Durante una instalación de productos de ENS Prevención de amenazas o una actualización de contenido de prevención de exploits, Windows Defender podría detectar y eliminar de forma incorrecta el archivo de contenido de prevención de exploits HIPHandlers.dll bien HIPHandlers64.dll como archivo malicioso. El nombre de detección es HackTool:Win32/Mimikatz!. En el contexto de una instalación de ENS Prevención de amenazas, esta detección puede acarrear un fallo de instalación.

Si el problema se produce durante una actualización de contenido de prevención de exploits, el Windows registro de eventos contiene un evento de deWindows defender similar al ejemplo que se muestra a continuación:

Windows Defender Antivirus has taken action to protect this machine from malware or other potentially unwanted software.
For more information please see the following:
https://go.microsoft.com/fwlink/?linkid=37020&name=HackTool:Win32/Mimikatz.PTT&threatid=2147735582&enterprise=1
Name: HackTool:Win32/Mimikatz.PTT
ID: 2147735582
Severity: High
Category: Tool
Path: file:_C:\ProgramData\McAfee\Agent\Current\ENDPCNT_1000\DAT\0000\EXP_20190705_09419_ENDP_AM_1000\agent-windows\HIPHandlers.dll
Detection Origin: Local machine
Detection Type: Concrete
Detection Source: Real-Time Protection
User:
Process Name: C:\Program Files\McAfee\Endpoint Security\Threat Prevention\mfetp.exe
Action: Not Applicable
Action Status: No additional actions required
Error Code: 0x00000000
Security intelligence Version: AV: 1.293.2643.0, AS: 1.293.2643.0, NIS: 1.293.2643.0
Engine Version: AM: 1.1.16000.6, NIS: 1.1.16000.6

Si el problema se produce durante una instalación de ENS Prevención de amenazas, el archivo McAfee_ThreatPrevention_Install.log contiene el siguiente registro:

11:32:12:589: copia de archivo realizada correctamente para HIPHandlers64. dat
11:32:22:672-error de copia para HIPHandlers64. dll: 225
11:32:22:672-ruta de origen de copia: C:\Users\ADMINI ~ 1 \ AppData\Local\Temp\\HIPHandlers64.dll
11:32:22:672-copia ruta de destino: C:\Archivos de Programa\mcafee\endpoint Security\Threat Prevention\IPS\HIPHandlers64.dll
11:32:22:834: copia del archivo realizada correctamente para Signatures_8.xLC
11:32:22:848: copia del archivo realizada correctamente para ips_hooking_whitelist_8.xLC
11:32:22:855: copia de archivo realizada correctamente para ENS_AP_Rules. dat
11:32:22:855: copia de archivo realizada correctamente para Hiphandlers. dat
11:32:22:895: copia de archivo realizada correctamente para HIPHandlers. dll
11:32:22:895-McAfee CustomAction: end CopyBOPBinaries
El CopyBOPBinaries.B0543E55_ECD7_4CB6_89C0_A49DF5349B0E de CustomAction devolvió el código de error 1603 (tenga en cuenta que este no puede ser 100% preciso si la traducción se ha producido en un recinto).
MSI (s) (00:9C) [11:32:22:926]: Nota: 1:2265 2:3: -2147287035
MSI (s) (00:9C) [11:32:22:926]: El valor de directiva de usuario ' DisableRollback ' es 0
MSI (s) (00:9C) [11:32:22:926]: El valor de directiva de equipo ' DisableRollback ' es 0
La acción ha finalizado 11:32:22: InstallFinalize. Valor devuelto 3.

SEÑALAR El error 225 indica un motivo de error de ERROR_VIRUS_INFECTED.