問題：

Symantec Endpoint Protection（SEP）將 DWH * .tmp 檔案建立並標記為惡意程式。

• 通常檔案名稱通常為 DWHxxxx.tmp
• 檔案路經通常為：%App Data%\Symantec\ 或是 %TEMP% 資料夾。

解決方案：

※ 從管理主控台修改設定

1.   開啟「政策」→「病毒和間諜軟體防護」，開啟使用中的政策。

 

2.   於「Windows 設定」→「進階選項」→「隔離」，選取「一般」頁籤，於當新的病毒定義檔到達時，選取「不執行任何動作。

 

3.   選取「清理」頁籤，於修復的檔案勾選「啟用自動刪除修復的檔案」，並設定天數，接著勾選「刪除最舊的檔案，將資料夾大小限制在 MB」（預設為 50  MB），接著點選「確定」。

 

4.   重新開機進入安全模式，清空 %App Data%\Symantec\ 和 %TEMP% 資料夾。

 

※ 清空 Client .DWH files 檔案

1.   停止 Symantec Endpoint Protection service。

• 開啟 Windows 中「執行」。

• 輸入「smc –stop」

• 點選「確定」。

 

◎ 以下指令請使用「命令提示字元」執行，或手動執行

2.   刪除使用者 Temp 資料夾內容

（請依照使用者名稱更改 ” NAMEOFUSER “）

Windows 2000/XP/2003:
DEL /F /Q “C:\Documents and Settings\NAMEOFUSER\Local Settings\Temp”

Windows Vista/7/2008:
DEL /F /Q “C:\Users\NAMEOFUSER\AppData\Local\Temp”

 

3.   刪除 C:\ 底下的 Temp 資料夾內容

DEL /F /Q C:\temp 

 

4.   刪除 Windows Temp 資料夾內容

DEL /F /Q C:\WINDOWS\Temp 

 

5.   刪除 xfer 和 xfer_temp 資料夾內容
（請對照 Symantec Endpoint Protection 版本號輸入 “silo“）

Windows 2000/XP/2003:
Symantec Endpoint Protection 12.1
DEL /F /Q “C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\silo\Data\xfer_tmp\”
DEL /F /Q “C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\silo\Data\xfer\”

Symantec Endpoint Protection 11.x
DEL /F /Q “C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\xfer_tmp\”
DEL /F /Q “C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\xfer\”

Windows Vista/7/2008:
Symantec Endpoint Protection 12.1
DEL /F /Q “C:\ProgramData\Symantec\Symantec Endpoint Protection\silo\Data\xfer_tmp\”
DEL /F /Q “C:\ProgramData\Symantec\Symantec Endpoint Protection\silo\Data\xfer\”

Symantec Endpoint Protection 11.x
DEL /F /Q “C:\ProgramData\Symantec\Symantec Endpoint Protection\xfer_tmp\”
DEL /F /Q “C:\ProgramData\Symantec\Symantec Endpoint Protection\xfer\”

 

6.   刪除隔離區資料夾
（請對照 Symantec Endpoint Protection 版本號輸入 “silo“）

Windows 2000/XP/2003:
Symantec Endpoint Protection 12.1
DEL /F /Q “C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\silo\Data\Quarantine\”
RD /S /Q “C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\silo\Data\Quarantine\”

Symantec Endpoint Protection 11.x
DEL /F /Q “C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\Quarantine\”
RD /S /Q “C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\Quarantine\”

Windows Vista/7/2008:
Symantec Endpoint Protection 12.1
DEL /F /Q “C:\ProgramData\Symantec\Symantec Endpoint Protection\silo\Data\Quarantine\”
RD /S /Q “C:\ProgramData\Symantec\Symantec Endpoint Protection\silo\Data\Quarantine\”

Symantec Endpoint Protection 11.x
DEL /F /Q “C:\ProgramData\Symantec\Symantec Endpoint Protection\Quarantine\”
RD /S /Q “C:\ProgramData\Symantec\Symantec Endpoint Protection\Quarantine\”

 

7.   重新建立隔離區資料夾
（請對照 Symantec Endpoint Protection 版本號輸入 “silo“）

Windows 2000/XP/2003:

Symantec Endpoint Protection 12.1
MD “C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\silo\Data\Quarantine\”

Symantec Endpoint Protection 11.x
MD “C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\Quarantine\”

Windows Vista/7/2008:

Symantec Endpoint Protection 12.1
MD “C:\ProgramData\Symantec\Symantec Endpoint Protection\silo\Data\Quarantine\”

Symantec Endpoint Protection 11.x
MD “C:\ProgramData\Symantec\Symantec Endpoint Protection\Quarantine\”

 

8.   啟動 Symantec Endpoint Protection service。

• 開啟 Windows 中「執行」。

• 輸入「smc –start」

• 點選「確定」。

 

參考來源：https://support.symantec.com/en_US/article.TECH102953.html

Comments

comments