aido Posted August 17, 2014 Report Share Posted August 17, 2014 Hi, EAM hat bei mir bei einem frisch installierten Windows 8.1 System die conhost.exe in Quarantäne gestellt (Bad Reputation). Ohne diese läuft die Ereignisanzeige nicht korrekt. Leider kenne ich den Ursprungsort der Datei nicht mehr. EAMClean Removing detected objects now: MoveFileOnReboot: sourceFile = "\??\C:\Windows\SysNative\conhost.exe", destinationFile = "(null)", replaceWithDummy = 0 RemoveFile: ZwDeleteFile failed: status = c000003a Gruß -aido Link to comment Share on other sites More sharing options...
aido Posted August 17, 2014 Author Report Share Posted August 17, 2014 Das Thema kann geschlossen werden musste das System neu aufsetzen. Ich denke aber wenn ich EAM wieder installiere und auf Windows 8.1 aktualisiere der Fehler wieder auftritt. Link to comment Share on other sites More sharing options...
calcu007 Posted August 18, 2014 Report Share Posted August 18, 2014 I had this problem too. EAM quarantine the file conhost.exe ( with reason of bad reputation) in Win 8.1 Link to comment Share on other sites More sharing options...
Christian Peters Posted August 18, 2014 Report Share Posted August 18, 2014 Hello calcu007, then the file was quarantined by the Emsisoft Anti-Malware Community based alert reduction. You can disable this feature in Emsisoft Anti-Malware section Protection subsection Behavior Blocker. Hallo aido, die Datei verfügt über eine schlechte Bewertung in unserem Anti-Malware Netzwerk. Die Datei wurde daher über die Community basierte Alarm-Reduktion automatisch in Quarantäne geschoben. Die Funktion der Community basierte Alarm-Reduktion kann gegebenfalls unter Schutz Untersektion Verhaltensanalyse abgeschalten werden. Link to comment Share on other sites More sharing options...
Springer Posted August 18, 2014 Report Share Posted August 18, 2014 Jetzt die Frage: ist die Datei schlecht oder nicht ? Wenn nein, gehört sie bei der "schlechten Bewertung " ausgeschlossen (?) Link to comment Share on other sites More sharing options...
Christian Peters Posted August 18, 2014 Report Share Posted August 18, 2014 Hallo, dazu bräuchte ich eine Beispieldatei der conhost.exe. Diese kann gerne an [email protected] zugeschickt werden mit Verweis auf dieses Forumsthema hier. Link to comment Share on other sites More sharing options...
aido Posted August 18, 2014 Author Report Share Posted August 18, 2014 Ich habe bereits über EAM die Datei eigesendet sollte also irgendwo bei euch angekommen sein (System frisch installiert). Ich betreibe drei Rechner mit Win 8.1 vermute aber das bei einer neuinstallation und update auf Windows 8.1 der Fehler auftritt bei den anderen beiden Rechner wurde EAM erst nach Windows 8.1 installiert und da habe ich keine probleme. Link to comment Share on other sites More sharing options...
Christian Peters Posted August 19, 2014 Report Share Posted August 19, 2014 Hallo, ich habe den Fall einmal intern an unsere Fehlalarm-Abteilung weitergegeben. Link to comment Share on other sites More sharing options...
Hexo Posted August 19, 2014 Report Share Posted August 19, 2014 Das selbe hab ich bei meinem Acer Notebook auch. Die Conhost.exe landet andauernd in der Quarantäne. Ein prüfen auf z.b. Virustotal blieb erfolglos. Leider hab ich mein Laptop eingeschickt (Akkuprobleme) und kann auch die Conhost.exe nicht zukommen lassen... wobei ich die über die Interne EAM Variante schon x-mal eingeschickt habe.... Ist die Conhost.exe ein FP? Gruß Link to comment Share on other sites More sharing options...
Christian Peters Posted August 19, 2014 Report Share Posted August 19, 2014 Ist die Conhost.exe ein FP? Gruß Höchstwahrscheinlich ja. Ich lasse dies gerade prüfen über unsere Fehlalarm-Abteilung. Link to comment Share on other sites More sharing options...
Hexo Posted August 22, 2014 Report Share Posted August 22, 2014 Gibt es schon ein Update? Link to comment Share on other sites More sharing options...
Christian Peters Posted August 23, 2014 Report Share Posted August 23, 2014 Hallo, leider nicht da es von dieser Datei verschiedene Varianten gibt und wir die exakte Prüfsumme benötigen um auch die korrekte Datei zu whitelisten. Link to comment Share on other sites More sharing options...
Cineatic Posted August 27, 2014 Report Share Posted August 27, 2014 Hallo, das Spielchen mit dem Löschen der Datei und Wiederherstellen der Datei kann ich auf meinem Laptop nach wie vor beobachten. Mein Vorschlag, in so fern sich dies umsetzen lässt: Nehmt diese Datei aus der User-Bewertung raus. Denn das es bei dieser Datei keinen Sinn hat, zeigt sich ja nun vermehrt. Es macht ja nun absolut keinen Sinn, dass immer wieder eine Systemdatei gelöscht und dann beim nächsten / übernächsten Systemstart wieder hergestellt wird, um dann beim nächsten Mal wieder gelöscht zu werden. Ich habe heute die Version von meinem Laptop über die Quarantäne ebenfalls noch mal zu euch geschickt. Link to comment Share on other sites More sharing options...
Christian Peters Posted August 29, 2014 Report Share Posted August 29, 2014 Hallo, danke für die Datei. Der Fehlalarm im Anti-Malware Netzwerk wird zeitnah behoben. Link to comment Share on other sites More sharing options...
Hexo Posted September 15, 2014 Report Share Posted September 15, 2014 So, ich hab heute mein Lappy neu eingerichtet, nachdem es endlich vor ein paar Tagen von der Reparatur wieder eingetrudelt ist. Nach dem ich Windows 8.1 neu aufgesetzt und alle Updates eingespielt habe, hab ich EAM wieder installiert. Nach einem Neustart wurde direkt die Datei: conhost.exe entfernt. Datei hab ich soeben auch wieder eingeschickt. Ist der Fehlalarm immer noch da? Link to comment Share on other sites More sharing options...
Hexo Posted September 18, 2014 Report Share Posted September 18, 2014 Hey, Datei hatte ich wie gewünscht per Mail eingesendet. Seit dem hab ich hier nicht mehr gehört..... Ist der Fehlalarm gelöst worden??? Link to comment Share on other sites More sharing options...
Christian Peters Posted September 18, 2014 Report Share Posted September 18, 2014 Hallo, habe die Datei erhalten, wir sind dabei diese zu analysieren. Ein wenig Geduld bitte noch. Link to comment Share on other sites More sharing options...
Cineatic Posted September 18, 2014 Report Share Posted September 18, 2014 Hallo, es ist irgendwie ein interessantes Phänomen. Beim ersten Start heute, ist nichts passiert. Gerade, beim zweiten Start, wurde die conhost.exe wieder einmal aus dem Verzeichnis c;\windows\sysnative gelöscht. Beziehungsweise angeblich gelöscht. Sie befindet sich nämlich sowohl in der Quarantäne, als auch noch in dem Verzeichnis. Die Datei hab ich übrigens am 29. August schon eingesendet. Aber offenbar besteht das Programm darauf, dass diese schädlich ist. Link to comment Share on other sites More sharing options...
Christian Peters Posted September 18, 2014 Report Share Posted September 18, 2014 Hallo, das Problem ist vermutlich die fehlende digitale Signatur. Wir sind dabei das Problem zu verifizieren warum EAM/EIS die Datei dennoch als schädlich einstuft. Bis dahin die Datei bitte unter Dateiwächter/Ausnahmen verwalten zur Ausnahmeliste hinzufügen und die 2 Haken bei Dateiwächter und Verhaltensanalyse setzen. Link to comment Share on other sites More sharing options...
Recommended Posts