Wat is conhost.exe en waarom wordt het uitgevoerd?
U leest dit artikel ongetwijfeld omdat u het proces Console Window Host (conhost.exe) bent tegengekomen in Task Manager en u zich afvraagt wat het is. We hebben het antwoord voor je.
Dit artikel maakt deel uit van onze doorlopende serie waarin verschillende processen worden beschreven die worden gevonden in Taakbeheer, zoals svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, rundll32.exe, Adobe_Updater.exe en vele anderen. Weet niet wat die diensten zijn? Beter beginnen met lezen!
Dus wat is het hostproces van het consolevenster?
Het consolevenster begrijpen Het hostproces vereist een beetje geschiedenis. In de Windows XP-dagen werd de opdrachtprompt afgehandeld door een proces met de naam ClientServer Runtime System Service (CSRSS). Zoals de naam al aangeeft, was CSRSS een service op systeemniveau. Dit creëerde een aantal problemen. Ten eerste kan een crash in CSRSS een heel systeem naar beneden halen, waardoor niet alleen betrouwbaarheidsproblemen, maar ook mogelijke beveiligingskwetsbaarheden aan het licht komen. Het tweede probleem was dat CSRSS geen thema kon zijn, omdat de ontwikkelaars geen thema-code wilden riskeren om in een systeemproces te worden uitgevoerd. Dus de opdrachtprompt had altijd de klassieke look in plaats van het gebruik van nieuwe interface-elementen.
Let op in de schermafbeelding van Windows XP hieronder dat de opdrachtprompt niet dezelfde stijl krijgt als een app zoals Kladblok.
Windows Vista heeft Desktop Window Manager geïntroduceerd - een service die samengestelde weergaven van vensters naar uw bureaublad "tekent" in plaats van elke afzonderlijke app die alleen te laten verwerken. De opdrachtprompt kreeg hier wat oppervlakkige thema's van (zoals het glasachtige kader in andere vensters), maar het ging ten koste van het kunnen slepen en neerzetten van bestanden, tekst, enzovoort naar het opdrachtpromptvenster.
Toch ging dat thema alleen zo ver. Als je de console in Windows Vista bekijkt, lijkt het alsof het hetzelfde thema gebruikt als al het andere, maar je zult merken dat de schuifbalken nog steeds de oude stijl gebruiken. Dit komt omdat Desktop Window Manager de titelbalken en het frame tekent, maar er zit nog steeds een ouderwets CSRSS-venster in.
Voer Windows 7 en het hostproces van het consolevenster in. Zoals de naam al aangeeft, is dit een hostproces voor het consolevenster. Het processortype zit in het midden tussen CSRSS en de opdrachtprompt (cmd.exe), waardoor Windows beide van de vorige problemen kan repareren, zoals interface-elementen zoals schuifbalken, en u kunt opnieuw slepen en neerzetten in de opdrachtprompt. En dat is de methode die nog steeds wordt gebruikt in Windows 8 en 10, waardoor alle nieuwe interface-elementen en styling die zijn meegekomen sinds Windows 7.
Hoewel de Taakmanager de consolevensterhost presenteert als een afzonderlijke entiteit, is deze nog steeds nauw verbonden met CSRSS. Als u het proces conhost.exe in Process Explorer uitschakelt, kunt u zien dat het daadwerkelijk onder het csrss.se proces draait.
Uiteindelijk is de consolevensterhost net zoiets als een shell die de kracht behoudt om een systeemniveau-service zoals CSRSS uit te voeren, terwijl het nog steeds veilig en betrouwbaar de mogelijkheid biedt om moderne interface-elementen te integreren.
Waarom zijn er verschillende exemplaren van het proces actief?
U ziet vaak verschillende exemplaren van het consolevenster Host-proces worden uitgevoerd in Taakbeheer. Bij elk exemplaar van de opdrachtprompt wordt een eigen consolevenster hostproces gestart. Daarnaast zullen andere apps die gebruik maken van de opdrachtregel hun eigen console-Windows Host-proces opstarten, zelfs als u er geen actief venster voor ziet. Een goed voorbeeld hiervan is de Plex Media Server-app, die wordt uitgevoerd als een achtergrondapp en de opdrachtregel gebruikt om zichzelf beschikbaar te maken voor andere apparaten in uw netwerk..
Veel achtergrond-apps werken op deze manier, dus het is niet ongewoon om op elk willekeurig moment meerdere instanties van het consolevenster hostproces te zien lopen. Dit is normaal gedrag. Meestal moet elk proces heel weinig geheugen innemen (meestal minder dan 10 MB) en bijna geen CPU, tenzij het proces actief is.
Dat gezegd hebbende, als u merkt dat een bepaald exemplaar van Console Window Host - of een gerelateerde service - problemen veroorzaakt, zoals een voortdurend overmatig CPU- of RAM-gebruik, kunt u nagaan welke specifieke apps erbij betrokken zijn. Dat zou u op zijn minst een idee kunnen geven van waar het probleemoplossen moet beginnen. Helaas geeft Task Manager zelf hier geen goede informatie over. Het goede nieuws is dat Microsoft een uitstekende geavanceerde tool biedt voor het werken met processen als onderdeel van zijn Sysinternals-line-up. Download de Process Explorer en voer hem uit - het is een draagbare app, dus u hoeft hem niet te installeren. Process Explorer biedt allerlei geavanceerde functies en we raden u ten zeerste aan onze handleiding voor het begrijpen van Process Explorer te lezen voor meer informatie.
De eenvoudigste manier om deze processen te volgen in Process Explorer is om eerst Ctrl + F te raken om een zoekopdracht te starten. Zoek naar "conhost" en klik vervolgens door de resultaten. Terwijl u dat doet, ziet u het hoofdvenster veranderen en ziet u de app (of service) die is gekoppeld aan dat specifieke exemplaar van Host van het consolevenster.
Als het CPU- of RAM-gebruik aangeeft dat dit het exemplaar is dat je problemen veroorzaakt, dan heb je het in elk geval versmald tot een bepaalde app.
Kan dit proces een virus zijn?
Het proces zelf is een officieel Windows-onderdeel. Hoewel het mogelijk is dat een virus de echte consolevensterhost heeft vervangen door een eigen uitvoerbaar bestand, is dit onwaarschijnlijk. Als je het zeker wilt weten, kun je de onderliggende bestandslocatie van het proces bekijken. Klik in Taakbeheer met de rechtermuisknop op een Service Host-proces en kies de optie "Bestandslocatie openen".
Als het bestand is opgeslagen in uw Windows \ System32
map, dan kunt u er vrij zeker van zijn dat u niet met een virus te maken hebt.
Er is in feite een trojan die Conhost Miner heet en zich voordoet als het Host-proces van het consolevenster. In Task Manager verschijnt het net als het echte proces, maar een beetje graven zal onthullen dat het daadwerkelijk is opgeslagen in de % Gebruikersprofiel% \ AppData \ Roaming \ Microsoft
map in plaats van de Windows \ System32
map. De trojan wordt eigenlijk gebruikt om je pc te kapen om bitcoins te de mijnen, dus het andere gedrag dat je zult opvallen als het op je systeem is geïnstalleerd is dat het geheugengebruik hoger is dan je zou verwachten en het CPU-gebruik op zeer hoge niveaus blijft (vaak hierboven 80%).
Natuurlijk is het gebruik van een goede virusscanner de beste manier om malware te voorkomen (en te verwijderen), zoals de Conhost Miner, en het is iets dat je sowieso zou moeten doen. Voorkomen is beter dan genezen!