Symantec e file temporanei DWH

Se vi capita Symantec Endpoint Protection vi segnali la presenza di un virus in file temporaneo DWHxxx.tmp in Windows\Temp il problema può essere dovuto al fatto che i file i quarantena vengono riscanditi ogni volta che viene ricevuta una nuova definizione dei virus.

Una verifica che può indicare che questo sia effettivamente il problema controllare che la data in cui viene visualizzato il rischio sia immediatamente successivo al caricamento di una nuova definizione dei virus.

Per ovviare al problema eliminare i file nella quarantena e per sicurezza eseguire una scansione completa, magari anche con Microsoft Safety Scanner.

Per ulteriori informazioni si veda When new virus definitions are in place and the quarantine is being scanned, a DWH file is created and detected by Auto-Protect.

Io ho rilevato questo issue nella versione di SEP RU6 MP2 (11.0.6200.754), ma a quanto pare nell’ultima release la RU6 MP3 il problema è stato risolto. A riguardo si veda Release notes for Endpoint Protection and Network Access Control 11:

DWHxxxx.tmp files are scanned and re-detected when new definitions arrive or during a scheduled scan

Fix ID: 1925607

Symptom: DWHxxxx.tmp files are scanned and re-detected when new definitions arrive or during a scheduled scan.

Solution: After extracting a quarantined item to a temp file, the file is deleted immediately after it is processed

Quarantine scan causes Auto-Protect detections in %temp% folder
Fix ID: 1525749
Symptom: DWHWizard.exe starts the quarantine scan and moves quarantined files in to the %temp% folder for scanning. Auto Protect will occasionally detect these infected files.
Solution: After extracting and re-scanning each quarantine item, the TMP file is deleted unless the state is now REPAIRABLE. Repairable files are used later, either to restore to the original location or to save back to Quarantine (REPAIR_ONLY mode). These files should be clean, so Auto-Protect should not detect anything in them.