問題:
Symantec Endpoint Protection(SEP)將 DWH * .tmp 檔案建立並標記為惡意程式。
- 通常檔案名稱通常為 DWHxxxx.tmp
- 檔案路經通常為:%App Data%\Symantec\ 或是 %TEMP% 資料夾。
解決方案:
※ 從管理主控台修改設定
1. 開啟「政策」→「病毒和間諜軟體防護」,開啟使用中的政策。
2. 於「Windows 設定」→「進階選項」→「隔離」,選取「一般」頁籤,於當新的病毒定義檔到達時,選取「不執行任何動作。
3. 選取「清理」頁籤,於修復的檔案勾選「啟用自動刪除修復的檔案」,並設定天數,接著勾選「刪除最舊的檔案,將資料夾大小限制在 MB」(預設為 50 MB),接著點選「確定」。
4. 重新開機進入安全模式,清空 %App Data%\Symantec\ 和 %TEMP% 資料夾。
※ 清空 Client .DWH files 檔案
1. 停止 Symantec Endpoint Protection service。
- 開啟 Windows 中「執行」。
- 輸入「smc –stop」
- 點選「確定」。
◎ 以下指令請使用「命令提示字元」執行,或手動執行
2. 刪除使用者 Temp 資料夾內容
(請依照使用者名稱更改 " NAMEOFUSER “)
Windows 2000/XP/2003:
DEL /F /Q “C:\Documents and Settings\NAMEOFUSER\Local Settings\Temp"
Windows Vista/7/2008:
DEL /F /Q “C:\Users\NAMEOFUSER\AppData\Local\Temp"
3. 刪除 C:\ 底下的 Temp 資料夾內容
DEL /F /Q C:\temp
4. 刪除 Windows Temp 資料夾內容
DEL /F /Q C:\WINDOWS\Temp
5. 刪除 xfer 和 xfer_temp 資料夾內容
(請對照 Symantec Endpoint Protection 版本號輸入 “silo“)
Windows 2000/XP/2003:
Symantec Endpoint Protection 12.1
DEL /F /Q “C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\silo\Data\xfer_tmp\"
DEL /F /Q “C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\silo\Data\xfer\"
Symantec Endpoint Protection 11.x
DEL /F /Q “C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\xfer_tmp\"
DEL /F /Q “C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\xfer\"
Windows Vista/7/2008:
Symantec Endpoint Protection 12.1
DEL /F /Q “C:\ProgramData\Symantec\Symantec Endpoint Protection\silo\Data\xfer_tmp\"
DEL /F /Q “C:\ProgramData\Symantec\Symantec Endpoint Protection\silo\Data\xfer\"
Symantec Endpoint Protection 11.x
DEL /F /Q “C:\ProgramData\Symantec\Symantec Endpoint Protection\xfer_tmp\"
DEL /F /Q “C:\ProgramData\Symantec\Symantec Endpoint Protection\xfer\"
6. 刪除隔離區資料夾
(請對照 Symantec Endpoint Protection 版本號輸入 “silo“)
Windows 2000/XP/2003:
Symantec Endpoint Protection 12.1
DEL /F /Q “C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\silo\Data\Quarantine\"
RD /S /Q “C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\silo\Data\Quarantine\"
Symantec Endpoint Protection 11.x
DEL /F /Q “C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\Quarantine\"
RD /S /Q “C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\Quarantine\"
Windows Vista/7/2008:
Symantec Endpoint Protection 12.1
DEL /F /Q “C:\ProgramData\Symantec\Symantec Endpoint Protection\silo\Data\Quarantine\"
RD /S /Q “C:\ProgramData\Symantec\Symantec Endpoint Protection\silo\Data\Quarantine\"
Symantec Endpoint Protection 11.x
DEL /F /Q “C:\ProgramData\Symantec\Symantec Endpoint Protection\Quarantine\"
RD /S /Q “C:\ProgramData\Symantec\Symantec Endpoint Protection\Quarantine\"
7. 重新建立隔離區資料夾
(請對照 Symantec Endpoint Protection 版本號輸入 “silo“)
Windows 2000/XP/2003:
Symantec Endpoint Protection 12.1
MD “C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\silo\Data\Quarantine\"
Symantec Endpoint Protection 11.x
MD “C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\Quarantine\"
Windows Vista/7/2008:
Symantec Endpoint Protection 12.1
MD “C:\ProgramData\Symantec\Symantec Endpoint Protection\silo\Data\Quarantine\"
Symantec Endpoint Protection 11.x
MD “C:\ProgramData\Symantec\Symantec Endpoint Protection\Quarantine\"
8. 啟動 Symantec Endpoint Protection service。
- 開啟 Windows 中「執行」。
- 輸入「smc –start」
- 點選「確定」。
參考來源:https://support.symantec.com/en_US/article.TECH102953.html