平凡筆記簿

Symantec Endpoint Protection DWH***.tmp 成因及解決方法 (2011/09/07更新)

with one comment

不管是什麼原因使用這套企業版的安全套件,都會發現它所帶來的問題往往大於它的保護作用。就算千萬個不願,絕大多數情況仍要與它和平共存。

據說 DWH***.tmp 的發生機會率大約是 0.5%,每次修復每台電腦可能要花上半小時,那就浪費很多美好的青春時光。

成因

如果說 DWH***.tmp 是病毒,不如說是SEP本身的缺陷吧!

產生 DWH***.tmp主要原因是在 DWHWizrd.exe 更新防毒定義時造成。

病毒被隔離(Quarantine)後,在下一次SEP更新定義時,被隔離檔案會被臨時還原並以新定義檔檢查一下能否修復。

如果病毒能引致DWH***.tmp,當進行修復時所產生的臨時檔案都會被誤認為病毒,並進行另一次新的隔離,結果產生出來的隔離檔案會以2次方的形式倍增。

每天更新1次,就是剛開始隔離區只有1只病毒,過了第7天就成了128只病毒,過了第14天就成了16384只病毒,就算電腦快得能1秒處理1次病毒誤報,那也得等待 4.5 小時才能處理完畢,系統早已被SEP拖跨了。

相信遲早會出現一些本是無關痛癢的檔案 (例如COOKIES),僅僅因為能夠誘發 DWH***.tmp,導致整間公司一千幾百台電腦系統陷入可怕的惡夢。

雖然 DWH***.tmp 並沒有單一源頭,也沒有預防方法 (除非不用SEP)。幸好藉著了解它的運作方式,可減低它對電腦造成的影響及利用快速的方法修復。

高階式 (Server-end management)

  • SEP 的 Policy內更改Purge Options,限制隔離檔案的時限及大小。
  • 另外Auto-Protect Advanced Options > File cache,停用 Rescan the cache when new definitions loads。
  • 更新最新的 Maintenance Patch,可解決部份已知的DWH***.tmp問題。

有用家反映,每次Symantec 都聲稱新版本的Maintenance Patch能根治問題,但過了不久後DWH***.tmp還是會再出現,[問題>更新>同樣問題>再更新]的循環已經持繼好幾年……

低階式 (Clinet side recovery)

大多數情況下,用戶會寧死不願更改高層設定的Policy。這時只用利用一些治標的方法解決。
以住的復原方法是移除及重新安裝SEP,但這個方法非常花費時間,充其量只是清除有問題的隔離檔案,讓系統停止產生新的DWH***.tmp,本身不會解決原本根存的問題。

雖然是治標不治本,不過至少讓電腦可以回復正常運作,這才是最重要。

這裏提供一種簡單的治標方法,不用重新安裝SEP也不用重新啟動電腦,可以節省90%的修復時間。執行時需要管理員權限

—————————————-

2011/09/07  FixSEP_DWHv2.cmd

– 修正Windows Vista & Windows 7 透過網絡更新安裝時,安裝位置可能不同的問題;
– 修正Windows 64bits 版本不能使用的問題

REM # Please save as FixSEP_DWHv2.cmd
REM ————————————————–
REM # System version check
if “%allusersprofile%”==”%systemdrive%\ProgramData” goto Win7
if %os%==Windows_NT goto WinXPREM ————————————————–:Win7
REM # Effect on Windows 7 & Vista
echo Windows 7 & Vista Operating System Detected

REM # Stop Symantec Endpoint Protection
reg add “HKLM\SOFTWARE\Symantec\Symantec Endpoint Protection\SMC” /v smc_exit_test /t reg_dword /d 0 /f
“%Programfiles%\Symantec\Symantec Endpoint Protection\Smc.exe” -stop
“%Programfiles(x86)%\Symantec\Symantec Endpoint Protection\Smc.exe” -stop
“%Programfiles%\Symantec AntiVirus\Smc.exe” -stop
“%Programfiles(x86)%\Symantec AntiVirus\Smc.exe” -stop

REM # Remove existing DWH***.tmp suspected files
del “%ProgramData%\Symantec\Symantec Endpoint Protection\Quarantine” /s /q /f
del “%ProgramData%\Symantec\SRTSP\Quarantinere” /s /q /f
rd “%ProgramData%\Symantec\Symantec Endpoint Protection\Quarantine” /s /q
md “%ProgramData%\Symantec\Symantec Endpoint Protection\Quarantine”
rd “%ProgramData%\Symantec\SRTSP\Quarantinere” /s /q
md “%ProgramData%\Symantec\SRTSP\Quarantinere”
del “%ProgramData%\Symantec\Symantec Endpoint Protection\Logs\*.log” /q /f
del “%userprofile%\AppData\Local\Microsoft\Windows\Temporary Internet Files” /s /q /f
del “%temp%” /s /q /f
del “%windir%\temp” /s /q /f

REM # Restart Symantec Endpoint Protection
reg add “HKLM\SOFTWARE\Symantec\Symantec Endpoint Protection\SMC” /v smc_exit_test /t reg_dword /d 1 /f
“%Programfiles%\Symantec\Symantec Endpoint Protection\Smc.exe” -start
“%Programfiles(x86)%\Symantec AntiVirus\Smc.exe” -start
“%Programfiles%\Symantec\Symantec Endpoint Protection\Smc.exe” -start
“%Programfiles(x86)%\Symantec AntiVirus\Smc.exe” -start
goto EndCheck

REM ————————————————–

:WinXP
REM # Effect on Windows XP
echo Windows XP Operating System Detected
if not exist “%Programfiles%\Symantec AntiVirus\Smc.exe” goto EndCheck

REM # Stop Symantec Endpoint Protection
reg add “HKLM\SOFTWARE\Symantec\Symantec Endpoint Protection\SMC” /v smc_exit_test /t reg_dword /d 0 /f
“%Programfiles%\Symantec AntiVirus\Smc.exe” -stop
REM # Remove existing DWH***.tmp suspected files
del “%allusersprofile%\Application Data\Symantec\Symantec Endpoint Protection\Quarantine” /s /q /f
del “%allusersprofile%\Application Data\Symantec\SRTSP\Quarantinere” /s /q /f

rd “%allusersprofile%\Application Data\Symantec\Symantec Endpoint Protection\Quarantine” /s /q
md “%allusersprofile%\Application Data\Symantec\Symantec Endpoint Protection\Quarantine”
rd “%allusersprofile%\Application Data\Symantec\SRTSP\Quarantinere” /s /q
md “%allusersprofile%\Application Data\Symantec\SRTSP\Quarantinere”

del “%ProgramData%\Symantec\Symantec Endpoint Protection\Logs\*.log” /q /f
del “%userprofile%\AppData\Local\Microsoft\Windows\Temporary Internet Files” /s /q /f
del “%temp%” /s /q /f
del “%windir%\temp” /s /q /f

del “%allusersprofile%\Application Data\Symantec\Symantec Endpoint Protection\Logs\*.log” /q /f
del “%userprofile%\Local Settings\Temporary Internet Files” /s /q /f
del “%temp%” /s /q /f
del “%windir%\temp” /s /q /f

REM # Restart Symantec Endpoint Protection
reg add “HKLM\SOFTWARE\Symantec\Symantec Endpoint Protection\SMC” /v smc_exit_test /t reg_dword /d 1 /f
“%Programfiles%\Symantec AntiVirus\Smc.exe” -start
goto EndCheck

REM ————————————————–

:EndCheck
exit


參考 : http://www.symantec.com/connect/forums/dwhtmp-trojan

Advertisements

Written by antonythk

2011/08/04 at 09:44

Posted in 電腦, Symantec, 安全

Tagged with ,

One Response

Subscribe to comments with RSS.

  1. 非常感謝您的方法,終于幫我解決了一個困擾我很長時間的一個問題啊。

    xdetect3733111

    2011/08/07 at 13:14


Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: