关于小伙伴们经常遇到的SEP反复弹病毒被查杀的问题，病毒文件含有DWH字样

yb1219

不知道有没有大神发过了，看过的大神请飘过

官方解释，移步这里
https://support.symantec.com/en_US/article.TECH102953.html

问题描述：

装有SEP客户单的pc持续跳出风险窗口，风险文件类似于：dwhc60.exe


造成原因：
由于SEP客户端上面的新病毒定义到达时要扫描隔离区来确认是否有可以被修复的文件，这些文件在保存到隔离区的时候会被加密和压缩，目的是要保证这些文件不会再危害系统，要达到检测是否可以修复的时候，SEP要先将这些文件解压和解密，在这些文件被解密的时候，会生成一个叫做DWHXXXX.tmp（DWH=definitions watch）的临时文件（我们假设这个文件叫A）到一个文件夹下面，可能是SEP的安装路径也可能是系统的temp文件夹（在12版本的SEP中，这些被生成的文件是exe结尾，而非tmp），正常情况下，这个临时成成 的文件A并不会被SEP的AP（Auto protect）功能扫描，因为SEP认为这个文件A是自己的文件（我们的AP功能不会扫描我们自己的文件），不过加入一个第三方进进程在这个文件生成之后扫描了这个临时文件A 之后那么A的属性就会有变化，那么这时SEP的AP功能就会认为这个文件不再是SEP自己的，需要进行扫描来确定它是否可信了，这就是为什么dwh反复出现的原因

规避方案（下面三个方法任选一个）：
首先检查您的电脑是否安装了其他第三方杀毒软件或者安全软件，如果有请卸载
1.        通过SEP客户端界面直接选择隔离区文件并删除
2.        关闭SEP防篡改，清空C:\ProgramData\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\Quarantine里的文件
3.        进入CMD，找到2中路径，使用del * 命令删除


彻底规避此问题的方法（没有Manager端的客官们可能没有办法了，在客户端上面应该有注册表值改这个东西，不过目前还不知道是哪个。。。 ）：
做下列操作之前您需要知道
•        这个扫描隔离区的功能目的是为了，当我们的病毒定义更新之后，有可能会修复隔离区里面已经被隔离的文件
•        如果做了下面的设置，则新的病毒定义到达客户端的时候不会再扫描欧隔离区
•        也就是说，隔离区的文件将永远不会自动被修复（即使新的病毒定义已经可以修复这个文件）
1.        修改SEPM服务器端隔离区设置，首先登陆SEPM，然后选择策略：

选择Windows设置下面的高级选项-隔离（修改当新的病毒定义到达时：不执行任何操作）：

Explorer11

服务端一般人可是没有的呀，虽然正版nis还有600多天，不过现在准备用sep试试了

wudimeisuowei

这个没有管理端的话，好像无法设置吧。

pal家族

关键问题：
软媒为什么访问（甚至可能会修改）sep的这个特殊区域？
一个优化工具，还能不能有点自觉啊！

lovingjelly

解释的很清楚，懂了。谢谢

GreenCodes

pal家族 发表于 2016-11-29 12:35
关键问题：
软媒为什么访问（甚至可能会修改）sep的这个特殊区域？
一个优化工具，还能不能有点自觉啊！

在temp文件夹生成一大堆临时文件，清理工具为什么不能访问？

lan1737071

pal家族 发表于 2016-11-29 12:35
关键问题：
软媒为什么访问（甚至可能会修改）sep的这个特殊区域？
一个优化工具，还能不能有点自觉啊！

我也用软媒 不过是官方自己的绿色版  就不会出现这些问题  我还是SEP+360 也没遇见过这些问题

pal家族

GreenCodes 发表于 2016-11-29 23:08
在temp文件夹生成一大堆临时文件，清理工具为什么不能访问？

因为你没有仔细看贴，没有仔细看图：
http://bbs.kafan.cn/thread-2066885-1-1.html

yb1219

lan1737071 发表于 2016-11-30 00:00
我也用软媒 不过是官方自己的绿色版  就不会出现这些问题  我还是SEP+360 也没遇见过这些问题

间歇性发病，哈哈哈

yb1219

pal家族 发表于 2016-11-29 12:35
关键问题：
软媒为什么访问（甚至可能会修改）sep的这个特殊区域？
一个优化工具，还能不能有点自觉啊！

当SEP要对这些文件扫描之后，会释放到一个系统文件夹，释放完了之后，理论上讲任何软件都有可能对其进行扫描