Durante a instalação de um produto do ENS Prevenção contra ameaças ou de um conteúdo de prevenção de exploração atualização, o Windows Defender pode detectar e excluir incorretamente o conteúdo da prevenção de exploração arquivo
HIPHandlers.dll Quanto
HIPHandlers64.dll como um arquivo mal-intencionado. O nome da detecção é
HackTool:Win32/Mimikatz!. No contexto de uma instalação Prevenção contra ameaças do ENS, essa detecção pode resultar em uma falha na instalação.
Se o problema ocorrer durante um atualização de conteúdo de prevenção de exploração, o registro de eventos de Windows contém um evento de Windows Defender semelhante ao exemplo abaixo:
Windows Defender Antivirus has taken action to protect this machine from malware or other potentially unwanted software.
For more information please see the following:
https://go.microsoft.com/fwlink/?linkid=37020&name=HackTool:Win32/Mimikatz.PTT&threatid=2147735582&enterprise=1
Name: HackTool:Win32/Mimikatz.PTT
ID: 2147735582
Severity: High
Category: Tool
Path: file:_C:\ProgramData\McAfee\Agent\Current\ENDPCNT_1000\DAT\0000\EXP_20190705_09419_ENDP_AM_1000\agent-windows\HIPHandlers.dll
Detection Origin: Local machine
Detection Type: Concrete
Detection Source: Real-Time Protection
User:
Process Name: C:\Program Files\McAfee\Endpoint Security\Threat Prevention\mfetp.exe
Action: Not Applicable
Action Status: No additional actions required
Error Code: 0x00000000
Security intelligence Version: AV: 1.293.2643.0, AS: 1.293.2643.0, NIS: 1.293.2643.0
Engine Version: AM: 1.1.16000.6, NIS: 1.1.16000.6
Se o problema ocorrer durante uma instalação de Prevenção contra ameaças do ENS, o arquivo
McAfee_ThreatPrevention_Install.log contém o registro em log abaixo:
11:32:12:589-arquivo de cópia bem-sucedida para HIPHandlers64. dat
11:32:22:672-falha na cópia para HIPHandlers64. dll: 225
11:32:22:672-Copiar caminho de origem: C:\Users\ADMINI ~ 1 \ AppData\Local\Temp\\HIPHandlers64.dll
11:32:22:672-caminho de destino de cópia: C:\Arquivos de Programas\mcafee\endpoint Security\Threat Prevention\IPS\HIPHandlers64.dll
11:32:22:834-arquivo de cópia com êxito para Signatures_8.xam
11:32:22:848-arquivo de cópia com êxito para ips_hooking_whitelist_8.xam
11:32:22:855-arquivo de cópia bem-sucedida para ENS_AP_Rules. dat
11:32:22:855-arquivo de cópia bem-sucedida para Hiphandlers. dat
11:32:22:895-arquivo de cópia bem-sucedida para HIPHandlers. dll
11:32:22:895-McAfee CustomAction: encerrar CopyBOPBinaries
A CopyBOPBinaries.B0543E55_ECD7_4CB6_89C0_A49DF5349B0E de CustomAction retornou o código de erro real 1603 (observação isso pode não ser 100% preciso se a tradução tiver ocorrido na área restrita)
MSI (s) (00:9C) [11:32:22:926]: Nota: 1:2265 2:3: -2147287035
MSI (s) (00:9C) [11:32:22:926]: O valor de política de usuário ' DisableRollback ' é 0
MSI (s) (00:9C) [11:32:22:926]: O valor de política da máquina ' DisableRollback ' é 0
Ação encerrada 11:32:22: InstallFinalize. Valor de retorno 3.
INDICADO O erro 225 indica um motivo da falha
ERROR_VIRUS_INFECTED.
