Durante un'installazione del prodotto ENS Prevenzione delle minacce o un aggiornamento del contenuto di prevenzione exploit, Windows Defender potrebbe rilevare erroneamente ed eliminare il file di contenuto di prevenzione exploit
HIPHandlers.dll o
HIPHandlers64.dll come file dannoso. Il nome del rilevamento è
HackTool:Win32/Mimikatz!. Nel contesto di un'installazione Prevenzione delle minacce ENS, questo rilevamento può causare un errore di installazione.
Se il problema si verifica durante un aggiornamento del contenuto di prevenzione exploit, il registro eventi Windows contiene un evento Windows Defender simile a quello riportato di seguito:
Windows Defender Antivirus has taken action to protect this machine from malware or other potentially unwanted software.
For more information please see the following:
https://go.microsoft.com/fwlink/?linkid=37020&name=HackTool:Win32/Mimikatz.PTT&threatid=2147735582&enterprise=1
Name: HackTool:Win32/Mimikatz.PTT
ID: 2147735582
Severity: High
Category: Tool
Path: file:_C:\ProgramData\McAfee\Agent\Current\ENDPCNT_1000\DAT\0000\EXP_20190705_09419_ENDP_AM_1000\agent-windows\HIPHandlers.dll
Detection Origin: Local machine
Detection Type: Concrete
Detection Source: Real-Time Protection
User:
Process Name: C:\Program Files\McAfee\Endpoint Security\Threat Prevention\mfetp.exe
Action: Not Applicable
Action Status: No additional actions required
Error Code: 0x00000000
Security intelligence Version: AV: 1.293.2643.0, AS: 1.293.2643.0, NIS: 1.293.2643.0
Engine Version: AM: 1.1.16000.6, NIS: 1.1.16000.6
Se il problema si verifica durante un'installazione Prevenzione delle minacce ENS, il file
McAfee_ThreatPrevention_Install.log contiene la registrazione riportata di seguito:
11:32:12:589-copia file Succeeded per HIPHandlers64. dat
11:32:22:672-copia non riuscita per HIPHandlers64. dll: 225
11:32:22:672-copia percorso di origine: C:\Users\ADMINI ~ 1 \ AppData\Local\Temp\\HIPHandlers64.dll
11:32:22:672-copia percorso di destinazione: C:\Program C:\programmi\mcafee\endpoint Security\Threat Prevention\IPS\HIPHandlers64.dll
11:32:22:834-copia file riuscita per Signatures_8.xml
11:32:22:848-copia file riuscita per ips_hooking_whitelist_8.xml
11:32:22:855-copia file riuscita per ENS_AP_Rules. dat
11:32:22:855-copia file Succeeded per Hiphandlers. dat
11:32:22:895-copia file Succeeded per HIPHandlers. dll
11:32:22:895-McAfee CustomAction: fine CopyBOPBinaries
CustomAction CopyBOPBinaries.B0543E55_ECD7_4CB6_89C0_A49DF5349B0E restituito il codice di errore effettivo 1603 (notare che questo potrebbe non essere accurato 100% se la traduzione è avvenuta all'interno della sandbox)
MSI (00:9C) [11:32:22:926]: Nota: 1:2265 2:3: -2147287035
MSI (00:9C) [11:32:22:926]: Il valore di policy utente ' DisableRollback ' è 0
MSI (00:9C) [11:32:22:926]: Il valore del computer policy ' DisableRollback ' è 0
Azione terminata 11:32:22: InstallFinalize. Valore restituito 3.
Nota L'errore 225 indica un motivo di errore
ERROR_VIRUS_INFECTED.