Denne artikkelen er en del av vår pågående serie som forklarer ulike prosesser som finnes i Oppgavebehandling, som svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, rundll32.exe, Adobe_Updater.exe og mange andre. Vet ikke hva disse tjenestene er? Bedre begynn å lese!
Så Hva er konsollen Vindu vert Host Prosess?
Forstå konsolvinduet Vertsprosessen krever litt historie. I Windows XP-dagene ble kommandoprompt håndtert av en prosess kalt ClientServer Runtime System Service (CSRSS). Som navnet tilsier, var CSRSS en systemnivå service. Dette skapte et par problemer. For det første kunne et krasj i CSRSS føre ned et helt system, som ikke bare viste pålitelighetsproblemer, men også mulige sikkerhetsproblemer. Det andre problemet var at CSRSS ikke kunne bli tema, fordi utviklerne ikke ville risikere at temakoden skulle løpe i en systemprosess. Så, kommandopromptet hadde alltid det klassiske utseendet i stedet for å bruke nye grensesnittelementer.
Legg merke til i skjermbildet av Windows XP nedenfor at kommandoprompt ikke får samme stil som en app som Notisblokk.
Likevel gikk det tema bare så langt. Hvis du ser på konsollen i Windows Vista, ser det ut til at den bruker det samme temaet som alt annet, men du vil merke at rullebjelker fortsatt bruker den gamle stilen. Dette skyldes at Desktop Window Manager håndterer tegning av tittellinjer og ramme, men et gammeldags CSRSS-vindu sitter fortsatt inne.
Selv om oppgavebehandling presenterer konsolvinduet som en separat enhet, er den fortsatt nært knyttet til CSRSS. Hvis du sjekker conhost.exe-prosessen ut i Process Explorer, kan du se at den faktisk kjører under csrss.ese-prosessen.
Hvorfor er det flere forekomster av prosessen som kjører?
Mange bakgrunnsprogrammer fungerer på denne måten, så det er ikke uvanlig å se flere forekomster av konsollvinduvertenprosessen som kjører til enhver tid. Dette er normal oppførsel. For det meste bør hver prosess ta opp svært lite minne (vanligvis under 10 MB) og nesten null CPU med mindre prosessen er aktiv.
Når det er sagt, hvis du oppdager at en bestemt forekomst av Console Window Host-eller en relatert tjeneste-forårsaker problemer, som kontinuerlig overdreven CPU eller RAM-bruk, kan du sjekke inn i bestemte apper som er involvert. Det kan i det minste gi deg en ide om hvor du skal starte feilsøkingen. Dessverre gir Oppgavebehandling selv ikke god informasjon om dette. Den gode nyheten er at Microsoft gir et utmerket avansert verktøy for å jobbe med prosesser som en del av Sysinternals-serien. Bare last ned Process Explorer og kjør det - det er en bærbar app, så du trenger ikke å installere den. Process Explorer gir alle slags avanserte funksjoner, og vi anbefaler på det sterkeste å lese vår guide til å forstå Process Explorer for å lære mer.
Den enkleste måten å spore disse prosessene ned i Process Explorer er å først trykke Ctrl + F for å starte et søk. Søk etter "conhost" og klikk deretter gjennom resultatene. Som du gjør, ser du hovedvinduets endring for å vise deg appen (eller tjenesten) som er knyttet til den aktuelle forekomsten av Console Window Host.
Kunne denne prosessen være et virus?
Prosessen i seg selv er en offisiell Windows-komponent. Selv om det er mulig at et virus har erstattet den virkelige konsollvinduverten med en kjørbar egen, er det usannsynlig.Hvis du vil være sikker, kan du sjekke ut den underliggende filplasseringen av prosessen. I Oppgavebehandling høyreklikker du på en hvilken som helst Service Host-prosess og velger alternativet "Åpne filliste".
WindowsSystem32
mappe, så kan du være ganske sikker på at du ikke arbeider med et virus.
%userprofile%AppDataRoamingMicrosoft
mappe i stedet for
WindowsSystem32
mappe. Trojanen er faktisk brukt til å kapre PC-en til mine Bitcoins, så den andre oppførselen du vil merke hvis den er installert på systemet, er at minnebruket er høyere enn du kanskje forventer, og CPU-bruken opprettholder på svært høye nivåer (ofte over 80%).
Selvfølgelig er bruk av en god virusskanner den beste måten å forhindre (og fjerne) malware på som Conhost Miner, og det er noe du bør gjøre uansett. Bedre trygg enn beklager!
