平凡筆記簿

Archive for the ‘安全’ Category

整合 Symantec Endpoint Protection 11.0 RU7 安裝

leave a comment »

更新RU7比安裝SEP11要花上更多時間。以一台新電腦計算,安裝SEP11大約5分鐘,更新RU7卻要15分鐘!如果能整合安裝檔及更新檔,那就可以節省不少時間。

下載 SPE11 Maintenance Patch

更新檔超過200MB,不過實際上使用的只是約20MB的 SEP32_XXXTo975_clientMSPMSI.exe (XXX是SPE11的安裝版本)

檢查SEP11版本

1. 在右上方的”Help and Support“,選取”About

SEP11VersionCheck

2. 最後的數字就是版本號 (例如 Version: 11.0.6005.562,那就需要使用SEP32_562To975_clientMSPMSI.exe)

SEP11VersionCheck

整合 Symantec Endpoint Protection 11.0 RU7

整合過桯大致跟普通MSI整合方式差不多。

1. 把SEP11安裝檔案複製到資料夾 C:\SEP11

2.按 Win+R,執行指令 msiexec /a “C:\SEP11\Symantec AntiVirus.msi” 。安裝位置指定為”C:\SEP11RU7“。

3. 使用 WinRAR 開啟SEP32_XXXTo975_clientMSPMSI.exe。將 Patch.msp 解壓至 C:\SEP11RU7

4. 按 Win+R,執行指令 msiexec /p “C:\SEP11RU7\Patch.msp” /a “C:\SEP11RU7\Symantec AntiVirus.msi” /qb

5. 整合完成。可以把 C:\SEP11RU7\Patch.msp 刪除,這個檔案在完成整合後不會再使用。將 C:\SEP11RU7 打包(例如做成ZIP壓縮檔)就可以發佈。安裝時直接使用 Symantec AntiVirus.msi 就可以了。

Written by antonythk

2011/08/23 at 06:48

Posted in 電腦, Symantec, 安全

Tagged with ,

Symantec Endpoint Protection DWH***.tmp 成因及解決方法 (2011/09/07更新)

with one comment

不管是什麼原因使用這套企業版的安全套件,都會發現它所帶來的問題往往大於它的保護作用。就算千萬個不願,絕大多數情況仍要與它和平共存。

據說 DWH***.tmp 的發生機會率大約是 0.5%,每次修復每台電腦可能要花上半小時,那就浪費很多美好的青春時光。

成因

如果說 DWH***.tmp 是病毒,不如說是SEP本身的缺陷吧!

產生 DWH***.tmp主要原因是在 DWHWizrd.exe 更新防毒定義時造成。

病毒被隔離(Quarantine)後,在下一次SEP更新定義時,被隔離檔案會被臨時還原並以新定義檔檢查一下能否修復。

如果病毒能引致DWH***.tmp,當進行修復時所產生的臨時檔案都會被誤認為病毒,並進行另一次新的隔離,結果產生出來的隔離檔案會以2次方的形式倍增。

每天更新1次,就是剛開始隔離區只有1只病毒,過了第7天就成了128只病毒,過了第14天就成了16384只病毒,就算電腦快得能1秒處理1次病毒誤報,那也得等待 4.5 小時才能處理完畢,系統早已被SEP拖跨了。

相信遲早會出現一些本是無關痛癢的檔案 (例如COOKIES),僅僅因為能夠誘發 DWH***.tmp,導致整間公司一千幾百台電腦系統陷入可怕的惡夢。

雖然 DWH***.tmp 並沒有單一源頭,也沒有預防方法 (除非不用SEP)。幸好藉著了解它的運作方式,可減低它對電腦造成的影響及利用快速的方法修復。

高階式 (Server-end management)

  • SEP 的 Policy內更改Purge Options,限制隔離檔案的時限及大小。
  • 另外Auto-Protect Advanced Options > File cache,停用 Rescan the cache when new definitions loads。
  • 更新最新的 Maintenance Patch,可解決部份已知的DWH***.tmp問題。

有用家反映,每次Symantec 都聲稱新版本的Maintenance Patch能根治問題,但過了不久後DWH***.tmp還是會再出現,[問題>更新>同樣問題>再更新]的循環已經持繼好幾年……

低階式 (Clinet side recovery)

大多數情況下,用戶會寧死不願更改高層設定的Policy。這時只用利用一些治標的方法解決。
以住的復原方法是移除及重新安裝SEP,但這個方法非常花費時間,充其量只是清除有問題的隔離檔案,讓系統停止產生新的DWH***.tmp,本身不會解決原本根存的問題。

雖然是治標不治本,不過至少讓電腦可以回復正常運作,這才是最重要。

這裏提供一種簡單的治標方法,不用重新安裝SEP也不用重新啟動電腦,可以節省90%的修復時間。執行時需要管理員權限

—————————————-

2011/09/07  FixSEP_DWHv2.cmd

– 修正Windows Vista & Windows 7 透過網絡更新安裝時,安裝位置可能不同的問題;
– 修正Windows 64bits 版本不能使用的問題

REM # Please save as FixSEP_DWHv2.cmd
REM ————————————————–
REM # System version check
if “%allusersprofile%”==”%systemdrive%\ProgramData” goto Win7
if %os%==Windows_NT goto WinXPREM ————————————————–:Win7
REM # Effect on Windows 7 & Vista
echo Windows 7 & Vista Operating System Detected

REM # Stop Symantec Endpoint Protection
reg add “HKLM\SOFTWARE\Symantec\Symantec Endpoint Protection\SMC” /v smc_exit_test /t reg_dword /d 0 /f
“%Programfiles%\Symantec\Symantec Endpoint Protection\Smc.exe” -stop
“%Programfiles(x86)%\Symantec\Symantec Endpoint Protection\Smc.exe” -stop
“%Programfiles%\Symantec AntiVirus\Smc.exe” -stop
“%Programfiles(x86)%\Symantec AntiVirus\Smc.exe” -stop

REM # Remove existing DWH***.tmp suspected files
del “%ProgramData%\Symantec\Symantec Endpoint Protection\Quarantine” /s /q /f
del “%ProgramData%\Symantec\SRTSP\Quarantinere” /s /q /f
rd “%ProgramData%\Symantec\Symantec Endpoint Protection\Quarantine” /s /q
md “%ProgramData%\Symantec\Symantec Endpoint Protection\Quarantine”
rd “%ProgramData%\Symantec\SRTSP\Quarantinere” /s /q
md “%ProgramData%\Symantec\SRTSP\Quarantinere”
del “%ProgramData%\Symantec\Symantec Endpoint Protection\Logs\*.log” /q /f
del “%userprofile%\AppData\Local\Microsoft\Windows\Temporary Internet Files” /s /q /f
del “%temp%” /s /q /f
del “%windir%\temp” /s /q /f

REM # Restart Symantec Endpoint Protection
reg add “HKLM\SOFTWARE\Symantec\Symantec Endpoint Protection\SMC” /v smc_exit_test /t reg_dword /d 1 /f
“%Programfiles%\Symantec\Symantec Endpoint Protection\Smc.exe” -start
“%Programfiles(x86)%\Symantec AntiVirus\Smc.exe” -start
“%Programfiles%\Symantec\Symantec Endpoint Protection\Smc.exe” -start
“%Programfiles(x86)%\Symantec AntiVirus\Smc.exe” -start
goto EndCheck

REM ————————————————–

:WinXP
REM # Effect on Windows XP
echo Windows XP Operating System Detected
if not exist “%Programfiles%\Symantec AntiVirus\Smc.exe” goto EndCheck

REM # Stop Symantec Endpoint Protection
reg add “HKLM\SOFTWARE\Symantec\Symantec Endpoint Protection\SMC” /v smc_exit_test /t reg_dword /d 0 /f
“%Programfiles%\Symantec AntiVirus\Smc.exe” -stop
REM # Remove existing DWH***.tmp suspected files
del “%allusersprofile%\Application Data\Symantec\Symantec Endpoint Protection\Quarantine” /s /q /f
del “%allusersprofile%\Application Data\Symantec\SRTSP\Quarantinere” /s /q /f

rd “%allusersprofile%\Application Data\Symantec\Symantec Endpoint Protection\Quarantine” /s /q
md “%allusersprofile%\Application Data\Symantec\Symantec Endpoint Protection\Quarantine”
rd “%allusersprofile%\Application Data\Symantec\SRTSP\Quarantinere” /s /q
md “%allusersprofile%\Application Data\Symantec\SRTSP\Quarantinere”

del “%ProgramData%\Symantec\Symantec Endpoint Protection\Logs\*.log” /q /f
del “%userprofile%\AppData\Local\Microsoft\Windows\Temporary Internet Files” /s /q /f
del “%temp%” /s /q /f
del “%windir%\temp” /s /q /f

del “%allusersprofile%\Application Data\Symantec\Symantec Endpoint Protection\Logs\*.log” /q /f
del “%userprofile%\Local Settings\Temporary Internet Files” /s /q /f
del “%temp%” /s /q /f
del “%windir%\temp” /s /q /f

REM # Restart Symantec Endpoint Protection
reg add “HKLM\SOFTWARE\Symantec\Symantec Endpoint Protection\SMC” /v smc_exit_test /t reg_dword /d 1 /f
“%Programfiles%\Symantec AntiVirus\Smc.exe” -start
goto EndCheck

REM ————————————————–

:EndCheck
exit

參考 : http://www.symantec.com/connect/forums/dwhtmp-trojan

Written by antonythk

2011/08/04 at 09:44

Posted in 電腦, Symantec, 安全

Tagged with ,