Co to jest conhost.exe i dlaczego to działa?
Bez wątpienia czytasz ten artykuł, ponieważ natknąłeś się na proces Host okna konsoli (conhost.exe) w Menedżerze zadań i zastanawiasz się, co to jest. Mamy dla ciebie odpowiedź.
Ten artykuł jest częścią naszych bieżących serii wyjaśniających różne procesy znalezione w Menedżerze zadań, takie jak svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, rundll32.exe, Adobe_Updater.exe i wiele innych. Nie wiesz, jakie są te usługi? Lepiej zacznij czytać!
Co to jest proces hosta w oknie konsoli?
Zrozumienie okna Host procesu wymaga trochę historii. W dniach Windows XP, wiersz polecenia był obsługiwany przez proces o nazwie ClientServer Runtime System Service (CSRSS). Jak sama nazwa wskazuje, CSRSS był usługą na poziomie systemu. Stworzyło to kilka problemów. Po pierwsze, awaria w CSRSS może zaszkodzić całemu systemowi, który ujawniłby nie tylko problemy z niezawodnością, ale także możliwe luki w zabezpieczeniach. Drugi problem polegał na tym, że CSRSS nie mógł być tematyczny, ponieważ programiści nie chcieli ryzykować kodu tematycznego uruchamianego w procesie systemowym. Tak więc wiersz polecenia miał zawsze klasyczny wygląd, a nie nowe elementy interfejsu.
Zauważ na zrzucie ekranu Windows XP poniżej, że wiersz polecenia nie ma takiego samego stylu jak aplikacja, jak Notatnik.
Windows Vista wprowadził Desktop Window Manager - usługę, która "rysuje" złożone widoki okien na twoim komputerze, zamiast pozwalać, by każda indywidualna aplikacja obsługiwała je samodzielnie. Wiersz poleceń zyskał na tym trochę powierzchownego motywu (jak szklista ramka obecna w innych oknach), ale pojawił się kosztem przeciągania i upuszczania plików, tekstu itd. Do okna wiersza polecenia.
Mimo wszystko, motywy poszły tak daleko. Jeśli spojrzysz na konsolę w systemie Windows Vista, wygląda na to, że używa tego samego motywu co wszystko inne, ale zauważysz, że paski przewijania nadal używają starego stylu. Dzieje się tak dlatego, że Menedżer okien pulpitu obsługuje rysowanie pasków tytułu i ramki, ale w środku nadal znajduje się staroświeckie okno CSRSS.
Wprowadź Windows 7 i proces Host okna konsoli. Jak sama nazwa wskazuje, jest to proces hosta dla okna konsoli. Typ procesu znajduje się w środku między CSRSS i wierszem polecenia (cmd.exe), umożliwiając systemowi Windows naprawienie obu poprzednich elementów interfejsu z problemami, takich jak rysowanie poprawnie pasków przewijania, i można ponownie przeciągnąć i upuścić w wierszu polecenia. I to jest metoda wciąż używana w Windows 8 i 10, pozwalająca na wszystkie nowe elementy interfejsu i stylizację, które pojawiły się od czasów Windows 7.
Mimo że Menedżer zadań przedstawia Host okna konsoli jako oddzielną jednostkę, nadal jest ściśle powiązany z CSRSS. Jeśli sprawdzisz proces conhost.exe w Process Explorer, możesz zobaczyć, że faktycznie działa on w procesie csrss.ese.
Ostatecznie Host okna konsoli jest czymś w rodzaju powłoki, która utrzymuje moc uruchamiania usług na poziomie systemu, takich jak CSRSS, a jednocześnie zapewnia niezawodność i niezawodność integracji nowoczesnych elementów interfejsu.
Dlaczego kilka wystąpień procesu jest uruchomionych?
Często zdarza się, że w Menedżerze zadań jest kilka wystąpień procesu Host okna konsoli. Każda instancja uruchamiana z wiersza polecenia odrodzi własny proces Host okna konsoli. Ponadto inne aplikacje, które korzystają z wiersza poleceń, odradzają własny proces hosta systemu Windows - nawet jeśli nie widzisz dla nich aktywnego okna. Dobrym tego przykładem jest aplikacja Plex Media Server, która działa jako aplikacja w tle i korzysta z wiersza poleceń, aby udostępnić ją innym urządzeniom w sieci.
Wiele aplikacji działających w tle działa w ten sposób, więc często zdarza się, że wiele instancji procesu Host okna konsoli działa w danym momencie. To normalne zachowanie. W przeważającej części, każdy proces powinien zajmować bardzo mało pamięci (zwykle poniżej 10 MB) i prawie zero procesora, chyba że proces jest aktywny.
To powiedziawszy, jeśli zauważysz, że określone wystąpienie hosta Window Console - lub powiązanej usługi - powoduje problemy, takie jak ciągłe nadmierne użycie procesora lub pamięci RAM, możesz sprawdzić konkretne aplikacje, które są zaangażowane. To może przynajmniej dać ci pojęcie, od czego zacząć rozwiązywanie problemów. Niestety Menedżer zadań sam w sobie nie dostarcza dobrych informacji na ten temat. Dobrą wiadomością jest to, że Microsoft zapewnia doskonałe zaawansowane narzędzie do pracy z procesami w ramach swojej linii Sysinternals. Po prostu pobierz Process Explorer i uruchom go - jest to przenośna aplikacja, więc nie trzeba jej instalować. Process Explorer oferuje wszystkie zaawansowane funkcje i zdecydowanie zalecamy przeczytanie naszego przewodnika po zrozumieniu Eksploratora procesów, aby dowiedzieć się więcej.
Najprostszym sposobem śledzenia tych procesów w Eksploratorze procesów jest najpierw naciśnięcie Ctrl + F, aby rozpocząć wyszukiwanie. Wyszukaj "conhost", a następnie kliknij wyniki. Gdy to zrobisz, zobaczysz zmianę głównego okna, aby pokazać ci aplikację (lub usługę) związaną z tym konkretnym wystąpieniem hosta Window Console.
Jeśli użycie procesora lub pamięci RAM wskazuje, że jest to instancja powodująca problemy, to przynajmniej jest ona zawężona do konkretnej aplikacji.
Czy ten proces może być wirusem??
Sam proces jest oficjalnym składnikiem systemu Windows. Chociaż możliwe jest, że wirus zastąpił prawdziwy Host okna konsoli własnym plikiem wykonywalnym, jest to mało prawdopodobne. Jeśli chcesz mieć pewność, możesz sprawdzić lokalizację pliku źródłowego procesu. W Menedżerze zadań kliknij prawym przyciskiem myszy dowolny proces Host usługi i wybierz opcję "Otwórz lokalizację pliku".
Jeśli plik jest przechowywany w twoim Windows \ System32
folder, możesz być dość pewny, że nie masz do czynienia z wirusem.
W rzeczywistości jest to trojan o nazwie Conhost Miner, który podszywa się pod proces Host okna konsoli. W Menedżerze zadań wygląda tak, jak w prawdziwym procesie, ale trochę kopania ujawni, że jest on rzeczywiście przechowywany w % userprofile% \ AppData \ Roaming \ Microsoft
folder, a nie Windows \ System32
teczka. Trojan jest tak naprawdę używany do przejęcia twojego komputera do kopalni Bitcoinów, więc innym zachowaniem, które zauważysz, jeśli jest zainstalowane w twoim systemie, jest to, że użycie pamięci jest wyższe, niż można by się spodziewać, a użycie procesora utrzymuje się na bardzo wysokim poziomie (często powyżej 80%).
Oczywiście, używanie dobrego skanera antywirusowego jest najlepszym sposobem zapobiegania (i usuwania) szkodliwego oprogramowania, takiego jak Conhost Miner, i to jest coś, co i tak powinno być robione. Lepiej dmuchać na zimne!