Vad är conhost.exe och varför går det?
Du har ingen tvekan om att läsa den här artikeln eftersom du har snubblat över konsolfönstret (conhost.exe) -processen i Aktivitetshanteraren och undrar vad det är. Vi har svaret för dig.
Denna artikel är en del av vår pågående serie som förklarar olika processer som finns i Task Manager, som svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, rundll32.exe, Adobe_Updater.exe och många andra. Vet inte vad de här tjänsterna är? Bättre börja läsa!
Så vad är konsolfönstervärdsprocessen?
Förstå konsolfönstret värdprocessen kräver lite historia. Under Windows XP-dagarna hanterades kommandotolkningen med en process som heter ClientServer Runtime System Service (CSRSS). Som namnet antyder var CSRSS en systemnivå service. Detta skapade ett par problem. För det första skulle en krasch i CSRSS kunna leda till ett helt system, vilket inte bara visade pålitlighetsproblem, utan också möjliga säkerhetsproblem. Det andra problemet var att CSRSS inte kunde bli tema, eftersom utvecklarna inte ville riskera temakoden för att köras i en systemprocess. Så, kommandotolken hade alltid det klassiska utseendet i stället för att använda nya gränssnittselement.
Observera i skärmdumpen av Windows XP nedan att Kommandotolken inte får samma stil som en app som anteckningsblock.
Windows Vista introducerade Desktop Window Manager-en tjänst som "drar" kompositvyer av Windows till skrivbordet istället för att låta varje enskild app hantera det själv. Kommandotolken fick några ytliga teman från det här (som den glasiga ramen som finns i andra fönster), men det kom på bekostnad av att kunna dra och släppa filer, text och så vidare in i kommandotolken.
Ändå gick den teman bara så långt. Om du tittar på konsolen i Windows Vista ser det ut att det använder samma tema som allt annat, men du märker att rullningsfälten fortfarande använder den gamla stilen. Detta beror på att skrivbordsfönstret hanterar ritning av titelfält och ram, men ett gammaldags CSRSS-fönster sitter fortfarande inuti.
Ange Windows 7 och Console Window Host-processen. Som namnet antyder är det en värdprocess för konsolfönstret. Processen sitter i mitten mellan CSRSS och Command Prompt (cmd.exe), vilket gör det möjligt för Windows att fixa båda tidigare gränssnittsgränssnittselement som scrollbars rita korrekt och du kan dra och släppa igen kommandotolken igen. Och det är den metod som fortfarande används i Windows 8 och 10, vilket möjliggör alla nya gränssnittselement och styling som har kommit sedan Windows 7.
Trots att uppgiftshanteraren presenterar konsolfönstervärden som en separat enhet är den fortfarande nära associerad med CSRSS. Om du kontrollerar processen conhost.exe i Process Explorer kan du se att den faktiskt körs under csrss.ese processen.
I slutändan är konsolfönstervärdet något som ett skal som håller kraften att köra en tjänst på systemnivå som CSRSS, samtidigt som den på ett säkert och tillförlitligt sätt ger möjlighet att integrera moderna gränssnittselement.
Varför finns det flera instanser av processen?
Du får ofta se flera instanser av konsolfönstervärdsprocessen som körs i Aktivitetshanteraren. Varje instans av Command Prompt-körning kommer att gissa sitt eget konsolfönster värdprocess. Dessutom kan andra appar som använder kommandoraden göra en egen konsol Windows Host-process, även om du inte ser ett aktivt fönster för dem. Ett bra exempel på detta är appen Plex Media Server, som körs som en bakgrundsapp och använder kommandoraden för att göra sig tillgänglig för andra enheter på ditt nätverk.
Många bakgrundsappar fungerar på så sätt, så det är inte ovanligt att se flera instanser av konsolvinduvertsprocessen som körs vid en viss tidpunkt. Detta är normalt beteende. För det mesta bör varje process ta upp mycket lite minne (vanligen under 10 MB) och nästan noll CPU om inte processen är aktiv.
Om du märker att en viss förekomst av konsolfönstervärden eller en relaterad tjänst orsakar problem, som kontinuerlig överdriven CPU eller RAM-användning, kan du kolla in de specifika appar som är inblandade. Det kan åtminstone ge dig en uppfattning om var du ska börja felsökning. Tyvärr tillhandahåller Task Manager själv inte bra information om detta. Den goda nyheten är att Microsoft ger ett utmärkt avancerat verktyg för att arbeta med processer som en del av sin Sysinternals-serie. Hämta bara Process Explorer och kör det-det är en bärbar app, så du behöver inte installera den. Process Explorer erbjuder alla typer av avancerade funktioner - och vi rekommenderar starkt att du läser vår guide för att förstå Process Explorer för att lära dig mer.
Det enklaste sättet att spåra dessa processer ner i Process Explorer är att först slå Ctrl + F för att starta en sökning. Sök efter "conhost" och klicka sedan igenom resultaten. Som du gör kommer du se huvudfönstret byta för att visa dig appen (eller tjänsten) som är associerad med den specifika förekomsten av Console Window Host.
Om CPU- eller RAM-användningen indikerar att detta är förekomsten som orsakar problem, då har du åtminstone minskat till en viss app.
Kunde denna process vara ett virus?
Processen i sig är en officiell Windows-komponent. Även om det är möjligt att ett virus har ersatt den verkliga Console Window Host med en körbar egen, är det osannolikt. Om du vill vara säker kan du kolla in den underliggande filplatsen för processen. I Aktivitetshanteraren högerklickar du på någon Service Host-process och väljer alternativet "Öppna filplats".
Om filen är lagrad i din Windows \ System32
mappen, då kan du vara ganska säker på att du inte hanterar ett virus.
Det finns faktiskt en trojansk där ute som heter Conhost Miner som maskerar som Console Window Host Process. I Aktivitetshanteraren verkar det som den verkliga processen, men en liten grävning visar att den faktiskt lagras i % Userprofile% \ AppData \ Roaming \ Microsoft
mapp snarare än Windows \ System32
mapp. Trojanen används faktiskt för att kapa din dator till mina Bitcoins, så det andra beteendet du märker om det är installerat på ditt system är att minnesanvändningen är högre än du kan förvänta dig och CPU-användningen upprätthåller på mycket höga nivåer (ofta över 80%).
Att använda en bra virusskanner är naturligtvis det bästa sättet att förebygga (och ta bort) skadlig kod som Conhost Miner, och det är något du borde göra ändå. Säkra före det osäkra!