Video Screencast Help

recurrent Silly FDC detection

Created: 26 Oct 2012 | 5 comments

Hello all,

For the last 3 months I have recurrent detections of Suspicious Silly FDC with Symantec Auto protect. Symantec says that it quarantined them, and also I followed the protocol given on the website of Symantec to get rid of these trojans. They advice to run a full scan after desabling system restore. I did it more than a couple of times and still the detection of attacks comes back. Interestingly, it comes only on the second day after I turned my computer on.

Is there someone who can help me? I really worry it can harm my labtop one day, and it also takes a lot of memory from my computer when it is detecting the trojans.

Thank you very much in advance

 

PS: below is a sample of the report (it is in french), and I attached the complete report

 

Nom de fichier Risque Action Type de risque Emplacement d'origine Ordinateur Utilisateur Etat Emplacement actuel Action principale Action secondaire Consigné par Description de l'action Date et heure
DWH5414.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 13/10/2012 19:16
DWH67E2.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 13/10/2012 19:16
DWH6BE7.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 13/10/2012 19:16
DWH7B81.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 13/10/2012 19:16
DWH8744.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 13/10/2012 19:16
DWH8F20.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 13/10/2012 19:16
DWH970C.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 13/10/2012 19:16
DWHA2BF.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 13/10/2012 19:16
DWHAA9C.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 13/10/2012 19:16
DWHB268.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 13/10/2012 19:16
DWHBA45.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 13/10/2012 19:16
DWHC608.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 13/10/2012 19:16
DWH3439.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 15/10/2012 11:01
DWH5FBC.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 15/10/2012 11:01
DWH6788.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 15/10/2012 11:02
DWH734B.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 15/10/2012 11:02
Nom de fichier Risque Action Type de risque Emplacement d'origine Ordinateur Utilisateur Etat Emplacement actuel Action principale Action secondaire Consigné par Description de l'action Date et heure
DWH5414.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 13/10/2012 19:16
DWH67E2.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 13/10/2012 19:16
DWH6BE7.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 13/10/2012 19:16
DWH7B81.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 13/10/2012 19:16
DWH8744.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 13/10/2012 19:16
DWH8F20.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 13/10/2012 19:16
DWH970C.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 13/10/2012 19:16
DWHA2BF.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 13/10/2012 19:16
DWHAA9C.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 13/10/2012 19:16
DWHB268.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 13/10/2012 19:16
DWHBA45.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 13/10/2012 19:16
DWHC608.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 13/10/2012 19:16
DWH3439.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 15/10/2012 11:01
DWH5FBC.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 15/10/2012 11:01
DWH6788.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 15/10/2012 11:02
DWH734B.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 15/10/2012 11:02

 

Comments 5 CommentsJump to latest comment

pete_4u2002's picture

what is the sep version? can you use the latest sep version?

Based on the severity of the detections, there are some known workarounds that should resolve the issue. These are listed in order of preference:

  1. Disable rescanning of the local quarantine upon receipt of new virus definitions.
    1. Open the Antivirus and Antispyware policy > Windows Settings > Quarantine > General

    2. Under "When New Virus Definitions Arrive" choose Do nothing".
      In SEP 12.1 versions, this policy will be called Virus and Spyware Protection and Quarantine will be under Advanced Options.

check this link

http://www.symantec.com/docs/TECH102953

Chetan Savade's picture

Hi,

Please go through the following articles.
 
DWH***.tmp files are detected in the user profile temp directory
 
 
When new virus definitions are in place and the quarantine is being scanned, a DWH file is created and detected by Auto-Protect
 
 
How to Manage Quarantined files.
These detections do not indicate a new outbreak of a threat.  The .tmp files are created by the Symantec Endpoint Protection (SEP) or Symantec AntiVirus (SAV) Quarantine scan. The scan is normally initiated by a virus definition update.
 
There are also several known methods to work around the issue:
 
The quarantine scan on virus definition update can be disabled in the  Symantec Endpoint Protection Manager (SEPM): edit Antivirus and Antispyware policy > Windows Settings > Quarantine > General, under "When New Virus Definitions Arrive" choose "Do nothing".
Items in quarantine can be deleted.
If the indexing service is enabled it could be triggering the issue when the dwh***.tmp files are indexed.
Investigate other applications that are scanning the temp file for changes.
This issue is seen with few latest version of SEP i.e RU7 MP2
 
Check following article for more details.
 
https://www-secure.symantec.com/connect/forums/dwh...
 
Upgrade to the latest SEP version can be one of the possible solution.
 
 
I hope it helps.
 

Chetan Savade
Technical Support Engineer, Endpoint Security
Enterprise Technical Support
CCNA | CCNP | MCSE | SCTS |

Don't forget to mark your thread as 'SOLVED' with the answer that best helps you.<

Pompon's picture

Hi all,

yes, it makes sens that SEP is scaning the same virus defintion several times. 

I will delete quarantine and see the results.

Unfortunately, I am not sure I can update the version, I asked the serial number to the informatician of the building.

 

Thank you very much to all

Julien.

Ashish-Sharma's picture

HI,

What sep version are you using ?

Check this comments..

sumitgupta786

Have you seen these file with the name of dwh*.tmp

If the file is with this name then read the below link

This issue  is fixed in RU7MP2 ..

http://www.symantec.com/business/support/index?page=content&id=TECH92399&locale=en_US

This build's version is: 11.0.7200.1147.

Release notes for Endpoint Protection and Network Access Control 11

Check this thread

https://www-secure.symantec.com/connect/forums/virus-name-trojangen

 

 

Thanks In Advance

Ashish Sharma

 

 

Mithun Sanghavi's picture

Hello,

This is a known issue with the older versions of Symantec Endpoint Protection version 11.x

Incase, if you are carrying an older version of SEP, it would be adviced to install the Latest version of SEP 11.0.7200 OR Migrate to the SEP 12.1.1000

Check this:

DWH***.tmp files are detected in the user profile temp directory

http://www.symantec.com/docs/TECH92399

When new virus definitions are in place and the quarantine is being scanned, a DWH file is created and detected by Auto-Protect

http://www.symantec.com/docs/TECH102953

Check these Threads: 

https://www-secure.symantec.com/connect/forums/unable-fully-remove-trojangen2-sep

https://www-secure.symantec.com/connect/forums/trojangen2

https://www-secure.symantec.com/connect/forums/generic-trojan-dwhtmp-temp-folder

Secondly, The issue is fixed in the RU6 MP1, upgrade the client to RU6 MP1 and let know if it solves your problem

DWHxxxx.tmp files are scanned and re-detected when new definitions arrive or during a scheduled scan

Fix ID: 1925607

Symptom: DWHxxxx.tmp files are scanned and re-detected when new definitions arrive or during a scheduled scan.

Solution: After extracting a quarantined item to a temp file, the file is deleted immediately after it is processed.

http://www.symantec.com/business/support/index?page=content&id=TECH103087&locale=en_US

Hope that helps!!

Mithun Sanghavi
Senior Consultant
MIM | MCSA | MCTS | STS | SSE | SSE+ | ITIL v3

Don't forget to mark your thread as 'SOLVED' with the answer that best helped you.