SAV客户端的病毒定义没有更新的处理步骤

SAV客户端的病毒定义没有更新 · 工作站装成为不接受管理： · 从服务器拷贝GRC.DAT文件、证文件，把工作站改为接受管理 · IP通讯或物理连接问题 · 还没有到达更新的时间间隔： · 到达SSC设置的时间间隔自动更新 · 工作站的父服务器没有更新 · 在SSC中检查工作站的父服务器的更新设置，改正不正确的设置 · 产品bug引起的，需要修复 关于Symantec客户端不能更新病毒定义问题的具体解决办法： 在安装Symantec Antivirus 10.0版本以后，发现有部分机器存在病毒库升级不及时或不能升级的问题，首先在确定网络接通的情况下，我们需要进一步确认问题在哪里。 1． 首先检查防病毒父服务器的病毒定义是否正常，是否已升级到最新。（这一步必须做）。如果正常则继续做第2步，否则先检查防病毒父服务器的病毒定义更新配置是否被改变了，或者服务是否在正常运行。 2． 在windows控制面板->计算机管理器中检查客户端sav几个“服务”是否在运行； 检查SAV客户端界面中“查看”—〉“自动防护状态”，右边的文件检查数量是否有显示，有显示则基本可以认为运行状态是正常的； 通过任务管理器检查Symantec AntiVirus进程ccApp.exe、Rtvscan.exe是否在运行，如果有问题，且重启动后还是这样，请卸载SAV客户端软件，重新启动操作系统后再重新安装SAV客户端软件。 3． 如果客户端有防火墙，请在防火墙上加两个端口例外策略，tcp2967（Symantec Antivirus10以上版本）udp2967（Symantec Antivirus 10.0以下版本），再加一个应用程序例外策略：Ravscan.exe。 4． 在客户端命令行下，输入cd\program files\symantec antivirus回车，输入savroam /check_parent回车，检查客户端跟服务器之间联系是否正常。 5． 如果返回正常（显示连接状态是“fine”），而客户端又不能更新，那只能一种可能性，就是客户端的病毒库损坏，需要下载一个客户端的病毒库更新程序，在客户端手动更新一下就可以了。下载地址：http://securityresponse.symantec.com/avcenter/download/pages/US-SAVCE.html下载*_x86.exe文件，双击运行就可以了。 如果返回信息不正常，首先ping一下防病毒服务器的名字，看能否正常解析主机名。如果不行，请查看DNS设置是否正常。如果ping通了，请检查c:\program files\symantec antivirus\pki\roots目录下面是否有服务器证书文件，如果没有请把防病毒服务器上c:\program files\SAV\pki\roots目录下面的全部文件拷贝到客户端的c:\program files\symantec antivirus\pki\roots目录下面；再从c:\program files\SAV\ 或者 \\[父服务器IP]\vphome\clt-inst\win32\ 拷贝GRC.DAT文件到客户端以下位置： C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5 重启客户端“symantec antivirus”这个服务或重起动电脑(grc.dat文件将消失)。 （注意选对客户端所在地区使用的服务器的grc.dat文件） 通过上面的设置检查，应该可以保证客户端正常更新病毒库。 6． 下面提供一个脚本解决这些复制根证书和grc.dat的问题，需要的话可以同时修改客户端hosts文件。请将蓝色字体部分复制到一个文本文件中，改名为savfix.cmd 。客户端有问题时就在客户端执行一下。也可以通过域登录脚本来大批量分发。注意，这个脚本里没有给文件加绝对路径，使用时请根据实际情况添加，以保证copy命令执行时能找到相应的文件。 md "%ProgramFiles%\Symantec AntiVirus\pki\roots" copy /y "35a527e70ea06044b32c5e91e386e087.0.servergroupca.cer" "%ProgramFiles%\Symantec AntiVirus\pki\roots" copy /y "grc.dat" "%allusersprofile%\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5 REM echo 10.151.16.165 jmhsav01>>%windir%\system32\drivers\etc\hosts net stop "symantec antivirus" net start "symantec antivirus" 说明： 35a527e70ea06044b32c5e91e386e087.0.servergroupca.cer请用实际环境中使用的证书文件名替代。 如果需要修改hosts文件，请删除前面的REM ，10.151.16.165 jmhsav01请用实际环境中使用的服务器IP和主机名替代（注意中间有一个空格）。 7． 还有一种比较特殊的情况，SAV10.1.5及以下版本产品上有bug，在更新病毒定义时可能会随机发生错误，导致病毒定义或扫描引擎不正常。特征是，在隐藏文件夹“C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5”下会发现很多扩展名为.wdb和.idx的文件存在。 如果可能的话请尽量升级到sav10.1.7或以后版本，以防止问题再次出现。 一般解决办法是，可以尝试停止sav的服务：“Symantec AntiVirus”和“Symantec AntiVirus Definition Watcher”，然后手工删除.wdb和.idx的文件；重新启动sav的服务：“Symantec AntiVirus”和“Symantec AntiVirus Definition Watcher” 。 或者用修复工具“Rx4Defs2.240.exe”修复病毒定义，并安装补丁Savce_10.1.5.5010.msp（SAVCE_10.1.5.5010_AllWin_CS_Unlicensed.zip），以防止问题再次出现； 或者卸载重新安装sav客户端后再打上补丁。 如果上述步骤仍不能解决问题，请联系Symantec技术支持（800-810-3992，需要用户提供产品许可证序列号）寻求进一步支持。