SEP (Symantec Endpoint Protection) の Auto-Protect で DWH*.tmp ファイルが作成され、悪質であるというフラグが付けられる。また、新しいウイルス定義を受け取るたびに、検疫場所のアイテムが倍増する。

Symantec Endpoint Protection クライアントでウイルス定義が更新されたときに検疫場所を再スキャンするオプションが用意されています。このオプションを設定すると、Symantec Endpoint Protection クライアントはローカルの検疫場所に格納されているファイルを検査し、更新されたウイルス対策シグネチャで修復できるファイルがあるかどうかを検証します。

これらの格納ファイルは、最初の検疫時に、ローカルコンピュータへのウイルス感染を防ぐために圧縮して暗号化されています。そのため、Symantec Endpoint Protection クライアントは再スキャンする前にこの検疫パッケージから元のファイルを展開する必要があります。

元のファイルの展開中に、 DWHxxxx.tmp という名前の一時ファイルが Symantec Endpoint Protection クライアントの作業フォルダに作成されます。通常、この一時ファイルは %App Data%\Symantec\ フォルダ内に作成されますが、Symantec Endpoint Protection の古いビルドによっては Windows %TEMP% フォルダに作成されることもあります。12.1 の新しいバージョンでは、このファイルに検疫済みアイテムの元の拡張子 (たとえば、DHWxxxx.exe) が付きます。

Symantec Endpoint Protection はすでにこのファイルを処理している (つまり、Symantec Endpoint Protection はこのファイルを所有していると認識している) ため、この一時ファイルは通常 Symantec Endpoint Protection の Auto-Protect 機能のスキャン対象にはなりません。ただし、 このファイルの作成中にサードパーティ製品のプロセスがこのファイルにアクセスすると、Symantec Endpoint Protection の Auto-Protect 機能がこのファイルへのアクセスを阻止し、悪質な可能性がある別のプロセスがファイルにアクセスしたためファイルを信頼できないと判断します。

そのため、ファイルは新しい信頼できないファイルだと見なされ、スキャンの対象になります。その結果、すでに検疫済みの感染ファイルが再スキャンされます。 さらに、疑わしいファイルとして扱い、検疫されるため、ローカルの検疫場所に重複するファイルが追加されます。

こうした理由から、Symantec Endpoint Protection クライアントが新しい定義セットを受信してローカルの検疫場所を再スキャンするたびに前述のプロセスが繰り返され、ローカルの検疫場所のコンテンツが倍増します。

複数の DWH ファイルが作成されて保持される問題は Symantec Endpoint Protection の最新版で対応が行われています。最新バージョンの取得方法は Symantec Enterprise Security ソフトウェアのダウンロード を参照してください。

検出項目の重大度に基づいて、問題を解決するための既知の回避策がいくつかあります。以下に、優先順に示します。

1. 新しいウイルス定義を受け取ったときのローカル検疫場所の再スキャンを無効にします。 
   1. [ウイルスとスパイウェアの対策ポリシー] - [Windows の設定] - [検疫] - [全般] タブを開きます。
   2. [新しいウイルス定義の到着時] で [何もしない] を選択します。
   3. [OK] をクリックして、必要に応じてポリシーを割り当てます。
2. 検疫フォルダのサイズを制限します。
   1. [ウイルスとスパイウェアの対策ポリシー] - [Windows の設定] - [検疫] - [クリーンアップ] タブを開きます。
   2. [検疫ファイル] で [修復できなかった検疫ファイルの自動削除を有効にする (デフォルト: 30 日後に削除)] と [フォルダサイズ限度に合わせて最も古いファイルを削除: (デフォルトでは 50 MB)] にチェックマークを付けます。
   3. [OK] をクリックして、必要に応じてポリシーを割り当てます。
3. SEP 以外のプロセスやサービス (Windows インデックスサービスなど) が Symantec Endpoint Protection ファイルにアクセスしたりこれらのファイルを監視したりできないように設定します。 
4. ウイルス定義の更新時に %TEMP% フォルダが開かないようにします。 
5. セーフモードで再起動して一時フォルダの *.DWH ファイルを削除し、検疫フォルダを空にします。 
      

検疫フォルダや一時フォルダ、xfer_tmp フォルダが大きくなりすぎて Windows でコンテンツを開いたり削除したりできなくなった場合は、コマンドプロンプトを使ってファイルを操作する必要がある場合があります。  

以下に、標準的な手順を示します。デフォルトの場所以外にクライアントをインストールしている場合は、以下のコマンドのファイルとフォルダのパスを必ず変更してください。コマンドはオペレーティングシステムによって異なるので、使用しているコンピュータに適したコマンドを選択します。 
 

.DWH ファイルを削除する

シマンテック製品のサービスを停止する

Symantec Endpoint Protection サービスを停止するには、次の手順を実行します。

1. スタートメニューで [ファイル名を指定して実行] をクリックします。
2. smc -stop と入力します。
3. [OK] をクリックします。

ユーザーの一時フォルダからファイルを削除する

コマンドプロンプトで次のコマンドを入力します(次の文字列は、ユーザー名によって異なります)。一時フォルダを空にする Windows ユーザーのユーザー名に NAMEOFUSER を置き換えます。

Windows 2000/XP/2003:
DEL /F /Q "C:\Documents and Settings\NAMEOFUSER\Local Settings\Temp"

Windows Vista/7/2008/8/2012/10:
DEL /F /Q "C:\Users\NAMEOFUSER\AppData\Local\Temp"

C:\ のルートにある一時フォルダのコンテンツを削除する

コマンドプロンプトで次のコマンドを入力します。

DEL /F /Q C:\temp 

Windows の Temp フォルダにあるコンテンツを削除する

コマンドプロンプトで次のコマンドを入力します。

DEL /F /Q C:\WINDOWS\Temp 

Defwatch の一時フォルダにあるコンテンツを削除する

コマンドプロンプトで次のコマンドを入力します。

Windows 2000/XP/2003:

Symantec Endpoint Protection 12.1.5 以降
DEL /F /Q C:\Documents and Settings\All Users\Application Data\Symantec\Defwatch.DWH 

Windows Vista/7/2008/8/2012/10:

Symantec Endpoint Protection 12.1.5 以降
DEL /F /Q C:\ProgramData\Symantec\Defwatch.DWH 

xfer フォルダや xfer_tmp フォルダにあるコンテンツを削除する

コマンドプロンプトで次のコマンドを入力します。適切なビルド番号に silo を置き換えます。

Windows 2000/XP/2003:

Symantec Endpoint Protection 12.1
DEL /F /Q "C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\silo\Data\xfer_tmp\"
DEL /F /Q "C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\silo\Data\xfer\"

Symantec Endpoint Protection 11.x
DEL /F /Q "C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\xfer_tmp\"
DEL /F /Q "C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\xfer\"
 

Windows Vista/7/2008/8/2012/10:

Symantec Endpoint Protection 12.1
DEL /F /Q "C:\ProgramData\Symantec\Symantec Endpoint Protection\silo\Data\xfer_tmp\"
DEL /F /Q "C:\ProgramData\Symantec\Symantec Endpoint Protection\silo\Data\xfer\"

Symantec Endpoint Protection 11.x
DEL /F /Q "C:\ProgramData\Symantec\Symantec Endpoint Protection\xfer_tmp\"
DEL /F /Q "C:\ProgramData\Symantec\Symantec Endpoint Protection\xfer\"

検疫フォルダ

注: 検疫フォルダには多数のファイルが存在する場合があるため、Windows ユーザーインターフェースで検疫フォルダを開こうとすると遅延が生じたり、Windows エクスプローラアプリケーションがハングアップする可能性があるので、以下の手順はコマンドプロンプトで実行する必要があります。 

検疫フォルダを削除する

コマンドプロンプトで次のコマンドを入力します。silo を適切なビルド番号に置き換えます。

Windows 2000/XP/2003:

Symantec Endpoint Protection 12.1
DEL /F /Q "C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\silo\Data\Quarantine\"
RD /S /Q "C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\silo\Data\Quarantine\"

Symantec Endpoint Protection 11.x
DEL /F /Q "C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\Quarantine\"
RD /S /Q "C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\Quarantine\"
 

Windows Vista/7/2008/8/2012/10:

Symantec Endpoint Protection 12.1
DEL /F /Q "C:\ProgramData\Symantec\Symantec Endpoint Protection\silo\Data\Quarantine\"
RD /S /Q "C:\ProgramData\Symantec\Symantec Endpoint Protection\silo\Data\Quarantine\"

Symantec Endpoint Protection 11.x
DEL /F /Q "C:\ProgramData\Symantec\Symantec Endpoint Protection\Quarantine\"
RD /S /Q "C:\ProgramData\Symantec\Symantec Endpoint Protection\Quarantine\"

検疫フォルダを再作成する

コマンドプロンプトで次のコマンドを入力します。silo を適切なビルド番号に置き換えます。

Windows 2000/XP/2003:

Symantec Endpoint Protection 12.1
MD "C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\silo\Data\Quarantine\"

Symantec Endpoint Protection 11.x
MD "C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\Quarantine\"
 

Windows Vista/7/2008/8/2012/10:

Symantec Endpoint Protection 12.1
MD "C:\ProgramData\Symantec\Symantec Endpoint Protection\silo\Data\Quarantine\"

Symantec Endpoint Protection 11.x
MD "C:\ProgramData\Symantec\Symantec Endpoint Protection\Quarantine\"

Symantec Endpoint Protection サービスを開始するには、次の手順を実行します。

1. スタートメニューで [ファイル名を指定して実行] をクリックします。
2. smc -start という コマンドを入力します。
3. [OK] をクリックします。
   
    

注: Windows インデックスサービスなど、各ファイルに定期的にアクセスするアプリケーションがあることを認識することが重要です。バックアップアプリケーションもバックエンドでファイルにアクセスするアプリケーションとして認知されています。このようなアプリケーションでは、可能であれば *.DWH を作業対象から除外してください。

[英語文書] DWH*.tmp files are created and detected when quarantine is scanned with new virus definitions