SEP系统常见问题与故障排除FAQ.doc

SEP防病毒系统常见问题及解决方法赛门铁克信息技术有限公司2010年1月修订记录日期版本描述作者2010-01-011.0初始版本张义2010-04-3011修订张义 目 录一、新装SEP注意要点3二、SEP客户端运行状态说明.4三、SEP升级加载防火墙及IPS模块不成功原因及处理方法4四、已知的需要使用的文件被SEP隔离或删除问题处理.5五、安装SEP提示LUCOMS1.EXE、ALUSCH1.EXE应用程序错误6六、如何卸载旧版本Symantec AntiVirus6七、安装SEP时卸载旧版SAV出现无法定位Symantec Antivirus.msi文件位置路径导致无法安装回退8八、安装时提示某键值没有访问权限8九、SEP安装时，进度条回滚10十、某些计算机安装SEP时提示“检测到重新启动的挂起系统更改。请重新启动系统并重新运行安装”10十一、安装时报“文件名、目录名或卷标语法不正确”11十二、安装时报“打开安装日志文件时发生错误。请确认指定的日志文件位置存在并且可写。”错误14十三、安装SEP后Word文档无法保存故障15十四、增加虚拟内存提高系统运行速度16十五、SEP11使用哪些通信端口17一、 新装SEP注意要点1、 确保新装SEP的计算机上没有第三方防病毒软件以及防火墙软件、插件、控件等。2、 如有第三方防病毒软件、防火墙软件、插件、控件等，请卸载干净重新启动计算机。3、 请安装相应的操作系统补丁，重新启动计算机。4、 检查计算机系统盘是否有足够的磁盘空间800M，建议1G以上。5、 当前计算机用户是否有足够的安装权限。6、 以上点都满足后，再安装SEP。二、 SEP客户端运行状态说明.客户端会使用通知区域图标，指示客户端是联机还是脱机，以及客户端计算机是否受到充分的保护。您可以右键单击此图标以显示常用命令。此图标位于桌面的右下角。注意：在受管客户端上，如果您的管理员已将它配置为不可用，则此图标不会显示。表 1-1 显示了 Symantec Endpoint Protection 客户端状态图标。三、 SEP升级防火墙及IPS模块不成功原因及处理方法 故障主要为如下几种原因： （1）系统盘磁盘空间不足（低于400MB）导致升级不成功. 处理方法: 对系统盘进行清理使磁盘空间满足升级要求，SEP服务器在下次调度会重推一次更新包即可成功. （2）服务器推送程序升级包到客户端时数据丢失、网络连接超进、客户端机运行状态异常等因素导致升级不成功. 处理方法: 在客户端所组下的程序升级包分发调度来定期向分组客户端推送防火墙及IPS模块,在下次调度时间内，服务器会重新推送，即可成功. 将未升级客户端先移到其它组，再移回来，这时服务器会马上会此客户端重新推送一次升级包.（3）安装的客户端版本为英文版、MR5版，而非默认的MR4版本，同时现在配置升级包均为MR4,因此未升级.处理方法: 将英文版、MR5版的客户端移动一个新建的组中，然后配置英文版、MR5版的升级包来分别进行升级. （4）客户端是新安装的，默认会归入地市根组下面，而根组下面未添加升级包，故SEP服务器不会对根组下的客户端进行升级. 处理方法: 将客户端移动所属部门组下即可，然后SEP服务器会自动将所属部门组下的升级包推送到此客户端完成升级.四、 已知的需要使用的文件被SEP隔离或删除问题处理.原因： 可能是文件类型或其动作特征与SEP病毒库中样式匹配，所以被SEP作为病毒而处理，如 注册机、算号器、广告软件、批处理文件及其它特定文件.处理方法：若确认被SEP处理的文件是已知的正常文件，可按如下两种方法处理: . 对文件的存放目录作例外处理，操作方法如下图:可选择“文件”、“文件夹”、“扩展名”来分别通过排除程序文件本身或程序文件所在整个安装目录或程序文件特定扩展名来做例外，这样SEP的扫描引擎不会再对作了例外的文件或目录进行检查. 将程序文件用压缩软件压缩后再进行传输或存放.五、 安装SEP提示LUCOMS1.EXE、ALUSCH1.EXE应用程序错误解决方法：这是由于旧的Symantec LiveUpdate没有卸载干净，请在“控制面板-添加删除程序”里面进行卸载，如没有；请运行相应版本的专用卸载工具NoNav2.611.exe、CleanWipe.exe进行卸载。六、 如何卸载旧版本Symantec AntiVirus解决方法：点击“控制面板-添加删除程序”分别选择Symantec LiveUpdate、Symantec AntiVirus进行正常卸载。如添加删除程序不能正常卸载或没此内容选项，请使用CleanWipe_v3.0 客户端卸载工具卸载之前安装的程序(注:若提示需重启计算机，请一定要重启!)3手工检查是否还存在以下的目录文件夹，若有请删除.C:Program FilesSAV 或 C:Program FilesSymantecC:Program FilesCommon FilesSymantec SharedC:Documents and SettingsAll UsersApplication DataSymantec4手工检查是否还存在如下注册表中的残余项,若有请删除.(注意:在对注册表操作前请先对注册表进行备份！)1.打开注册表2.搜索下列字符串：VirusProtect6可能会找到此键的多个实例,请全部删除 例如: HKEY_LOCAL_MACHINESoftwareIntelLANDeskVirusProtect6 请将此项全部删除4.退出注册表七、 安装SEP时卸载旧版SAV出现无法定位Symantec Antivirus.msi文件位置路径导致无法安装回退问题：当安装SEP时卸载旧版SAV时出现无法定位Symantec Antivirus.msi文件路径，如下图：解决方法：这是因为机器做系统整理时将SAV安装临时文件清理了，只需要将旧版SAV安装文件拷贝至该机器的任一位置，然后将路径指向该位置上即可。八、 安装时提示某键值没有访问权限问题：安装SEP客户端时提示对以下键：“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce”没有访问权限，如下图：解决方法：右键打开“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce”该键，选择“权限”，发现该键值上没有任何用户，如下：没有用户当然也就没有权限访问！增加以下用户，并对用户赋权完全控制，如下图：九、 SEP安装时，进度条回滚解决方法：这是由于旧的Symantec AntiVirus 、LiveUpdate没有卸载干净，请在“控制面板-添加删除程序”里面进行卸载，如没有；请运行相应版本的专用卸载工具CleanWipe.exe进行卸载。1.使用操作系统的“删除或添加程序”(注:此卸载方式优先使用!)或CleanWipe_v3.0客户端卸载工具卸载之前安装的程序(注:若提示需重启计算机，请一定要重启!) 2.手工检查是否还存在以下的目录文件夹，若有请删除.C:Program FilesSAV 或C:ProgramFilesSymantec C:ProgramFilesCommonFilesSymantecShared C:DocumentsandSettingsAllUsersApplicationDataSymantec十、 某些计算机安装SEP时提示“检测到重新启动的挂起系统更改。请重新启动系统并重新运行安装”问题：某些计算机安装SEP时提示检测到重新启动的挂起系统更改。请重新启动系统并重新运行安装。如下图：解决方法：首先请用卸载工具将旧版本SAV卸载完整并重启计算机，很大程序上是由于此问题引起，如果仍未解决考虑用以下方法解决：SEPinstaller在安装过程进行前会做几项检查以确保SEP装入后不会造成与其他软件的冲突和系统的不稳定，其中的一项就是检查有没有任何的文件被设置为在下一次Windows重启后被移动、删除或重命名。在安装SEP时，先检查本机注册表的以下键值:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSessionManagerPendingFileRenameOperations，若其中有任何文件名存在，就会造成“检测到需要重新启动的挂起系统更改，请重新启动系统并重新运行安装”这个错误。只需将把注册表中的PendingFileRenameOperations项里的值都删除掉（注意：先对注册表进行备份!），然后即可正常地安装SEP。十一、 安装时报“文件名、目录名或卷标语法不正确”处理:可能是安装包的长文件名导致的，请将重新下载SEP客户端安装包，然后将文件名改短一点（小于8个字母），再尝试运行安装.若还不行，可用选中安装包，然后点右键，在弹出菜单中选择用WinRAR 解压后:直接运行解压出来的文件中的setup.exe 进行安装.十二、 安装时报“打开安装日志文件时发生错误。请确认指定的日志文件位置存在并且可写。”错误CAD之类软件安装，有时会莫名其妙弹出“打开安装日志文件时发生错误。请确认指定的日志文件位置存在并且可写。”这么一个提示框，使得OFFICE无法再次安装，而且有时重装系统后也不行。当时不明白OFFICE安装原理，不过稀里糊涂试出一个解决方法，现在回忆起来供大家参考并顺便都自嘲一下。其实碰到这种问题，最直接的方法是，不要去运行SETUP开始安装，而直接找到同一目录下的.MSI文件进行安装，就可以避过此问题。十三、 安装SEP后Word文档无法保存故障1.由于 SEP 安装在 Windows XP SP2 或者 SP3 上有两种工作模式，根据微软的推荐，SEP默认使用微软的 mini-filter 作为扫描文件的驱动，在某些情况下（多数由于用户使用了非微软的第三方分区或格式化），该驱动会导致 Word 保存时出错或者 Word 文件丢失。2.SEP 在低于 Windows XP SP2 或者 Windows 2000 的操作系统中默认使用 Symantec 的 legacy mode 驱动用以扫描文件，该驱动配合第三方的NTFS 格式的分区时，不会出现这个兼容性的问题。处理方法:法一: 由于不能保存Word 文档一般是发现在非系统盘中作保存时,故请按如下方式对其它盘区一一处理:1.在资源管理器中，右击磁盘(如: D:/) ，选中安全选项卡，检查并记下列出的所有用户及每一个用户的权限，同时也要记下高级选项卡中的相关权限项:(注:若无法看到安全选项卡,请在资源管理器-工具-文件夹选项-查看中取消简单文件共享选项).2. 将这些用户全部删除后，再重新添加进来，并分别赋给与之前相同的权限及特别权限.法二:在确认用户端出现同样问题的时候，通过兼容补丁(见附件:SrtspT.7z )转换工作模式到 legacy mode ，来解决这个问题： 详细使用方法如下；1. 使用WinRAR 解压附件中的 SrtspT.exe 文件到 SEP 客户端的 C:Program FilesCommon FilesSymantec SharedSRTSP下；2. 在 “开始” - “运行” 输入 CMD ，进入以上目录，输入以下命令 “srtspt.exe on”3. 重启计算机，观察问题是否解决；注意：如果需要在以后重新转换为 mini-filter 模式，可以使用 “srtspt.exe off” 回退到原先工作模式；mini-filter 和 legacy mode 只是工作模式的不同，在安全性上面没有区别；十四、 安装SEP时报“无效驱动器: I:” 错误处理: 在D盘或其它逻辑磁盘新建临时目录, 如:temp ,然后点“开始”“运行”,输入cmd 进入ms-dos, 在其中输入 subst I: D:temp , 使驱动器I与指定的temp目录路径关联,在“我的电脑”可以看到虚拟出来的 I 盘，然后再运行SEP客户端安装程序进行安装.成功安装后，输入subst I: /d ， 将虚拟磁盘删除即可.十五、 SEP客户端上运行 LiveUpdate更新时，出现错误：“LU1813：LiveUpdate 不能连接不正确的授权信息”问题处理原因：1.网络不通 2.操作系统自带防火墙或网络层面的防火墙未开放相关端口，如：7070、8014等等. 3.SEP 客户端的LiveUpdate组件出现损坏处理： 1. 确定SEP客户端与服务器的网络通信的正常Ping SEP服务器 IP Ping SEP更新服务器 IPTelnet SEP服务器IP 8014 Telnet SEP更新服务器IP 7070 2若有启用相关防火墙，请对 TCP 8014、7070 作端口例外.3将现有的 Liveupdate组件 从操作系统的“添加删除程序”中卸载，然后使用LUSETUP.exe (已经包含在SEP客户端安装程序中，可单独提取出来)对更新组件进行重新安装.十六、 增加虚拟内存提高系统运行速度对于某些机器内存在512M以下安装SEP后感觉系统运行缓慢的计算机，在硬盘空间足够情况下可适当加大系统虚拟内存大小，可提高部份运行速度。同时，必须保证C盘空余空间容量不得少于1G。十七、 SEP11使用哪些通信端口解决方法：端口号端口类型发起者监听进程说明：80TCP客户端svchost.exe (IIS)管理服务器与客户端和 Enforcer 之间的通信。443TCP客户端svchost.exe (IIS)管理服务器与客户端和 Enforcer 之间可选的安全 HTTPS 通信。1433TCP管