Windows Defender が HipHandlers.dll Endpoint Security を検出する

技術的な記事 ID: KB93976
最終更新: 2021/02/24

環境

McAfee Endpoint Security (ENS) 脅威対策 10.x
Microsoft Windows 10
Microsoft Windows Defender

問題

ENS 脅威対策の製品インストール中、またはエクスプロイト防止コンテンツの更新中に、Windows Defender がエクスプロイト防止コンテンツファイル HIPHandlers.dll または HIPHandlers64.dll を悪意のあるファイルとして誤って検出して削除することがあります。検出名は HackTool:Win32/Mimikatz! です。 ENS 脅威対策のインストールでは、この検出により、インストールに失敗する可能性があります。

エクスプロイト防止コンテンツの更新中に問題が発生した場合、Windowsイベントログには、以下の例と同様の Windows Defender イベントが含まれます:

Windows Defender Antivirus has taken action to protect this machine from malware or other potentially unwanted software.
For more information please see the following:
https://go.microsoft.com/fwlink/?linkid=37020&name=HackTool:Win32/Mimikatz.PTT&threatid=2147735582&enterprise=1
Name: HackTool:Win32/Mimikatz.PTT
ID: 2147735582
Severity: High
Category: Tool
Path: file:_C:\ProgramData\McAfee\Agent\Current\ENDPCNT_1000\DAT\0000\EXP_20190705_09419_ENDP_AM_1000\agent-windows\HIPHandlers.dll
Detection Origin: Local machine
Detection Type: Concrete
Detection Source: Real-Time Protection
User:
Process Name: C:\Program Files\McAfee\Endpoint Security\Threat Prevention\mfetp.exe
Action: Not Applicable
Action Status: No additional actions required
Error Code: 0x00000000
Security intelligence Version: AV: 1.293.2643.0, AS: 1.293.2643.0, NIS: 1.293.2643.0
Engine Version: AM: 1.1.16000.6, NIS: 1.1.16000.6

ENS 脅威対策のインストール中に問題が発生した場合、ファイル McAfee_ThreatPrevention_Install.log には以下のログが記録されます:

11:32:12:589 - Copy file succeededed for HIPHandlers64.dat
11:32:22:672 - Copy failed for HIPHandlers64.dll: 225
11:32:22:672 - Copy source path : C:\Users\ADMINI~1\AppData\Local\Temp\\HIPHandlers64.dll
11:32:22:672 - Copy destination path : C:\Program Files\McAfee\Endpoint Security\Threat Prevention\IPS\HIPHandlers64.dll
11:32:22:834 - Copy file succeededed for Signatures_8.xml
11:32:22:848 - Copy file succeededed for ips_hooking_whitelist_8.xml
11:32:22:855 - Copy file succeededed for ENS_AP_Rules.dat
11:32:22:855 - Copy file succeededed for Hiphandlers.dat
11:32:22:895 - Copy file succeededed for HIPHandlers.dll
11:32:22:895 - McAfee CustomAction : End CopyBOPBinaries
CustomAction CopyBOPBinaries.B0543E55_ECD7_4CB6_89C0_A49DF5349B0E returned actual error code 1603 (note this may not be 100% accurate if translation happened inside sandbox)
MSI (00:9C) [11:32:22:926]: Note: 1: 2265 2: 3: -2147287035
MSI (00:9C) [11:32:22:926]: User policy value 'DisableRollback' is 0
MSI (00:9C) [11:32:22:926]: Machine policy value 'DisableRollback' is 0
Action ended 11:32:22: InstallFinalize. Return value 3.

注意: Error 225 は ERROR_VIRUS_INFECTED の障害理由を示します。

原因

Windows Defender は、古いバージョンのウイルス定義に偽陽性があるため、これらのファイルが検出されます。

解決策

Windows Defender のセキュリティインテリジェンスコンテンツのバージョンを Microsoft から入手可能な最新バージョンにアップデートする必要があります。最新バージョンをデプロイする方法は、企業アーキテクチャや影響を受けるシステムの範囲に応じていくつかあります。

アップデートの詳細と配備方法については、次の Microsoft の記事を参照してくださいhttp://www.microsoft.com/en-us/wdsi/defenderupdates.

免責事項

この記事の内容のオリジナルは英語です。英語の内容と翻訳に相違がある場合、常に英語の内容が正確です。一部の内容は Microsoft の機械翻訳による訳文となっています。

影響を受ける製品

Endpoint Security Threat Prevention 10.7.x
Endpoint Security Threat Prevention 10.6.x
Install/Uninstall

言語:

この記事は、次の言語で表示可能です:

German
English United States
Spanish Spain
French
Italian
Japanese
Portuguese Brasileiro
Chinese Simplified

Knowledge Center

Windows Defender が HipHandlers.dll Endpoint Security を検出する

環境

問題

原因

解決策

免責事項

影響を受ける製品

言語:

Title

Title

Knowledge Center

Windows Defender が HipHandlers.dll Endpoint Security を検出する

環境

問題

原因

解決策

免責事項

影響を受ける製品

言語:

地域を選択してください

Title

Title