Was ist conhost.exe und warum wird es ausgeführt?
Sie lesen diesen Artikel ohne Zweifel, da Sie im Task-Manager über den Prozess des Console Window Host (conhost.exe) gestolpert sind und sich fragen, was es ist. Wir haben die Antwort für Sie.
Dieser Artikel ist Teil unserer fortlaufenden Serie, in der verschiedene Prozesse erläutert werden, die im Task-Manager zu finden sind, wie svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, rundll32.exe, Adobe_Updater.exe und viele andere. Weiß nicht, was diese Dienste sind? Beginnen Sie lieber mit dem Lesen!
Was ist also der Konsolenfenster-Host-Prozess??
Das Verstehen des Konsolenfenster-Host-Prozesses erfordert ein wenig Historie. In den Tagen von Windows XP wurde die Eingabeaufforderung von einem Prozess namens ClientServer Runtime System Service (CSRSS) verarbeitet. Wie der Name schon sagt, war CSRSS ein Service auf Systemebene. Dies führte zu einigen Problemen. Erstens könnte ein Absturz bei CSRSS ein ganzes System zum Erliegen bringen, was nicht nur Zuverlässigkeitsprobleme, sondern auch Sicherheitslücken mit sich bringt. Das zweite Problem war, dass CSRSS nicht themenbezogen werden konnte, da die Entwickler nicht riskieren wollten, dass Themencode in einem Systemprozess ausgeführt wird. Daher hatte die Eingabeaufforderung immer das klassische Aussehen, anstatt neue Oberflächenelemente zu verwenden.
Beachten Sie im Screenshot von Windows XP, dass die Eingabeaufforderung nicht so gestaltet ist wie eine App wie Notepad.
Mit Windows Vista wurde der Desktop Window Manager eingeführt - ein Dienst, der zusammengesetzte Ansichten von Fenstern auf den Desktop „zeichnet“, anstatt dass jede einzelne App dies selbst erledigen muss. Die Eingabeaufforderung erhielt einige oberflächliche Themen (wie den in anderen Fenstern vorhandenen glasigen Rahmen), aber es ging darum, Dateien, Text usw. per Drag & Drop in das Eingabeaufforderungsfenster ziehen zu können.
Trotzdem ging das Thema nur so weit. Wenn Sie einen Blick auf die Konsole in Windows Vista werfen, sieht es so aus, als würde sie dasselbe Design wie alle anderen verwenden. Sie werden jedoch feststellen, dass die Bildlaufleisten immer noch den alten Stil verwenden. Dies liegt daran, dass der Desktop Window Manager das Zeichnen der Titelleisten und des Rahmens handhabt, ein altes CSRSS-Fenster jedoch immer noch darin sitzt.
Geben Sie Windows 7 und den Console Window Host-Prozess ein. Wie der Name schon sagt, ist es ein Host-Prozess für das Konsolenfenster. Der Prozess befindet sich in der Mitte zwischen CSRSS und der Eingabeaufforderung (cmd.exe). Windows kann also die beiden vorherigen Elemente der Benutzeroberfläche, wie z. B. Bildlaufleisten, korrekt zeichnen, und Sie können sie erneut in die Eingabeaufforderung ziehen. Und das ist die Methode, die immer noch in Windows 8 und 10 verwendet wird, und ermöglicht alle neuen Elemente der Benutzeroberfläche und das Design, die seit Windows 7 entwickelt wurden.
Obwohl der Task-Manager den Console Window Host als separate Entität darstellt, ist er dennoch eng mit CSRSS verbunden. Wenn Sie den Prozess "conhost.exe" in Process Explorer auschecken, können Sie feststellen, dass er tatsächlich unter dem Prozess "csrss.ese" ausgeführt wird.
Am Ende ist der Console Window Host so etwas wie eine Shell, die die Ausführung eines Dienstes auf Systemebene wie CSRSS aufrechterhält und dabei dennoch sicher und zuverlässig die Möglichkeit bietet, moderne Oberflächenelemente zu integrieren.
Warum werden mehrere Instanzen des Prozesses ausgeführt??
Oft werden mehrere Instanzen des Console Window Host-Prozesses im Task-Manager angezeigt. Jede ausgeführte Instanz der Eingabeaufforderung erzeugt einen eigenen Console Window Host-Prozess. Darüber hinaus erzeugen andere Apps, die die Befehlszeile verwenden, ihren eigenen Konsolen-Windows-Host-Prozess, selbst wenn für sie kein aktives Fenster angezeigt wird. Ein gutes Beispiel dafür ist die Plex Media Server-App, die als Hintergrund-App ausgeführt wird und sich über die Befehlszeile anderen Geräten in Ihrem Netzwerk zur Verfügung stellt.
Viele Hintergrund-Apps funktionieren auf diese Weise. Daher ist es nicht ungewöhnlich, dass mehrere Instanzen des Console Window Host-Prozesses zu einem bestimmten Zeitpunkt ausgeführt werden. Das ist normales Verhalten. In den meisten Fällen sollte jeder Prozess sehr wenig Speicher (normalerweise unter 10 MB) und nahezu null CPU beanspruchen, es sei denn, der Prozess ist aktiv.
Wenn Sie jedoch feststellen, dass eine bestimmte Instanz von Console Window Host - oder ein verwandter Dienst - Probleme verursacht, beispielsweise durch die übermäßige Auslastung von CPU oder RAM, können Sie die betreffenden Apps überprüfen. Dies könnte Ihnen zumindest eine Vorstellung davon geben, wo Sie mit der Problembehandlung beginnen sollen. Leider bietet der Task-Manager selbst keine guten Informationen dazu. Die gute Nachricht ist, dass Microsoft ein hervorragendes fortschrittliches Werkzeug für die Arbeit mit Prozessen als Teil seiner Sysinternals-Produktpalette bietet. Laden Sie einfach Process Explorer herunter und führen Sie es aus. Es ist eine portable App, sodass Sie es nicht installieren müssen. Process Explorer bietet alle Arten von erweiterten Funktionen - und wir empfehlen Ihnen dringend, unser Handbuch zum Verständnis von Process Explorer zu lesen, um mehr zu erfahren.
Der einfachste Weg, diese Prozesse in Process Explorer zu finden, ist zuerst Strg + F zu drücken, um eine Suche zu starten. Suchen Sie nach „conhost“ und klicken Sie dann durch die Ergebnisse. Währenddessen sehen Sie, dass sich das Hauptfenster ändert, um die App (oder den Dienst) anzuzeigen, die dieser bestimmten Instanz des Console Window Host zugeordnet ist.
Wenn die CPU- oder RAM-Auslastung darauf hinweist, dass dies die Instanz ist, die Probleme verursacht, dann haben Sie sich zumindest auf eine bestimmte App beschränkt.
Könnte dieser Prozess ein Virus sein?
Der Prozess selbst ist eine offizielle Windows-Komponente. Es ist zwar unwahrscheinlich, dass ein Virus den echten Console Window Host durch eine eigene ausführbare Datei ersetzt hat. Wenn Sie sichergehen möchten, können Sie den zugrunde liegenden Dateispeicherort des Prozesses auschecken. Klicken Sie im Task-Manager mit der rechten Maustaste auf einen beliebigen Service Host-Prozess, und wählen Sie die Option "Dateispeicherort öffnen".
Wenn die Datei in Ihrem gespeichert ist Windows \ System32
Ordner, dann können Sie ziemlich sicher sein, dass Sie nicht mit einem Virus zu tun haben.
Es gibt in der Tat einen Trojaner namens Conhost Miner, der sich als Console Window Host Process ausgibt. Im Task-Manager sieht es aus wie der eigentliche Prozess, aber ein wenig Graben zeigt an, dass es tatsächlich im gespeichert ist % Benutzerprofil% \ AppData \ Roaming \ Microsoft
Ordner statt der Windows \ System32
Mappe. Der Trojaner wird tatsächlich dazu verwendet, Ihren PC für das Minen von Bitcoins zu entführen. Das andere Verhalten, das Sie bei der Installation auf Ihrem System feststellen werden, ist, dass die Speicherauslastung höher ist, als Sie vielleicht erwarten, und dass die CPU-Auslastung auf sehr hohem Niveau liegt (häufig über 80%).
Natürlich ist die Verwendung eines guten Virenscanners der beste Weg, um Malware wie den Conhost Miner zu verhindern (und zu entfernen), und dies sollten Sie sowieso tun. Sicher ist sicher!