scanactvm
OfficeScan 執行的中毒處理行動視病毒/惡意程式種類和偵測到病毒/惡意程式的掃瞄類型而定。例如,當 OfficeScan 在手動掃瞄(掃瞄類型)過程中偵測到特洛伊木馬程式(病毒/惡意程式類型)時,會清除(中毒處理行動)中毒的檔案。
如需不同病毒/惡意程式類型的詳細資訊,請參閱病毒和惡意程式。
下列是 OfficeScan 可針對病毒/惡意程式執行的處理行動:
|
處理行動 |
說明 |
|
OfficeScan 會刪除中毒的檔案。 |
|
|
OfficeScan 會重新命名中毒的檔案,再將這些檔案移至用戶端電腦上位於 <用戶端安裝資料夾>\Suspect 下的暫時隔離目錄。 然後,OfficeScan 用戶端會將已隔離的檔案傳送到指定的隔離目錄。如需詳細資訊,請參閱隔離目錄。 預設隔離目錄在 OfficeScan 伺服器上的<伺服器安裝資料夾>\PCCSRV\Virus 下。OfficeScan 會加密傳送至此目錄的隔離檔案。 如果您需要恢復任何已隔離的檔案,請使用 VSEncrypt 工具。如需使用此工具的詳細資訊,請參閱 Server Tuner。 |
|
|
OfficeScan 會先清除中毒的檔案,才允許完整存取該檔案。 如果無法清除檔案,OfficeScan 會執行第二個中毒處理行動,可能是下列其中一個中毒處理行動:隔離、刪除、重新命名與暫不處理。如果要設定第二個中毒處理行動,請移至「用戶端電腦│用戶端管理│設定│{掃瞄類型}│中毒處理行動」標籤。 系統可對所有類型惡意程式(但不包括可能的病毒/惡意程式)執行此處理行動。 |
|
|
OfficeScan 會將中毒檔案的副檔名變更為「vir」。使用者一開始無法開啟重新命名的檔案,但是如果使檔案與特定的應用程式產生關聯,就可以開啟該檔案。 開啟重新命名的中毒檔案時,可能會執行病毒/惡意程式。 |
|
|
OfficeScan 只有在「手動掃瞄」、「預約掃瞄」和「立即掃瞄」過程中偵測到任何類型的病毒時,才可以使用此中毒處理行動。OfficeScan 在即時掃瞄過程中無法使用此中毒處理行動,因為在偵測到嘗試開啟或執行中毒的檔案時,若未執行任何中毒處理行動,則會允許執行病毒/惡意程式。「即時掃瞄」過程中可以使用其他所有的中毒處理行動。 |
|
|
此中毒處理行動只能在「即時掃瞄」過程中執行。當 OfficeScan 偵測到嘗試開啟或執行中毒的檔案時,會立即阻止該操作。 使用者可以手動刪除中毒的檔案。 |
不同類型的病毒/惡意程式需要不同的中毒處理行動。自訂中毒處理行動需要有病毒/惡意程式的知識,並且可能會是冗長而乏味的工作。OfficeScan 會使用「主動式處理行動」來對抗這些問題。
「主動式處理行動」是一套預先設定的中毒處理行動,可以處理病毒/惡意程式。如果您不熟悉中毒處理行動,或是不確定何種中毒處理行動適合那一種特定的病毒/惡意程式,趨勢科技建議您使用「主動式處理行動」。
使用「主動式處理行動」具有以下優點:
「主動式處理行動」會使用趨勢科技建議的中毒處理行動。您不需要耗費時間來設定中毒處理行動。
病毒撰寫者會不斷變更病毒/惡意程式攻擊電腦的方式。更新「主動式處理行動」設定以抵禦最新威脅和最新的病毒/惡意程式攻擊方法。
進行間諜程式/可能的資安威脅程式掃瞄時,無法使用主動式處理行動。
下表說明「主動式處理行動」處理每種類型病毒/惡意程式的方式:
|
趨勢科技建議的病毒/惡意程式 |
|
病毒/ |
即時掃瞄 |
手動掃瞄/預約掃瞄/立即掃瞄 |
||
|
|
第一個中毒處理行動 |
第二個中毒處理行動 |
第一個中毒處理行動 |
第二個中毒處理行動 |
|
惡作劇程式 |
隔離 |
刪除 |
隔離 |
刪除 |
|
特洛伊木馬程式 |
隔離 |
刪除 |
隔離 |
刪除 |
|
病毒 |
清除 |
隔離 |
清除 |
隔離 |
|
測試病毒 |
拒絕存取 |
無 |
暫不處理 |
無 |
|
封裝程式 |
隔離 |
無 |
隔離 |
無 |
|
其他 |
清除 |
隔離 |
清除 |
隔離 |
|
可能的病毒/惡意程式 |
拒絕存取或使用者設定的處理行動 |
無 |
暫不處理或使用者設定的處理行動 |
無 |
對於可能的病毒/惡意程式,即時掃瞄期間的預設處理行動是「拒絕存取」,而手動掃瞄、預約掃瞄和立即掃瞄期間的預設處理行動是「暫不處理」。如果這些不是您的偏好處理行動,可以將其變更為「隔離」、「刪除」或「重新命名」。
如果您要對可能的病毒/惡意程式以外的所有病毒/惡意程式類型執行相同的處理行動,請選取此選項。若您選擇「清除」做為第一個處理行動,請選取清除不成功時 OfficeScan 所要執行的第二個處理行動。如果第一個處理行動不是「清除」,則無法設定第二個處理行動。
如果選擇「清除」作為第一項處理行動,則 OfficeScan 在偵測到可能的病毒/惡意程式時會執行第二項處理行動。
針對每一種病毒/惡意程式類型手動選取中毒處理行動。
對於可能的病毒/惡意程式以外的全部病毒/惡意程式類型,所有中毒處理行動均可用。若您選擇「清除」做為第一個處理行動,請選取清除不成功時 OfficeScan 所要執行的第二個處理行動。如果第一個處理行動不是「清除」,則無法設定第二個處理行動。
對於可能的病毒/惡意程式,「清除」以外的所有中毒處理行動均可用。
如果中毒檔案的處理行動為「隔離」,OfficeScan 用戶端即會加密該檔案,並將其移至 <伺服器安裝資料夾>\SUSPECT 下的暫時隔離資料夾,然後將檔案傳送至指定的隔離目錄。
您可以在日後需要存取加密的隔離檔案時加以恢復。如需詳細資訊,請參閱還原加密檔案。
接受位於 OfficeScan 伺服器電腦上的預設隔離目錄。此目錄採用 URL 格式,並且包含伺服器的主機名稱或 IP 位址。
如果伺服器同時管理 IPv4 和 IPv6 用戶端,則使用主機名稱,以便全部用戶端都可以將隔離檔案傳送到該伺服器。
如果伺服器只具有 IPv4 位址,或只透過其 IPv4 位址進行識別,則只有單純 IPv4 和雙堆疊用戶端可以將隔離檔案傳送到該伺服器。
如果伺服器只具有 IPv6 位址,或只透過其 IPv6 位址進行識別,則只有單純 IPv6 和雙堆疊用戶端可以將隔離檔案傳送到該伺服器。
您也可以輸入 URL、UNC 路徑或絕對檔案路徑格式的位置來指定替代的隔離目錄。用戶端應該可以連線到此替代目錄。例如,如果替代目錄將接收來自雙堆疊用戶端和單純 IPv6 用戶端的隔離檔案,此目錄應具有 IPv6 位址。趨勢科技建議指定雙堆疊替代目錄、透過其主機名稱識別目錄並在輸入目錄時使用 UNC 路徑。
如需何時應使用 URL、UNC 路徑或絕對檔案路徑的相關指引,請參閱下表:
|
隔離目錄 |
|
隔離目錄 |
接受的格式 |
範例 |
注意 |
|
OfficeScan Server 電腦上的目錄 |
URL |
http:// |
這是預設的目錄。 進行此目錄的設定,如隔離資料夾的大小等。如需詳細資訊,請參閱隔離區管理員。 |
|
UNC 路徑 |
\\<osceserver>\ |
||
|
其他 OfficeScan Server 電腦上的目錄(若您在網路上有其他 OfficeScan Server) |
URL
|
http://
|
確定用戶端可連線到此目錄。如果您指定不正確的目錄,OfficeScan 用戶端會將已隔離的檔案保留在 SUSPECT 資料夾中,直到指定正確的隔離目錄為止。在伺服器的病毒/惡意程式記錄檔中,掃瞄結果為「無法將隔離檔案傳送到指定的隔離資料夾」。 如果您使用 UNC 路徑,請確定是否可讓「Everyone」群組共享隔離目錄資料夾,並指定讀取和寫入權限給這個群組。 |
|
UNC 路徑 |
\\<osceserver2>\ |
||
|
網路上的另一部電腦 |
UNC 路徑 |
\\<computer_ |
|
|
用戶端電腦上的其他目錄 |
絕對路徑 |
C:\temp |
如果 OfficeScan 設定為清除中毒的檔案,它將會先備份檔案。這可讓您在日後需要檔案時加以恢復。OfficeScan 會加密備份檔案以防止他人開啟,然後將檔案儲存在 <用戶端安裝資料夾>\Backup 資料夾中。
如果要恢復加密的備份檔案,請參閱還原加密檔案。
損害清除及復原服務會清除電腦上的 File-based 和網路病毒,以及殘存病毒和蠕蟲(特洛伊木馬程式、登錄項目、病毒檔案)。
用戶端會在病毒/惡意程式掃瞄之前或之後觸發損害清除及復原服務,具體取決於掃瞄類型。
當手動掃瞄、預約掃瞄或立即掃瞄執行時,用戶端會先觸發損害清除及復原服務,然後繼續執行病毒/惡意程式掃瞄。在病毒/惡意程式掃瞄期間,如果需要進行清除,用戶端可能會再次觸發損害清除及復原服務。
在即時掃瞄期間,如果需要進行清除,用戶端會先執行病毒/惡意程式掃瞄,然後觸發損害清除及復原服務。
您可以選取損害清除及復原服務執行的清除類型:
標準清除:用戶端會在標準清除期間執行下列任何的處理行動:
偵測並移除活動的特洛伊木馬程式
終結特洛伊木馬程式所建立的處理程序
修復特洛伊木馬程式修改的系統檔案
刪除特洛伊木馬程式遺留的檔案和應用程式
進階清除:除了標準清除處理行動外,用戶端還會遏止詐欺安全軟體(亦稱為 FakeAV)的活動。用戶端也會使用進階清除規則來主動偵測並停止出現 FakeAV 行為的應用程式。
提供主動式安全防護的同時,進階清除也會導致大量誤報。
損害清除及復原服務不會對可能的病毒/惡意程式執行清除,除非選取「偵測到可能的病毒/惡意程式時執行清除」選項。只有對可能的病毒/惡意程式的處理行動不是「暫不處理」也不是「拒絕存取」時,才能選取該選項。例如,如果用戶端在即時掃瞄期間偵測到可能的病毒/惡意程式,且處理行動為「隔離」,則用戶端會先隔離中毒檔案,然後根據需要執行清除。清除類型(標準或進階)取決於您的選擇。
OfficeScan 若在「即時掃瞄」與「預約掃瞄」期間偵測到病毒/惡意程式,它會顯示通知訊息,讓使用者得知偵測的相關資訊。
如果要修改通知訊息,請移至「通知|用戶端使用者通知|病毒/惡意程式」標籤。
OfficeScan 若在「即時掃瞄」與「預約掃瞄」期間偵測到可能的病毒/惡意程式,它會顯示通知訊息,讓使用者得知偵測的相關資訊。
如果要修改通知訊息,請移至「通知|用戶端使用者通知|病毒/惡意程式」標籤。
請參閱: