Bez wątpienia czytasz ten artykuł, ponieważ natknąłeś się na proces Host okna konsoli (conhost.exe) w Menedżerze zadań i zastanawiasz się, co to jest. Mamy dla ciebie odpowiedź.
Ten artykuł jest częścią naszych bieżących serii wyjaśniających różne procesy znalezione w Menedżerze zadań, takie jak svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, rundll32.exe, Adobe_Updater.exe i wiele innych. Nie wiesz, jakie są te usługi? Lepiej zacznij czytać!
Zrozumienie okna Host procesu wymaga trochę historii. W dniach Windows XP, wiersz polecenia był obsługiwany przez proces o nazwie ClientServer Runtime System Service (CSRSS). Jak sama nazwa wskazuje, CSRSS był usługą na poziomie systemu. Stworzyło to kilka problemów. Po pierwsze, awaria w CSRSS może zaszkodzić całemu systemowi, który ujawniłby nie tylko problemy z niezawodnością, ale także możliwe luki w zabezpieczeniach. Drugi problem polegał na tym, że CSRSS nie mógł być tematyczny, ponieważ programiści nie chcieli ryzykować kodu tematycznego uruchamianego w procesie systemowym. Tak więc wiersz polecenia miał zawsze klasyczny wygląd, a nie nowe elementy interfejsu.
Zauważ na zrzucie ekranu Windows XP poniżej, że wiersz polecenia nie ma takiego samego stylu jak aplikacja, jak Notatnik.
Windows Vista wprowadził Desktop Window Manager - usługę, która "rysuje" złożone widoki okien na twoim komputerze, zamiast pozwalać, aby każda indywidualna aplikacja sama sobie z tym poradziła. Wiersz polecenia zyskał na tym pewne powierzchowne motywy (jak szklista ramka obecna w innych oknach), ale nastąpiło to kosztem przeciągania i upuszczania plików, tekstów itd. Do okna wiersza polecenia.
Mimo wszystko temat ten posuwał się tylko tak daleko. Jeśli spojrzysz na konsolę w systemie Windows Vista, wygląda na to, że używa tego samego motywu co wszystko inne, ale zauważysz, że paski przewijania wciąż używają starego stylu. Dzieje się tak dlatego, że Menedżer okien pulpitu obsługuje rysowanie pasków tytułu i ramki, ale w środku wciąż znajduje się staroświeckie okno CSRSS.
Wprowadź Windows 7 i proces Host okna konsoli. Jak sama nazwa wskazuje, jest to proces hosta dla okna konsoli. Rodzaj procesu znajduje się pośrodku między CSRSS a wierszem poleceń (cmd.exe), umożliwiając systemowi Windows naprawienie obu poprzednich elementów interfejsu problemów, takich jak rysowanie poprawnie pasków przewijania, a następnie można przeciągnąć i upuścić w wierszu polecenia. I to jest metoda wciąż używana w Windows 8 i 10, pozwalająca na wszystkie nowe elementy interfejsu i stylizację, które pojawiły się od czasów Windows 7.
Mimo że Menedżer zadań przedstawia Host okna konsoli jako odrębną całość, nadal jest ściśle powiązany z CSRSS. Jeśli sprawdzisz proces conhost.exe w Process Explorer, zobaczysz, że faktycznie działa on w procesie csrss.ese.
Ostatecznie Host okna konsoli jest czymś w rodzaju powłoki, która utrzymuje moc uruchamiania usług na poziomie systemu, takich jak CSRSS, a jednocześnie zapewnia niezawodne i niezawodne integrowanie nowoczesnych elementów interfejsu.
Często zdarza się, że w Menedżerze zadań jest kilka wystąpień procesu Host okna konsoli. Każda instancja uruchamiana z wiersza poleceń odrodzi własny proces Host okna konsoli. Ponadto inne aplikacje, które korzystają z wiersza poleceń, odradzają własny proces hosta systemu Windows - nawet jeśli nie widzisz dla nich aktywnego okna. Dobrym tego przykładem jest aplikacja Plex Media Server, która działa jako aplikacja w tle i korzysta z wiersza poleceń, aby udostępnić ją innym urządzeniom w sieci.
Wiele aplikacji działających w tle działa w ten sposób, więc często zdarza się, że wiele instancji procesu Host okna konsoli działa w danym momencie. To normalne zachowanie. W większości przypadków każdy proces powinien zajmować bardzo mało pamięci (zwykle poniżej 10 MB) i prawie zero procesora, chyba że proces jest aktywny.
To powiedziawszy, jeśli zauważysz, że konkretne wystąpienie hosta Window Console - lub powiązanej usługi - powoduje problemy, takie jak ciągłe nadmierne użycie procesora lub pamięci RAM, możesz sprawdzić konkretne aplikacje, które są zaangażowane. To może przynajmniej dać ci pojęcie, od czego zacząć rozwiązywanie problemów. Niestety Menedżer zadań sam w sobie nie dostarcza dobrych informacji na ten temat. Dobrą wiadomością jest to, że Microsoft zapewnia doskonałe zaawansowane narzędzie do pracy z procesami w ramach swojej linii Sysinternals. Po prostu pobierz Process Explorer i uruchom go - jest to przenośna aplikacja, więc nie trzeba jej instalować.Process Explorer oferuje wszystkie zaawansowane funkcje i zdecydowanie zalecamy przeczytanie naszego przewodnika po zrozumieniu Eksploratora procesów, aby dowiedzieć się więcej.
Najprostszym sposobem śledzenia tych procesów w Eksploratorze procesów jest najpierw naciśnięcie Ctrl + F, aby rozpocząć wyszukiwanie. Wyszukaj "conhost", a następnie kliknij wyniki. W ten sposób zobaczysz zmianę głównego okna, aby pokazać aplikację (lub usługę) związaną z tym konkretnym wystąpieniem hosta okna konsoli.
Jeśli użycie procesora lub pamięci RAM wskazuje, że jest to instancja powodująca problemy, to przynajmniej zawęziłeś ją do konkretnej aplikacji.
Sam proces jest oficjalnym składnikiem systemu Windows. Chociaż możliwe jest, że wirus zastąpił prawdziwy Host okna konsoli własnym plikiem wykonywalnym, jest to mało prawdopodobne. Jeśli chcesz mieć pewność, możesz sprawdzić lokalizację pliku, w którym znajduje się plik. W Menedżerze zadań kliknij prawym przyciskiem myszy dowolny proces Host usługi i wybierz opcję "Otwórz lokalizację pliku".
Jeśli plik jest przechowywany w twoim Windows \ System32
folder, możesz być dość pewny, że nie masz do czynienia z wirusem.
W rzeczywistości jest to trojan o nazwie Conhost Miner, który podszywa się pod proces Host okna konsoli. W Menedżerze zadań wygląda tak, jak w prawdziwym procesie, ale trochę kopania ujawni, że jest on rzeczywiście przechowywany w % userprofile% \ AppData \ Roaming \ Microsoft
folder, a nie Windows \ System32
teczka. Trojan jest rzeczywiście używany do przejęcia twojego komputera do kopalni Bitcoinów, więc innym zachowaniem, które zauważysz, jeśli jest zainstalowane w twoim systemie, jest to, że użycie pamięci jest wyższe niż można by się spodziewać, a użycie procesora utrzymuje się na bardzo wysokich poziomach (często powyżej 80%).
Oczywiście używanie dobrego skanera antywirusowego jest najlepszym sposobem zapobiegania (i usuwania) złośliwego oprogramowania, takiego jak Conhost Miner, i to jest coś, co i tak powinno być robione. Lepiej dmuchać na zimne!