[SEP] 每天掃描出大量 DWH*.tmp 檔案,如何處理?

問題:

Symantec Endpoint Protection(SEP)將 DWH * .tmp 檔案建立並標記為惡意程式。

  • 通常檔案名稱通常為 DWHxxxx.tmp
  • 檔案路經通常為:%App Data%\Symantec\ 或是 %TEMP% 資料夾。

解決方案:

※ 從管理主控台修改設定

1.   開啟「政策」→「病毒和間諜軟體防護」,開啟使用中的政策。

image

 

2.   於「Windows 設定」→「進階選項」→「隔離」,選取「一般」頁籤,於當新的病毒定義檔到達時,選取「不執行任何動作。

image

 

3.   選取「清理」頁籤,於修復的檔案勾選「啟用自動刪除修復的檔案」,並設定天數,接著勾選「刪除最舊的檔案,將資料夾大小限制在 MB」(預設為 50  MB),接著點選「確定」。

image

 

4.   重新開機進入安全模式,清空 %App Data%\Symantec\ 和 %TEMP% 資料夾。

 

※ 清空 Client .DWH files 檔案

1.   停止 Symantec Endpoint Protection service。

  • 開啟 Windows 中「執行」。

image

  • 輸入「smc –stop」

image

  • 點選「確定」。

 

◎ 以下指令請使用「命令提示字元」執行,或手動執行

2.   刪除使用者 Temp 資料夾內容

(請依照使用者名稱更改 ” NAMEOFUSER “)

Windows 2000/XP/2003:
DEL /F /Q “C:\Documents and Settings\NAMEOFUSER\Local Settings\Temp”

Windows Vista/7/2008:
DEL /F /Q “C:\Users\NAMEOFUSER\AppData\Local\Temp”

 

3.   刪除 C:\ 底下的 Temp 資料夾內容

DEL /F /Q C:\temp 

 

4.   刪除 Windows Temp 資料夾內容

DEL /F /Q C:\WINDOWS\Temp 

 

5.   刪除 xfer 和 xfer_temp 資料夾內容
(請對照 Symantec Endpoint Protection 版本號輸入 “silo“)

image

Windows 2000/XP/2003:
Symantec Endpoint Protection 12.1
DEL /F /Q “C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\silo\Data\xfer_tmp\”
DEL /F /Q “C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\silo\Data\xfer\”

Symantec Endpoint Protection 11.x
DEL /F /Q “C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\xfer_tmp\”
DEL /F /Q “C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\xfer\”

Windows Vista/7/2008:
Symantec Endpoint Protection 12.1
DEL /F /Q “C:\ProgramData\Symantec\Symantec Endpoint Protection\silo\Data\xfer_tmp\”
DEL /F /Q “C:\ProgramData\Symantec\Symantec Endpoint Protection\silo\Data\xfer\”

Symantec Endpoint Protection 11.x
DEL /F /Q “C:\ProgramData\Symantec\Symantec Endpoint Protection\xfer_tmp\”
DEL /F /Q “C:\ProgramData\Symantec\Symantec Endpoint Protection\xfer\”

 

6.   刪除隔離區資料夾
(請對照 Symantec Endpoint Protection 版本號輸入 “silo“)

image

Windows 2000/XP/2003:
Symantec Endpoint Protection 12.1
DEL /F /Q “C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\silo\Data\Quarantine\”
RD /S /Q “C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\silo\Data\Quarantine\”

Symantec Endpoint Protection 11.x
DEL /F /Q “C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\Quarantine\”
RD /S /Q “C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\Quarantine\”

Windows Vista/7/2008:
Symantec Endpoint Protection 12.1
DEL /F /Q “C:\ProgramData\Symantec\Symantec Endpoint Protection\silo\Data\Quarantine\”
RD /S /Q “C:\ProgramData\Symantec\Symantec Endpoint Protection\silo\Data\Quarantine\”

Symantec Endpoint Protection 11.x
DEL /F /Q “C:\ProgramData\Symantec\Symantec Endpoint Protection\Quarantine\”
RD /S /Q “C:\ProgramData\Symantec\Symantec Endpoint Protection\Quarantine\”

 

7.   重新建立隔離區資料夾
(請對照 Symantec Endpoint Protection 版本號輸入 “silo“)

image

Windows 2000/XP/2003:

Symantec Endpoint Protection 12.1
MD “C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\silo\Data\Quarantine\”

Symantec Endpoint Protection 11.x
MD “C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\Quarantine\”

Windows Vista/7/2008:

Symantec Endpoint Protection 12.1
MD “C:\ProgramData\Symantec\Symantec Endpoint Protection\silo\Data\Quarantine\”

Symantec Endpoint Protection 11.x
MD “C:\ProgramData\Symantec\Symantec Endpoint Protection\Quarantine\”

 

8.   啟動 Symantec Endpoint Protection service。

  • 開啟 Windows 中「執行」。

image

  • 輸入「smc –start」

image

  • 點選「確定」。

image

 

參考來源:https://support.symantec.com/en_US/article.TECH102953.html

Comments

comments