此问题困扰偶N久了,每次一开机,都会提示在凌晨5点左右在TEMP目录中杀出一批DWH*.TMP病毒来,今天一开机,诺顿实时监控就一直不停地往外跳,决定要好好地收拾他一下了.

下载FileMonNT软件,用来做文件操作监视.

将监视目标指向TEMP目录,对Create进行监视,以查找是哪个文件生成了这批TMP病毒,最后终于发现生成他们的程序文件居然是:DWHwizrd.exe,这个程序文件是诺顿的升级向导!!!

无语中....

难怪今天偶删除了诺顿,再次重装时却发现状态一直是等待更新,页LiveUpdate却提示所有产品是最新的,郁闷.

分析一下事情经过:
1.偶设置诺顿为每天凌晨5点左右自动更新
2.LiveUpdate按规定下载了更新文件,并生成临时文件DWH*.TMP将文件存放于临时目录.
3.实时监控程序RtvScan.exe却直接将LiveUpdate生成的DWH*.TMP病毒定义文件清除.
4.程序无法得到最新更新
5.形成了每天凌晨5点多出现一大批病毒的问题

偶用的版本:诺顿企业版SEP 11.0.780.1109

更正:

随后,偶通过禁止对TEMP目录的扫描,然后用UE打开生成的DWH*.TMP文件,查看文件内容时发现,内容根本不是诺顿的病毒定义文件,而是一个个JS脚本文件,和框架调用指向一个汽车报价网.

仔细查看了一下,它的生成者确实是DWHwizrd.exe文件,将DWHwizrd.exe文件进程结束,并更名后,此DWH*.TMP文件不再生成.删除SEP后,重新安装后,正常.

总结:

偶的SEP是从SAV10.1上升级来的,看来在这之前偶的DWHwizrd.exe就被某个病毒节奏劫持了。

向诺顿道歉，但它的DWHwizrd.exe这么容易被病毒劫持，这也太伤偶地心了。