Bei einer Installation des ENS-Bedrohungsschutzes oder einem Update des Exploit-Schutzinhalts kann es vorkommen, dass Windows Defender die Exploit-Schutz-Inhaltsdatei HIPHandlers.dll bzw. HIPHandlers64.dll fälschlicherweise als bösartige Datei erkennt und löscht. Der Erkennungsname lautet HackTool:Win32/Mimikatz! Im Rahmen einer Installation des ENS-Bedrohungsschutzes kann diese Erkennung zu einem Installationsfehler führen.

Wenn das Problem während einer Aktualisierung des Exploit-Schutz-Inhalts auftritt, enthält das Windows-Ereignisprotokoll ein Windows Defender-Ereignis ähnlich dem folgenden Beispiel:

Windows Defender Antivirus has taken action to protect this machine from malware or other potentially unwanted software.
For more information please see the following:
https://go.microsoft.com/fwlink/?linkid=37020&name=HackTool:Win32/Mimikatz.PTT&threatid=2147735582&enterprise=1
Name: HackTool:Win32/Mimikatz.PTT
ID: 2147735582
Severity: High
Category: Tool
Path: file:_C:\ProgramData\McAfee\Agent\Current\ENDPCNT_1000\DAT\0000\EXP_20190705_09419_ENDP_AM_1000\agent-windows\HIPHandlers.dll
Detection Origin: Local machine
Detection Type: Concrete
Detection Source: Real-Time Protection
User:
Process Name: C:\Program Files\McAfee\Endpoint Security\Threat Prevention\mfetp.exe
Action: Not Applicable
Action Status: No additional actions required
Error Code: 0x00000000
Security intelligence Version: AV: 1.293.2643.0, AS: 1.293.2643.0, NIS: 1.293.2643.0
Engine Version: AM: 1.1.16000.6, NIS: 1.1.16000.6

Wenn das Problem während einer Installation des ENS-Bedrohungsschutzes auftritt, enthält die Protokolldatei McAfee_ThreatPrevention_Install.log folgenden Eintrag:

11:32:12:589 - Kopieren erfolgreich für HIPHandlers64.dat
11:32:22:672 - Kopieren fehlgeschlagen für HIPHandlers64.dll: 225
11:32:22:672 - Quell Pfad kopieren: C:\Users\ADMINI~1\AppData\Local\Temp\\HIPHandlers64.dll
11:32:22:672 - Ziel Pfad kopieren: C:\Program Files\McAfee\Endpoint Security\Threat Prevention\IPS\HIPHandlers64.dll
11:32:22:834 - Kopieren erfolgreich für Signatures_8.xml
11:32:22:848 - Kopieren erfolgreich für ips_hooking_whitelist_8.xml
11:32:22:855 - Kopieren erfolgreich für ENS_AP_Rules.dat
11:32:22:855 - Kopieren erfolgreich für Hiphandlers.dat
11:32:22:895 - Kopieren erfolgreich für HIPHandlers.dll
11:32:22:895 - McAfee CustomAction : End CopyBOPBinaries
CustomAction CopyBOPBinaries.B0543E55_ECD7_4CB6_89C0_A49DF5349B0E hat Fehlercode 1603 zurückgegeben (Dieser Code ist möglicherweise nicht 100 % genau, wenn die Übersetzung innerhalb der Sandbox stattgefunden hat)
MSI (s) (00:9C) [11:32:22:926]: Hinweis: 1: 2265 2: 3: -2147287035
MSI (s) (00:9C) [11:32:22:926]: Benutzerrichtlinienwert 'DisableRollback' ist 0
MSI (s) (00:9C) [11:32:22:926]: Maschinenrichtlinienwert 'DisableRollback' ist 0
Die Aktion beendet 11:32:22: InstallFinalize. Rückgabewert 3.

HINWEIS Fehler 225 steht für den Fehlergrund ERROR_VIRUS_INFECTED.