m3power343 wrote:
謝謝各位的建議我先...(恕刪)
我以為我已經提示很清楚了,那些被賽門鐵克認為有問題的檔案
就是賽門鐵克升級病毒定義時的暫存檔案,自己的BUG問題
把問題丟給MIS就好
個人積分:27分
文章編號:61641264
個人積分:548分
文章編號:61646305
個人積分:171分
文章編號:71869379
Arlanne wrote:
我以為我已經提示很...(恕刪)
是不是這篇文章,寫的意思呢.?
引用 : https://support.symantec.com/zh_TW/article.TECH102953.html
情況
您發現 Symantec Endpoint Protection (SEP) 中的「自動防護」會建立 DWH*.tmp 檔案並將其標記為惡意。此外,您還發現每次新的病毒定義檔到達時,隔離所中的項目都會加倍。
原因
Symantec Endpoint Protection 用戶端中的病毒定義檔更新時,會顯示「重新掃描隔離所」選項。這可讓 Symantec Endpoint Protection 用戶端檢查本機隔離所中儲存的檔案,並驗證是否可以使用更新的防毒特徵修復這些檔案。
最初隔離這些檔案時,會將其壓縮並加密,以確保儲存的版本無法繼續感染本機電腦。因此,Symantec Endpoint Protection 用戶端必須先從此隔離封裝解壓縮原始檔案,然後才能進行重新掃描。
在此檔案解壓縮程序期間, 會在 Symantec Endpoint Protection 用戶端的工作資料夾中建立名為 DWHxxxx.tmp 的暫存檔。這通常位於 %App Data%\Symantec\ 資料夾中,但在 Symantec Endpoint Protection 的某些較舊版次中,可能也會使用 Windows %TEMP% 資料夾。在 12.1 的較新版本中,此檔案將具有已隔離項目的原始副檔名 (例如,DHWxxxx.exe)。
通常,Symantec Endpoint Protection 的「自動防護」功能不會掃描此暫存檔,因為 Symantec Endpoint Protection 已處理此檔案,即 Symantec Endpoint Protection 知道其具有此檔案。但是,如果協力廠商程序於檔案正在建立時存取此檔案,則 Symantec Endpoint Protection 的「自動防護」功能將攔截此檔案存取,並將此檔案宣告為不受信任,因為另一個程序 (可能是惡意程序) 已存取此檔案。
這將導致此檔案被視為新檔案且不受信任。因此,將會掃描此檔案。這會導致重新掃描已隔離的受感染檔案。此外,此檔案將被視為可疑檔案並加以隔離,進而導致將重複的檔案新增至本機隔離所中。
最終,由於 Symantec Endpoint Protection 用戶端會接收每個定義檔集,並重新掃描本機隔離所,導致上述程序重複,因此本機隔離所的內容會加倍。
注意: 類似的隔離所重新掃描程序同樣適用於 Symantec AntiVirus (SAV)。
個人積分:1202分
文章編號:71874345
