解决企业版客户端主动防御被禁用无法开启的问题的方法

no1yihui

最近有报SEP（Symantec Endpoint Protection）11企业版客户端主动防御被禁用无法开启的问题，昨天正好遇到，修复安装和清理注册表后的全新安装均无法修复，联系800工程师也无法解决（貌似只有重装系统），只有靠自己摸索了一下发现了如下方法。

1.现象：SEP（Symantec Endpoint Protection）安装后其他功能一切正常，但一段时间后就报主动防御被禁用，需要修复，病毒库已更新到最新，点击修复后还是去更新病毒库（其实已为最新）。查看SEP系统日志报 Truscan错误代码 ：9 启发扫描或加载失败。修复安装和清理注册表后的全新安装均无法修复。

和正常的客户端比较注册表后发现如下位置生成了erorr为49的错误键值
[HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\SymantecEndpoint Protection\AV\Storages\SymHeurProcessProtection\RealTimeScan]
"error"=dword:00000049
清除此键值就会立刻开启主动防御，但这只是假相，重启后又会被自动禁用。

2 .解决思路：点击帮助和支持 –下载支持工具- SEP_supporttool
http://www.symantec.com/techsupp/home_homeoffice/products/sep/Sep_SupportTool.exe
运行软件，勾选-Prinstall check for 11.X ,SEP client XXXX,definitions and content signatures, load point
点击next 运行大概10分钟后 ，会出现一份报告，结果如下：
点击 review the reports 其中需注意几条：
A．ERROR items：此键值印证了注册表产生错误的结果
B．load points： analysis项，里面分为红色的 黑色的和绿色的项目 ，红色为需要注意的项目（没有数字签名
查找有红色项目产生的原因，处理（删除或清理相关注册表服务项）干净后主动防御就会自动打开！

C .原因点分析：主动防御进程为COH32.exe，出现问题前进程中是不会出现此进程的，修复成功后会随机的出现此进程并自动消失，之所以无法加载这个进程是由于和上述带红色标记的某些文件产生冲突导致的。

emchou

有帮助，下来学习

★比尔·盖帽★

图片好难看

btliumx8868

向楼主学习！