SAV客户端的病毒定义不更新等问题解决方案含脚本

1、SAV客户端的病毒定义没有更新工作站装成为不接受管理：从服务器拷贝GRC.DAT文件、证书文件，把工作站改为接受管理IP通讯或物理连接问题还没有到达更新的时间间隔：到达SSC设置的时间间隔自动更新工作站的父服务器没有更新在SSC中检查工作站的父服务器的更新设置，改正不正确的设置关于Symantec客户端不能更新病毒定义问题的具体检查和处理办法：在安装Symantec Antivirus 10.0版本以后，发现有部分机器存在病毒库升级不及时或不能升级的问题，首先在确定网络接通的情况下，我们需要进一步确认问题在哪里。首先检查防病毒父服务器的病毒定义是否正常，是否已升级到最新。（这一步必须做）。如果

2、正常则继续做第2步，否则先检查防病毒父服务器的病毒定义更新配置是否被改变了，或者服务是否在正常运行。在windows控制面板-计算机管理器中检查客户端sav服务是否在运行；检查SAV客户端界面中“查看”“自动防护状态”，右边的文件检查数量是否有显示，有显示则正常；通过任务管理器检查Symantec AntiVirus进程ccApp.exe、Rtvscan.exe是否在运行，如果有问题，且重启动后还是这样，请卸载SAV客户端软件，重新启动操作系统后再重新安装SAV客户端软件。如果是windows XP sp2操作系统，请在微软的防火墙上加两个端口例外策略，tcp2967（Symantec Ant

3、ivirus10以上版本）udp2967（Symantec Antivirus 10.0以下版本），再加一个应用程序例外策略：Ravscan.exe。在客户端命令行下，输入cdprogram filessymantec antivirus回车，输入savroam /check_parent回车，检查客户端跟服务器之间联系是否正常。如果返回正常（显示连接状态是“fine”），而客户端又不能更新，那只能一种可能性，就是客户端的病毒库损坏，需要下载一个客户端的病毒库更新程序，在客户端手动更新一下就可以了。下载地址：/pages/US-SAVCE.html下载*_x86.exe文件，双击运行就可以了。

4、如果返回信息不正常，首先ping一下防病毒服务器的名字，看能否正常解析主机名。如果不行，请查看DNS设置是否正常。如果ping通了，请检查c:program filessymantec antiviruspkiroots目录下面是否有服务器证书文件。如果没有请把防病毒服务器上c:program filesSAVpkiroots(或者 父服务器IPvphomeclt-instwin32pkiroots)目录下面的全部文件拷贝到客户端的c:program filessymantec antiviruspkiroots目录下面；再从c:program filesSAV (或者 父服务器IPvphom

5、eclt-instwin32 )拷贝GRC.DAT文件到客户端以下位置：C:Documents and SettingsAll UsersApplication DataSymantecSymantec AntiVirus Corporate Edition7.5重启客户端“symantec antivirus” 这个服务或重起动电脑(grc.dat文件将消失)。（注意选对客户端所在地区使用的sav服务器的grc.dat文件）通过上面的设置检查，应该可以保证客户端正常更新病毒库。下面提供一个脚本解决这些复制根证书和grc.dat的问题，如有必要的话还可以同时修改客户端hosts文件。请将下面脚

6、本内容部分复制到一个文本文件中，改名为savfix.cmd 。客户端更新有问题时也可以在客户端执行一下即可；当然也可以通过域登录脚本来大批量分发。注意，使用时请根据实际情况添加修改文件路径，以保证copy命令执行时能找到相应的文件。这个脚本里映射了一个临时盘符S:，以方便操作，重启动后将不会再重复连接。假定文件服务器IP为.10，主机名为fileserver1；假定SAV防病毒服务器IP为.11，主机名为savserver1；注意，如果有多台sav服务器，请注意给每台sav服务器管理的客户端使用相对应的服务器参数、grc.dat和pki证书，不能混用。将sav服务器根证书和grc.dat从防病

7、毒服务器上复制到10.10.10.10的共享文件夹share中。根证书名字假定是35a527e70ea06044b32c。脚本内容如下：net use S: share /PERSISTENT: NOS：md %ProgramFiles%Symantec AntiViruspkirootscopy /y 35a527e70ea06044b32c %ProgramFiles%Symantec AntiViruspkirootscopy /y grc.dat %allusersprofile%Application DataSymantecSymantec AntiVirus Corporate

8、Edition7.5REM echo .11 savserver1%windir%system32driversetchostsDel /F/Q %allusersprofile%Application DataSymantecSymantec AntiVirus Corporate Edition7.5*.wdbDel /F/Q %allusersprofile%Application DataSymantecSymantec AntiVirus Corporate Edition7.5*.idxnet stop symantec antivirusnet start symantec an

9、tivirus说明：35a527e70ea06044b32c请用实际环境中使用的证书文件名替代。如果客户端不能使用DNS、WINS来解析服务器名称，则需要修改hosts文件，将客户端的sav父服务器记录添加进去。 那麽请删除前面的“REM” ，.11 savserver1请用实际环境中使用的服务器IP和主机名替代（注意中间有一个空格）。还有一种比较特殊的情况，SAV10.1.6.6000及以下版本产品设计上有bug，在更新病毒定义时可能会随机发生错误，可能会导致病毒定义或扫描引擎不正常。需要修复病毒定义，并打补丁SAVCE，或者卸载重装后再打补丁。SAV客户端扫描引擎显示不正常，估计是病毒定义

10、有问题。此问题现已确认是产品的一个bug，SAV10.x产品的“自动病毒定义修复功能”有设计缺陷，可能会发生随机错误，导致病毒定义下载后不能正常替换，导致病毒定义更新失败，扫描引擎不能正常工作。需要修复病毒定义,并安装SAV.6010补丁，或卸载后重新安装SAV（也必须打补丁）。病毒定义修复工具和补丁下载位置参见下面的说明。除引擎显示不正常的外，还有5台客户端超过15天未正常更新，应该需要修复病毒定义，或卸载重新安装SAV。不正常的客户端列表见附录。病毒定义修复工具可以在以下网页上下载：请使用下面的帐号访问下面的链接，下载Rx4Defs_Clients.exe 在病毒定义或扫描引擎显示不正常的

11、电脑上执行一下，修复病毒定义。然后重起动系统，再观察一下客户端是否正常更新。 (注意，这个文件只用于SAV客户端,如果防病毒服务器需要修复病毒定义，则需要下载Rx4Defs_Servers.exe )username: toolsPassword: Symantec123 工具软件名称： Rx4Defs_Clients.exe 只用于客户端 Rx4Defs_Servers.exe 只用于服务器SAV补丁可以在以下网页上下载： 为预防再次出现扫描引擎不正常，可以从以下网址下载补丁SAVCE_.6010_AllWin_CS.zip ，给父服务器和出问题的客户端安装升级一下：/products/sy

12、mantec_antivirus/symantec_antivirus_corp/10.1/updates/由于一种比较特殊的情况，SAV.6000及以下版本是好几年前的产品了，产品设计上有bug，与现在使用的病毒定义配合上存在问题，在更新病毒定义时可能会随机发生错误，可能会导致病毒定义或扫描引擎不正常。其现象是，在客户端Documents and SettingsAll UsersApplication DataSymantecSymantec AntiVirus Corporate Edition7.5下会发现有几个扩展名为.wdb或.idx的临时文件（正常情况下应该在升级定义的过程结束后应该会自动删除），这些临时文件积累到一定数量后就不能再更新定义了；在客户端或者在SSC管理控制台上会发现这种客户端的扫描引擎版本显示是空的。 这问题需要修复病毒定义，并打一个sav的补丁来解决。sav打补丁，sav10.1.6打SAVCE_10.1.6010，或者卸载已经损坏的产品，重新安装后再打补丁（可能需要先手工删除那些扩展名为.wdb或.idx的文件）