Lors de l’installation d’un produit ENS Prévention contre les menaces, ou d’une mise à jour de contenu de prévention contre les exploits, Windows Defender peut détecter et supprimer de manière incorrecte le fichier de contenu de prévention contre les exploits
HIPHandlers.dll Or
HIPHandlers64.dll en tant que fichier malveillant. Le nom de détection est
HackTool:Win32/Mimikatz!. Dans le contexte d’une installation Prévention contre les menaces ENS, cette détection peut entraîner l’échec de l’installation.
Si le problème se produit lors d’une mise à jour de contenu de prévention contre les exploits, le Windows Journal des événements contient un événement Windows Defender similaire à l’exemple ci-dessous :
Windows Defender Antivirus has taken action to protect this machine from malware or other potentially unwanted software.
For more information please see the following:
https://go.microsoft.com/fwlink/?linkid=37020&name=HackTool:Win32/Mimikatz.PTT&threatid=2147735582&enterprise=1
Name: HackTool:Win32/Mimikatz.PTT
ID: 2147735582
Severity: High
Category: Tool
Path: file:_C:\ProgramData\McAfee\Agent\Current\ENDPCNT_1000\DAT\0000\EXP_20190705_09419_ENDP_AM_1000\agent-windows\HIPHandlers.dll
Detection Origin: Local machine
Detection Type: Concrete
Detection Source: Real-Time Protection
User:
Process Name: C:\Program Files\McAfee\Endpoint Security\Threat Prevention\mfetp.exe
Action: Not Applicable
Action Status: No additional actions required
Error Code: 0x00000000
Security intelligence Version: AV: 1.293.2643.0, AS: 1.293.2643.0, NIS: 1.293.2643.0
Engine Version: AM: 1.1.16000.6, NIS: 1.1.16000.6
Si le problème se produit au cours d’une installation Prévention contre les menaces ENS, le fichier
McAfee_ThreatPrevention_Install.log contient la journalisation ci-dessous :
11:32:12:589-copie du fichier réussie pour HIPHandlers64. dat
11:32:22:672-Echec de la copie de HIPHandlers64. dll : 225
11:32:22:672-copier le chemin d’accès source : C:\Users\ADMINI ~ 1 \ AppData\Local\Temp\\HIPHandlers64.dll
11:32:22:672-copier le chemin d’accès de destination : C:\Program Files\McAfee\Endpoint Security\Threat Prevention\IPS\HIPHandlers64.dll
11:32:22:834-la copie du fichier a réussi pour Signatures_8.xenviron
11:32:22:848-la copie du fichier a réussi pour ips_hooking_whitelist_8.xenviron
11:32:22:855-la copie du fichier a été effectuée pour ENS_AP_Rules. dat
11:32:22:855-copie du fichier réussie pour Hiphandlers. dat
11:32:22:895-fichier de copie réussi pour HIPHandlers. dll
11:32:22:895-McAfee CustomAction : end CopyBOPBinaries
CustomAction CopyBOPBinaries.B0543E55_ECD7_4CB6_89C0_A49DF5349B0E a renvoyé un code d’erreur réel 1603 (Notez que cela peut ne pas être à 100% de précision en cas de traduction dans le sandbox)
MSI (s) (00:9C) [11:32:22:926] : Remarque : 1:2265 2:3 : -2147287035
MSI (s) (00:9C) [11:32:22:926] : La valeur de stratégie d’utilisateur’DisableRollback’est 0
MSI (s) (00:9C) [11:32:22:926] : La valeur de la stratégie de la machine’DisableRollback’est 0
Action terminée 11:32:22 : InstallFinalize. Valeur de retour 3.
Veuillez L’erreur 225 indique un motif d’échec de
ERROR_VIRUS_INFECTED.