{"id":272508,"date":"2022-09-04T15:51:10","date_gmt":"2022-09-04T13:51:10","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=272508"},"modified":"2024-01-24T11:40:22","modified_gmt":"2024-01-24T10:40:22","slug":"windows-defender-meldet-flschlich-behaviourwin32-hive-zy-4-9-2022","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/09\/04\/windows-defender-meldet-flschlich-behaviourwin32-hive-zy-4-9-2022\/","title":{"rendered":"Windows Defender meldet (fälschlich) Behaviour:Win32\/Hive.ZY (4.9.2022)"},"content":{"rendered":"

\"Windows\"[English<\/a>]Kurzer Hinweis f\u00fcr Windows-Nutzer, die am Sonntag (4.9.2022, ca. 12:00 Uhr deutscher Zeit) vom Microsoft Defender mit einem Virenfund auf ihrem System aufgeschreckt werden. Seit wenigen Stunden meldet der Microsoft Virenscanner einen Behaviour:Win32\/Hive.ZY als Fund. Das ist aber wohl ein falscher Alarm – k\u00f6nnte auf den Microsoft Edge zur\u00fcckzuf\u00fchren sein – und trendet momentan in Foren. Erg\u00e4nzung:<\/strong> Das Problem ist per Update gefixt worden.<\/p>\n

<\/p>\n

Lesermeldungen zu Behaviour:Win32\/Hive.ZY<\/h2>\n

\"\"Bei mir hat sich einmal Martin per E-Mail gemeldet und \u00fcber den Fund des Microsoft Defender auf seinem Windows 10-System berichtet. Martin schrieb dazu:<\/p>\n

Windows Defender false-positive \/ Behaviour:Win32\/Hive.ZY<\/strong><\/p>\n

Hallo G\u00fcnter,<\/p>\n

ich habe grad einen ordentlichen Schreck bekommen, als der Windows Defender auf meinem Windows 10 Laptop urpl\u00f6tzlich folgenden Fehler schmei\u00dft:<\/p>\n

Behaviour:Win32\/Hive.ZY<\/b><\/p>\n

Es wird kein Programm angegeben, nur eine PID – und der Prozess wird dummerweise sofort beendet, so dass ich \"blind\" war und nicht sehen konnte, was da der Verursacher war. Dabei hatte ich keinerlei neue Software in den letzten Tagen installiert und auch keine verd\u00e4chtigen Mails etc. ge\u00f6ffnet.<\/p>\n

Die Meldung erschien fortan periodisch, aber nicht zu festen Zeiten. Ich habe mehrmals mit Windows Defender gescannt, der aber nichts fand – und dann kam die Meldung pl\u00f6tzlich wieder. Ganz merkw\u00fcrdig.<\/p>\n

[…] Ich habe aktuell folgende Definitionen 1.373.1508.0 und kann die Meldung reproduzieren, jedes mal wenn ich Chrome starte.<\/p>\n

Wollte dir das nur mal schnell zurufen, falls du was dar\u00fcber in deinem Blog schreiben magst oder ggf. bereits selbst einen Schreck ob einer m\u00f6glichen Infektion bekommen hast ;-)<\/p><\/blockquote>\n

Nachfolgender Screenshot zeigt die betreffenden Eintr\u00e4ge im Schutzverlauf – jemand hat das hier<\/a> bei Dr. Windows im Forum gepostet.
\n\"Defender:<\/a>
\nDefender Fehlalarm<\/em><\/p>\n

Und Blog-Leser Christoph Gierl berichtet in diesem Kommentar<\/a> von einem \u00e4hnlichen Szenario, dort aber auf den Microsoft Edge bezogen.<\/p>\n

Hallo,
\nscheinbar l\u00e4uft der Defender mal wieder Amok.
\nEr hat jetzt schon dreimal \"Behavior:Win32\/Hive.ZY\" auf meinem PC gefunden; als ich Edge \u00f6ffnen wollte wohlgemerkt. Ist gerade ein \"trending topic\" in diversen Foren. Ist ein bisschen Off-topic, aber es ist ja auch der Edge betroffen.<\/p>\n

Gr\u00fc\u00dfe,<\/p>\n

Chris<\/p><\/blockquote>\n

Danke an die beiden Leser f\u00fcr den Hinweis – am Grill hat es keinen Virenalarm gegeben – aber ich habe mal kurz unterbrochen, um die Zeilen im Blog einzustellen.<\/p>\n

Auch in anderen Foren wird das thematisiert. Bei Microsoft Answers gibt es diesen Thread<\/a>, wo auch Apps mit dem Electron-Framework, wie WhatsApp, Discord, Spotify etc., genannt werden, bei denen der Defender einen falschen Alarm ausl\u00f6st. Dort schreibt ein Moderator, dass der falsche Alarm offenbar durch das Security Intelligence Update f\u00fcr Microsoft Defender Antivirus – KB2267602 (Version 1.373.1508.0) verursacht wird.\u00a0Bei ComputerBase finden sich ebenfalls Eintr\u00e4ge wie hier<\/a>. Inzwischen trended das Thema weltweit in Foren. Und die Zahl der Programme, die bem\u00e4ngelt werden, steigt st\u00e4ndig – ich habe sogar Meldungen lesen, dass die Windows Einstellungsseite beim Aufruf den Alarm ausl\u00f6st.<\/p>\n

Ein falscher Alarm<\/h2>\n

Blog-Leser Martin wies in seiner Mail bereits auf diesen Thread<\/a> bei reddit.com hin, wo dieser Sachverhalt ebenfalls diskutiert wird.<\/p>\n

All Electron-based apps and Chrome detected as `Behavior:Win32\/Hive.ZY` on open as of today.<\/p>\n

Google yields no results.<\/p>\n

What is going on?!<\/p><\/blockquote>\n

Dort werden bereits weitere Informationen geliefert. Es ist nicht nur jeder Chromium-basierende Browser (wie Google Chrome und Microsoft Edge) betroffen, sondern auch alle Apps und Anwendungen, die afu dem Electron-Framework aufsetzen. Ein weiterer reddit.com-Thread findet sich hier<\/a>. Es scheint also ein false-positive vom Windows Defender zu sein.<\/p>\n

Hinweis:<\/strong> Laut log-Datei<\/a> wurde Behavior:Win32\/Hive.ZY<\/a> von Microsoft zur Defender-Version\u00a01.373.1508.0 hinzugef\u00fcgt.<\/p>\n

Erg\u00e4nzung:<\/strong> Lawrence Abrams von Bleeping Computer hat das Ganze inzwischen hier<\/a> zusammen gefasst, nachdem ich ihn auf das Thema hingewiesen hatte.<\/p><\/blockquote>\n

Warten auf eine Korrektur<\/h2>\n

Im Internet gibt es inzwischen eine breite Spur an Meldungen zu unterschiedlichen Programmen, die diesen \"Fund\" triggern (selbst VScode war schon dabei). Komischerweise sind nicht alle Windows-Nutzer betroffen. Eine M\u00f6glichkeit zum Vermeiden der Alarme besteht darin, tempor\u00e4r eine Ausnahme f\u00fcr das aufgerufene Programm im Defender zu vereinbaren.<\/p>\n

Ansonsten bleibt nur, auf ein Update von Microsoft zu warten, welches den Fehlalarm behebt. Bisherige Signatur-Updates scheinen aber nicht bei allen Nutzern gewirkt zu haben – wobei man nach einem Update Windows vorsorglich neu starten sollte. Vielleicht pr\u00fcfen, ob die Signatur-Datei 1.373.1524.0 Abhilfe bringt.<\/p>\n

Erg\u00e4nzung:<\/strong> Das Problem ist per Update gefixt worden, siehe\u00a0Microsoft fixt Windows Defender Fehlalarm Behaviour:Win32\/Hive.ZY<\/a>.<\/p>\n

 <\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Kurzer Hinweis f\u00fcr Windows-Nutzer, die am Sonntag (4.9.2022, ca. 12:00 Uhr deutscher Zeit) vom Microsoft Defender mit einem Virenfund auf ihrem System aufgeschreckt werden. Seit wenigen Stunden meldet der Microsoft Virenscanner einen Behaviour:Win32\/Hive.ZY als Fund. Das ist aber wohl ein … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,161,301],"tags":[2699,4328,3288],"class_list":["post-272508","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-virenschutz","category-windows","tag-defender","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/272508","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=272508"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/272508\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=272508"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=272508"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=272508"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}