如何手动修复 Symantec AntiVirus 企业版 8 的病毒定义或恢复到早先的病毒定义

摘自: http://service1.symantec.com/SUP ... 8194fc?OpenDocument



(cjc注: 本文应该适用于8.0, 9.0, 10.0,  但11.0之后整个架构更换了，估计是不同了)




本文档翻译自英文文档。原英文文档可能在本翻译版发布后进行过修改更新。赛门铁克对本翻译文档的准确度不做保证。

情形
在运行 Symantec AntiVirus 企业版 (Symantec AV) 的计算机上更新了病毒定义，但现在出现以下一种或多种症状： - Symantec AntiVirus 服务无法启动。 - 事件日志中扫描忽略错误的数量大于正常情况。 想要了解如何恢复为早先的病毒定义集。

解释
修复损坏的病毒定义的最简便方法是下载并运行智能更新程序文件，该文件可在以下 URL 获得：
http://securityresponse.symantec ... pages/US-NAVCE.html

下载并运行 yyyymmdd-version-x86.exe 文件（yyyymmdd-version 表示定义文件的日期和版本）。

如果由于病毒定义的问题造成 Symantec AntiVirus 服务停止响应，则可能需要在运行智能更新程序后重新启动 Windows。

如果运行智能更新程序后问题仍然存在，则可以使用 Symantec 系统中心 (SSC) 恢复到早先的病毒定义。有关指导，请阅读文档：如何使用 Symantec 系统中心恢复为以前的定义集（英文）。

病毒定义的问题可能使 Symantec AV 无法与 SSC 通信。在这种情况下，必须手动恢复定义。

手动恢复定义

停止所有使用病毒定义的 Symantec 服务：

停止下列服务：
Defwatch
Symantec AntiVirus Server 服务（或 Symantec AntiVirus Client 服务）

注意：如果无法停止 Norton AntiVirus Server/Client，则禁用响应的服务并重新启动计算机。
导航到位于 <drive>:\Program Files\Common Files\Symantec Shared\VirusDefs 下的 Usage.dat 文件。
在文本编辑器（如 Notepad.exe）中打开 Usage.dat 文件。
查找 Qsadmin。如果该项存在，则停止 Symantec Central Quarantine、Symantec Quarantine Agent 和 Symantec Quarantine Scanner 服务。
如果还安装了其他 Symantec 产品，则可能需要停止与这些产品相关的服务后才可以删除文件夹。

删除最新的病毒定义文件夹：
打开 Windows 资源管理器，然后导航到文件夹 C:\Program Files\Common Files\Symantec Shared\VirusDefs。
确定以下文件夹和文件包含在 VirusDefs 文件夹中。如果缺少其中任何文件夹，请联系技术支持寻求帮助，并向我们提供信息以便跟踪此问题：
Incoming（文件夹）
BinHub（文件夹）
TextHub（文件夹）
Definfo.dat（文件）
Usage.dat（文件）
编号的病毒定义文件夹：两个或多个以日期作为其文件夹名称的子文件夹。例如，20021016.002 是包含 2002 年 10 月 16 日的病毒定义的文件夹。
删除最新的病毒定义文件夹。您可能需要删除多个病毒定义文件夹，但至少保留一个编号的病毒定义文件夹，这点十分重要。
确定保留的编号病毒定义文件夹的名称，例如：20021010.002。
在文本编辑器（如 Notepad.exe）中打开 Definfo.dat 文件。内容应如下所示：
[DefDates]
CurDefs=20021016.002
LastDefs=20021010.002
将 CurDefs 和 LastDefs 行的值更改为您在步骤 4 记下的文件夹名。例如：
[DefDates]
CurDefs=20021010.002
LastDefs=20021010.002
保存并关闭 Definfo.dat 文件。

删除 .XDB、.WDB 和 .VDB 文件和文件夹：
在 Symantec AV 服务器上，删除 .XDB 文件：
浏览到 Symantec AntiVirus 企业版的安装目录并确定具有 .XDB 扩展名的文件。按日期将文件排序，并删除或重命名任何日期晚于 C:\Program Files\Common Files\Symantec Shared\VirusDefs 下所保留的病毒定义文件夹的 .XDB 文件。
在 Symantec AV 客户端上，根据操作系统从相应的位置删除 .WDB 文件：
Windows 2000/XP 客户端
<Drive>:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus Corporate Edition\7.5

注意：在某些系统中，Application Data 文件夹是隐藏的。

Windows NT 4.0 客户端
<Drive>:\WinNT\Profiles\All Users\Application Data\Symantec\Norton AntiVirus Corporate Edition\7.5

Windows 95/98/Me 客户端
在 Windows 95/98/Me 客户端上，Grc.dat 被复制到 Symantec AntiVirus 的安装文件夹。其默认位置为：
<Drive>:\Program Files\Symantec_Client_Security\Symantec AntiVirus
除与 C:\Program Files\Common Files\Symantec Shared\VirusDefs 中保留的病毒定义文件夹相对应的 .VDB 文件之外，删除或重命名其他所有 .VDB 文件。要确定 .VDB 文件所引用的定义集，请参阅文档：如何解码 .VDB 和 .XDB 文件的命名规则（英文）。
确定文件夹 I2_LDVP.VDB。
删除 I2_LDVP.VDB 下的所有子文件夹，但不删除 I2_LDVP.VDB 文件夹本身。

重新启动所有使用病毒定义的 Symantec 服务
重新启动在标题为“停止所有使用病毒定义的 Symantec 服务”部分中停止的所有服务。如果可能，请重新启动计算机，而不是重新启动服务。

更新病毒定义
删除损坏的病毒定义文件后，就可以安全地使用智能更新程序更新为最新的定义：http://securityresponse.symantec ... pages/US-NAVCE.html

下载并运行 yyyymmdd-version-x86.exe 文件（yyyymmdd-version 表示定义文件的日期和版本）。

注意：如果恢复定义是为了解决假阳性检测或与其他软件的冲突等问题，在下载和运行智能更新程序之前请与 Symantec 技术支持联系以确认问题是否已经得到解决。

以下适用于诺顿企业版 9.0, 10.0, 不适用于11.0

今天发现有相当一部分诺顿客户端电脑病毒定义码不更新, 在诺顿控制中心能看到客户端的登录，但进行强制更新后，客户端还是旧的日期。

以前遇到这样不更新的问题都通过重装客户端的方法解决，今天试了一下把能成功更新病毒定义码的电脑上的数据拷贝到失败的电脑上，果然凑效。

1. 把更新正常的电脑的病毒定义码目录设成共享，位置是：
C:\Program Files\Common Files\Symantec Shared\VirusDefs\

2. 在有问题的电脑上，通过网络共享打开 上面的共享目录

3. 停止诺顿的2个系统服务，名字分别是（WinNT4下服务名字不同）：
Symantec AntiVirus
Symantec AntiVirus Definition Watcher

3. 共享目录下，把最新以日期命令的目录名，以及 definfo.dat, usage.dat 一起拷贝到本机的以下目录，覆盖原文件.
C:\Program Files\Common Files\Symantec Shared\VirusDefs\

4. 重新启动刚才停止的2个服务
Symantec AntiVirus
Symantec AntiVirus Definition Watcher

5. 再打开诺顿进行检查，看到已经是最新的病毒定义码了。

为了省事，我把停止，开启诺顿的服务，以及打开本机诺顿的病毒码目录做成了批处理，以节省操作的时间。