自家后院着火，SEP无休止报警

qftest

ph202020 发表于 2016-11-28 22:51
可否详解？

先改注册表，将 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Quarantine\DefWatchMode 的值修改为3
然后排除下面这两个目录：
C:\ProgramData\Syamantec\DefWatch.DWH\
C:\ProgramData\Syamantec\Symantec Endpoint Protection\版本号\SRTSP\Quarantine\

这样试试看是否有所改善

yb1219

ph202020 发表于 2016-11-28 22:50
嗯，有。

造成原因：
由于SEP客户端上面的新病毒定义到达时要扫描隔离区来确认是否有可以被修复的文件，这些文件在保存到隔离区的时候会被加密和压缩，目的是要保证这些文件不会再危害系统，要达到检测是否可以修复的时候，SEP要先将这些文件解压和解密，在这些文件被解密的时候，会生成一个叫做DWHXXXX.tmp（DWH=definitions watch）的临时文件（我们假设这个文件叫A）到一个文件夹下面，可能是SEP的安装路径也可能是系统的temp文件夹（在12版本的SEP中，这些被生成的文件是exe结尾，而非tmp），正常情况下，这个临时成成 的文件A并不会被SEP的AP（Auto protect）功能扫描，因为SEP认为这个文件A是自己的文件（我们的AP功能不会扫描我们自己的文件），不过加入一个第三方进进程在这个文件生成之后扫描了这个临时文件A 之后那么A的属性就会有变化，那么这时SEP的AP功能就会认为这个文件不再是SEP自己的，需要进行扫描来确定它是否可信了，这就是为什么dwh反复出现的原因

规避方案（下面三个方法任选一个）：
1.        通过SEP控制界面直接选择隔离区文件并删除（截图为实验环境）：

2.        手动清楚SEP客户端隔离区文件，首先需关闭SEP客户端的防篡改功能（请参考官方文档TECH192023），然后找到下面路径，手动清空下面路径下的隔离区文件：
C:\ProgramData\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\Quarantine
3.        如果上述的方法无法删除（可能被隔离的文件非常多，删除的时候会SEP假死），则需要您进入CMD，然后进入隔离区文件夹[appdata 文件夹]\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\Quarantine，使用del * 命令删除


拿走不谢。。。

月影天心

ph202020 发表于 2016-11-28 22:50
已经卸载调了，貌似问题没有再出现，但我还想用管家悬浮窗怎么办？

无解，除非不用，我是从不用管家卫士的产品

GreenCodes

从不用管家，卫士的一样遇到这种问题

ph202020

GreenCodes 发表于 2016-11-29 23:03
从不用管家，卫士的一样遇到这种问题

那就是说管家不是导致的原因喽

ph202020

yb1219 发表于 2016-11-29 09:39
造成原因：
由于SEP客户端上面的新病毒定义到达时要扫描隔离区来确认是否有可以被修复的文件，这些文件 ...

谢谢

ph202020

qftest 发表于 2016-11-28 23:25
先改注册表，将 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Qu ...

好的，这就去试试

qftest

ph202020 发表于 2016-11-30 10:03
那就是说管家不是导致的原因喽

也许管家之流是触发诱因之一，但绝不是唯一的原因，这个问题应该属于SEP自身的BUG