Endpoint Protection

 View Only

  • 1.  recurrent Silly FDC detection

    Posted Oct 26, 2012 05:02 AM
      |   view attached

    Hello all,

    For the last 3 months I have recurrent detections of Suspicious Silly FDC with Symantec Auto protect. Symantec says that it quarantined them, and also I followed the protocol given on the website of Symantec to get rid of these trojans. They advice to run a full scan after desabling system restore. I did it more than a couple of times and still the detection of attacks comes back. Interestingly, it comes only on the second day after I turned my computer on.

    Is there someone who can help me? I really worry it can harm my labtop one day, and it also takes a lot of memory from my computer when it is detecting the trojans.

    Thank you very much in advance

     

    PS: below is a sample of the report (it is in french), and I attached the complete report

     

    Nom de fichier Risque Action Type de risque Emplacement d'origine Ordinateur Utilisateur Etat Emplacement actuel Action principale Action secondaire Consigné par Description de l'action Date et heure
    DWH5414.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 13/10/2012 19:16
    DWH67E2.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 13/10/2012 19:16
    DWH6BE7.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 13/10/2012 19:16
    DWH7B81.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 13/10/2012 19:16
    DWH8744.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 13/10/2012 19:16
    DWH8F20.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 13/10/2012 19:16
    DWH970C.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 13/10/2012 19:16
    DWHA2BF.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 13/10/2012 19:16
    DWHAA9C.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 13/10/2012 19:16
    DWHB268.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 13/10/2012 19:16
    DWHBA45.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 13/10/2012 19:16
    DWHC608.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 13/10/2012 19:16
    DWH3439.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 15/10/2012 11:01
    DWH5FBC.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 15/10/2012 11:01
    DWH6788.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 15/10/2012 11:02
    DWH734B.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 15/10/2012 11:02
    Nom de fichier Risque Action Type de risque Emplacement d'origine Ordinateur Utilisateur Etat Emplacement actuel Action principale Action secondaire Consigné par Description de l'action Date et heure
    DWH5414.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 13/10/2012 19:16
    DWH67E2.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 13/10/2012 19:16
    DWH6BE7.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 13/10/2012 19:16
    DWH7B81.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 13/10/2012 19:16
    DWH8744.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 13/10/2012 19:16
    DWH8F20.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 13/10/2012 19:16
    DWH970C.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 13/10/2012 19:16
    DWHA2BF.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 13/10/2012 19:16
    DWHAA9C.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 13/10/2012 19:16
    DWHB268.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 13/10/2012 19:16
    DWHBA45.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 13/10/2012 19:16
    DWHC608.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 13/10/2012 19:16
    DWH3439.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 15/10/2012 11:01
    DWH5FBC.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 15/10/2012 11:01
    DWH6788.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 15/10/2012 11:02
    DWH734B.tmp Suspicious.SillyFDC Mis en quarantaine Heuristiques C:\Users\Julien IBMC\AppData\Local\Temp\ RIDI_130_JULIEN SYSTEM Infectés Quarantaine Nettoyer le risque de sécurité Quarantaine Analyse Auto-Protect Le fichier a été mis en quarantaine. 15/10/2012 11:02

     

    Attachment(s)

    xls
    silly fdc.xls   1.41 MB 1 version


  • 2.  RE: recurrent Silly FDC detection

    Broadcom Employee
    Posted Oct 26, 2012 05:45 AM

    what is the sep version? can you use the latest sep version?

    Based on the severity of the detections, there are some known workarounds that should resolve the issue. These are listed in order of preference:

    1. Disable rescanning of the local quarantine upon receipt of new virus definitions.

      1. Open the Antivirus and Antispyware policy > Windows Settings > Quarantine > General

      2. Under "When New Virus Definitions Arrive" choose Do nothing".
        In SEP 12.1 versions, this policy will be called Virus and Spyware Protection and Quarantine will be under Advanced Options.

    check this link

    http://www.symantec.com/docs/TECH102953



  • 3.  RE: recurrent Silly FDC detection

    Broadcom Employee
    Posted Oct 26, 2012 06:05 AM

    Hi,

    Please go through the following articles.
     
    DWH***.tmp files are detected in the user profile temp directory
     
     
    When new virus definitions are in place and the quarantine is being scanned, a DWH file is created and detected by Auto-Protect
     
     
    How to Manage Quarantined files.
    These detections do not indicate a new outbreak of a threat.  The .tmp files are created by the Symantec Endpoint Protection (SEP) or Symantec AntiVirus (SAV) Quarantine scan. The scan is normally initiated by a virus definition update.
     
    There are also several known methods to work around the issue:
     
    The quarantine scan on virus definition update can be disabled in the  Symantec Endpoint Protection Manager (SEPM): edit Antivirus and Antispyware policy > Windows Settings > Quarantine > General, under "When New Virus Definitions Arrive" choose "Do nothing".
    Items in quarantine can be deleted.
    If the indexing service is enabled it could be triggering the issue when the dwh***.tmp files are indexed.
    Investigate other applications that are scanning the temp file for changes.
    This issue is seen with few latest version of SEP i.e RU7 MP2
     
    Check following article for more details.
     
    https://www-secure.symantec.com/connect/forums/dwh...
     
    Upgrade to the latest SEP version can be one of the possible solution.
     
     
    I hope it helps.
     


  • 4.  RE: recurrent Silly FDC detection

    Posted Oct 26, 2012 06:44 AM

    Hi all,

    yes, it makes sens that SEP is scaning the same virus defintion several times. 

    I will delete quarantine and see the results.

    Unfortunately, I am not sure I can update the version, I asked the serial number to the informatician of the building.

     

    Thank you very much to all

    Julien.



  • 5.  RE: recurrent Silly FDC detection

    Posted Oct 26, 2012 06:47 AM

    HI,

    What sep version are you using ?

    Check this comments..

    sumitgupta786

    Have you seen these file with the name of dwh*.tmp

    If the file is with this name then read the below link

    This issue  is fixed in RU7MP2 ..

    http://www.symantec.com/business/support/index?page=content&id=TECH92399&locale=en_US

    This build's version is: 11.0.7200.1147.

    Release notes for Endpoint Protection and Network Access Control 11

    Check this thread

    https://www-secure.symantec.com/connect/forums/virus-name-trojangen

     

     



  • 6.  RE: recurrent Silly FDC detection

    Trusted Advisor
    Posted Oct 26, 2012 03:12 PM

    Hello,

    This is a known issue with the older versions of Symantec Endpoint Protection version 11.x

    Incase, if you are carrying an older version of SEP, it would be adviced to install the Latest version of SEP 11.0.7200 OR Migrate to the SEP 12.1.1000

    Check this:

    DWH***.tmp files are detected in the user profile temp directory

    http://www.symantec.com/docs/TECH92399

    When new virus definitions are in place and the quarantine is being scanned, a DWH file is created and detected by Auto-Protect

    http://www.symantec.com/docs/TECH102953

    Check these Threads: 

    https://www-secure.symantec.com/connect/forums/unable-fully-remove-trojangen2-sep

    https://www-secure.symantec.com/connect/forums/trojangen2

    https://www-secure.symantec.com/connect/forums/generic-trojan-dwhtmp-temp-folder

    Secondly, The issue is fixed in the RU6 MP1, upgrade the client to RU6 MP1 and let know if it solves your problem

    DWHxxxx.tmp files are scanned and re-detected when new definitions arrive or during a scheduled scan

    Fix ID: 1925607

    Symptom: DWHxxxx.tmp files are scanned and re-detected when new definitions arrive or during a scheduled scan.

    Solution: After extracting a quarantined item to a temp file, the file is deleted immediately after it is processed.

    http://www.symantec.com/business/support/index?page=content&id=TECH103087&locale=en_US

    Hope that helps!!