeniami → Historia ochrony → filtr Elementy poddane kwarantannie → wybierz wpis → Akcje → Przywróć lub Zezwalaj na urządzeniu.
• Jeśli GUI nie działa lub opcji brak, użyj narzędzia MpCmdRun jako administrator:
  • "%ProgramFiles%\Windows Defender\MpCmdRun.exe" -Restore -ListAll
  • "%ProgramFiles%\Windows Defender\MpCmdRun.exe" -Restore -Name NAZWA_ZAGROŻENIA
• Przed przywróceniem dodaj wykluczenie dla pliku/folderu, jeżeli masz pewność, że to fałszywy alarm, aby uniknąć ponownej kwarantanny.

Szczegółowa analiza problemu

• Gdzie to znaleźć w systemie:
  • Windows 10/11: Start → Zabezpieczenia Windows → Ochrona przed wirusami i zagrożeniami → Historia ochrony.
  • U góry ustaw filtr na „Elementy poddane kwarantannie” (w starszych wersjach „Zagrożenia poddane kwarantannie”).
  • Rozwiń wpis, sprawdź ścieżkę i składnik (np. EXE/DLL/archiwum), a następnie wybierz:
    • Przywróć – tylko przenosi plik z powrotem do oryginalnej lokalizacji.
    • Zezwalaj na urządzeniu – przywraca i dodaje regułę zezwalającą (mniejsza szansa na ponowną blokadę).
• Różnica „Przywróć” vs „Zezwalaj na urządzeniu”:
  • „Przywróć” nie zmienia polityk – przy kolejnym skanowaniu plik może znów trafić do kwarantanny.
  • „Zezwalaj na urządzeniu” tworzy wyjątek dla danego sygnaturowego rozpoznania zagrożenia (w praktyce często trwalsze niż samo Przywróć).
• Linia komend (gdy GUI zawodzi, np. na serwerach lub w środowisku z zablokowanym interfejsem):
  • Uruchom Wiersz polecenia lub PowerShell jako administrator.
  • Lista elementów z kwarantanny:
    • "%ProgramFiles%\Windows Defender\MpCmdRun.exe" -Restore -ListAll
  • Przywrócenie konkretnego wpisu (uwaga: to nazwa zagrożenia, np. Trojan:Win32/… a nie nazwa pliku):
    • "%ProgramFiles%\Windows Defender\MpCmdRun.exe" -Restore -Name NAZWA_ZAGROŻENIA
  • Jeśli powyższa ścieżka nie działa, użyj aktualnej binarki z katalogu platformy (wersja jest zmienna):
    • PowerShell (przykład): & "$env:ProgramData\Microsoft\Windows Defender\Platform\$(Get-ChildItem -Directory "$env:ProgramData\Microsoft\Windows Defender\Platform" | Sort-Object Name -Descending | Select-Object -First 1)\MpCmdRun.exe" -Restore -ListAll
• Cmdlety PowerShell Defendera:
  • Get-MpThreatDetection – pozwala zobaczyć, co i gdzie wykryto (np. Resources.File).
  • Uwaga: Remove-MpThreat NIE służy do przywracania z kwarantanny; usuwa wpisy/zagrożenia, nie odtwarza plików.
• Dlaczego nie warto „grzebać” w folderze kwarantanny:
  • Pliki są zaszyfrowane i zrehardeningowane (zmienione nazwy/struktura). Ręczne kopiowanie nic nie da i może uszkodzić bazę kwarantanny. Zawsze używaj GUI lub MpCmdRun.
• Gdy opcji przywrócenia brak:
  • Zasady organizacji (GPO/MDI/MDE/Intune) mogą blokować przywracanie – skontaktuj się z administratorem.
  • Wpis mógł wygasnąć (retencja) lub plik został usunięty na stałe – wtedy odtwórz z backupu/źródła i od razu dodaj wykluczenie przed ponownym skanem.
• Po przywróceniu:
  • Dodaj wykluczenie: Zabezpieczenia Windows → Ochrona przed wirusami i zagrożeniami → Zarządzaj ustawieniami → Wykluczenia → Dodaj wykluczenie (Plik/Folder/Proces/Rozszerzenie).
  • Zweryfikuj integralność: oblicz sumę SHA-256 (certutil -hashfile "ŚCIEŻKA\plik.exe" SHA256) i porównaj z oficjalnym źródłem, a w razie wątpliwości sprawdź próbkę w dodatkowym skanerze/sandboxie.

Aktualne informacje i trendy

• W Windows 11 (22H2+) nazewnictwo sekcji interfejsu bywa nieco inne niż w starszych wydaniach, ale ścieżka „Ochrona przed wirusami i zagrożeniami → Historia ochrony” pozostaje właściwa.
• Plik MpCmdRun.exe jest wersjonowany i aktualizowany razem z silnikiem Defendera; najnowsza kopia zwykle znajduje się w katalogu „Platform” pod ProgramData, a skrót w „Program Files\Windows Defender” przekierowuje do bieżącej wersji.
• W środowiskach firmowych MDE coraz częściej wymusza centralne zasady korygowania/zezwalania; użytkownik końcowy może nie mieć prawa do przywracania.

Wspierające wyjaśnienia i detale

• Element „Zezwalaj na urządzeniu” dotyczy konkretnego rozpoznania sygnatury. Aktualizacja definicji AV może zmienić werdykt – wtedy nie zawsze zadziała dawna „zgoda”.
• Kwarantanna to nie „kasowanie”: Defender przenosi obiekt do chronionego repozytorium, odłączając go od ścieżki i blokując uruchomienie/odczyt.
• Gdy pracujesz z narzędziami deweloperskimi (kompilatory, skrypty packujące, flashery), heurystyka może zgłaszać „Generic/Heur” – typowe fałszywe pozytywy. Praktyką jest wykluczenie katalogu roboczego projektu lub folderu narzędzia, nie całego dysku.

Aspekty etyczne i prawne

• Przywrócenie faktycznie złośliwego pliku może naruszyć polityki bezpieczeństwa organizacji i przepisy wewnętrzne. W środowisku firmowym zawsze eskaluj do SOC/IT.
• Własnoręczne obchodzenie zabezpieczeń (np. masowe wykluczenia) zwiększa ryzyko incydentu i odpowiedzialność użytkownika.

Praktyczne wskazówki

• Procedura minimalizująca ryzyko:
  1. Zidentyfikuj wpis w Historii ochrony i zapisz pełną nazwę zagrożenia oraz oryginalną ścieżkę.
  2. Zweryfikuj plik (hash, dodatkowy skan, źródło).
  3. Dodaj wykluczenie dla konkretnego pliku/folderu roboczego.
  4. Przywróć plik (Preferuj „Zezwalaj na urządzeniu”, jeśli ma pozostać na stałe).
  5. Uruchom ręczny skan danego katalogu po przywróceniu.
• W CI/CD lub podczas kompilacji:
  • Ustal dedykowany folder „build/artifacts” i dodaj go do wykluczeń, zamiast wykluczać całe repozytoria lub dyski.

Ewentualne zastrzeżenia lub uwagi dodatkowe

• Nie każde wykrycie trafia do kwarantanny (niektóre są natychmiast usuwane lub tylko blokowane w locie) – wtedy przywrócenie nie będzie możliwe.
• Starsze porady sugerujące „Remove-MpThreat -ThreatID …” nie przywracają pliku; to komenda operująca na wpisach zagrożeń, nie na kwarantannie.
• Folder/ścieżka kwarantanny i skład katalogów mogą się różnić między wersjami systemu; manualne odzyskiwanie jest niewspierane.

Sugestie dalszych badań

• Dokumentacja Microsoft „Restore quarantined files in Microsoft Defender Antivirus”.
• Artykuły Microsoft o „Configure remediation” i o użyciu „MpCmdRun.exe”.
• Najlepsze praktyki „Exclusions for Microsoft Defender AV” dla środowisk developerskich i serwerowych.

Krótkie podsumowanie

• Odzyskiwanie z kwarantanny wykonuj przez Zabezpieczenia Windows → Historia ochrony → Przywróć/Zezwalaj na urządzeniu, a gdy trzeba – przez MpCmdRun.exe (-Restore -ListAll, -Restore -Name).
• Zawsze najpierw upewnij się, że to fałszywy alarm, dodaj odpowiednie wykluczenie i dopiero potem przywróć.
• W organizacji opcje mogą być ograniczone przez polityki – w razie braku przycisków skontaktuj się z administratorem.

Jeśli podasz wersję Windows (10/11, edycja i numer kompilacji) oraz nazwę wykrytego zagrożenia/ścieżkę pliku, przygotuję precyzyjne komendy i kroki dla Twojego przypadku.