5Aug
Sie werden diesen Artikel sicher lesen, weil Sie im Task-Manager über den Console-Host-Prozess( conhost.exe) gestolpert sind und sich fragen, was das ist. Wir haben die Antwort für dich.
Dieser Artikel ist Teil unserer laufenden Reihe, die verschiedene Prozesse erklärt, die im Aufgaben-Manager gefunden werden, wie svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, rundll32.exe, Adobe_Updater.exe und viele andere. Weiß nicht, was diese Dienste sind? Besser anfangen zu lesen!
Was ist der Hostprozess des Konsolenfensters?
Das Verständnis des Konsolenfenster-Host-Prozesses erfordert ein wenig Geschichte. In den Windows XP-Tagen wurde die Eingabeaufforderung von einem Prozess namens ClientServer Runtime System Service( CSRSS) verarbeitet. Wie der Name schon sagt, war CSRSS ein Service auf Systemebene. Dies verursachte ein paar Probleme. Erstens könnte ein Absturz in CSRSS ein ganzes System zum Absturz bringen, was nicht nur Zuverlässigkeitsprobleme, sondern auch mögliche Sicherheitslücken offen legt. Das zweite Problem war, dass CSRSS nicht thematisch sein konnte, da die Entwickler nicht riskieren wollten, dass Themencode in einem Systemprozess ausgeführt wurde. So hatte die Eingabeaufforderung immer das klassische Aussehen, anstatt neue Interface-Elemente zu verwenden.
Beachten Sie im Screenshot von Windows XP, dass die Eingabeaufforderung nicht das gleiche Styling wie eine Anwendung wie Notepad bekommt.
Windows Vista führte den Desktop Window Manager ein - ein Dienst, der zusammengesetzte Ansichten von Fenstern auf Ihren Desktop "zeichnet", anstatt dass jede einzelne App das alleine behandeln kann. Die Eingabeaufforderung erhielt einige oberflächliche Hervorhebungen( wie der glasige Rahmen in anderen Fenstern), aber es ging darum, Dateien, Text und so weiter in das Eingabeaufforderungsfenster ziehen und ablegen zu können.
Dennoch ging das Thema nur so weit. Wenn Sie sich die Konsole in Windows Vista ansehen, sieht es so aus, als ob sie das gleiche Thema wie alles andere verwendet, aber Sie werden feststellen, dass die Bildlaufleisten immer noch den alten Stil verwenden. Dies liegt daran, dass der Desktop Window Manager das Zeichnen der Titelleisten und des Rahmens übernimmt, aber ein altmodisches CSRSS-Fenster immer noch darin sitzt.
Geben Sie Windows 7 und den Konsolenfenster-Host-Prozess ein. Wie der Name schon sagt, ist es ein Host-Prozess für das Konsolenfenster. Der Prozess befindet sich in der Mitte zwischen CSRSS und der Eingabeaufforderung( cmd.exe), so dass Windows die beiden vorherigen Probleme beheben kann - Schnittstellenelemente wie das korrekte Zeichnen von Bildlaufleisten und das erneute Ziehen und Ablegen in die Eingabeaufforderung. Und das ist die Methode, die immer noch in Windows 8 und 10 verwendet wird und alle neuen Interface-Elemente und das Styling seit Windows 7 ermöglicht.
Obwohl der Task-Manager den Konsolenfenster-Host als separate Entität darstellt, ist er immer noch eng mit CSRSS verbunden. Wenn Sie den conhost.exe-Prozess in Process Explorer überprüfen, können Sie sehen, dass es tatsächlich unter dem Prozess csrss.ese ausgeführt wird.
Am Ende ist der Konsolenfenster-Host so etwas wie eine Shell, die die Leistung eines System-Level-Dienstes wie CSRSS beibehält, während sie immer noch sicher und zuverlässig die Möglichkeit zur Integration moderner Schnittstellenelemente gewährt.
Warum werden mehrere Instanzen des Prozesses ausgeführt?
Häufig werden mehrere Instanzen des Konsolenfenster-Host-Prozesses im Task-Manager angezeigt. Jede laufende Instanz der Eingabeaufforderung erzeugt einen eigenen Konsolenfenster-Host-Prozess. Außerdem erstellen andere Apps, die die Befehlszeile verwenden, ihren eigenen Konsolen-Windows-Host-Prozess - auch wenn Sie kein aktives Fenster für sie sehen. Ein gutes Beispiel hierfür ist die Plex Media Server App, die als Hintergrund-App ausgeführt wird und die Befehlszeile verwendet, um sie anderen Geräten in Ihrem Netzwerk zur Verfügung zu stellen.
Viele Hintergrund-Apps funktionieren auf diese Weise. Daher ist es nicht ungewöhnlich, dass zu einem bestimmten Zeitpunkt mehrere Instanzen des Konsolenfenster-Host-Prozesses ausgeführt werden. Das ist normales Verhalten. In den meisten Fällen sollte jeder Prozess sehr wenig Arbeitsspeicher( normalerweise unter 10 MB) und fast keine CPU beanspruchen, es sei denn, der Prozess ist aktiv.
Wenn Sie feststellen, dass eine bestimmte Instanz von Console Window Host - oder ein zugehöriger Dienst - Probleme verursacht, wie z. B. anhaltende übermäßige CPU- oder RAM-Auslastung, können Sie sich bei den betreffenden Apps anmelden. Das gibt Ihnen zumindest eine Vorstellung davon, wo Sie mit der Fehlersuche beginnen können. Leider bietet der Task-Manager selbst keine guten Informationen dazu. Die gute Nachricht ist, dass Microsoft im Rahmen seiner Sysinternals-Aufstellung ein hervorragendes fortschrittliches Werkzeug für die Arbeit mit Prozessen bietet. Laden Sie einfach den Process Explorer herunter und führen Sie ihn aus - es handelt sich um eine portable Anwendung, Sie müssen sie also nicht installieren. Process Explorer bietet alle Arten von erweiterten Funktionen - und wir empfehlen Ihnen, unseren Leitfaden zum Verständnis von Process Explorer zu lesen, um mehr zu erfahren.
Der einfachste Weg, diese Prozesse im Process Explorer zu verfolgen, besteht darin, zuerst Strg + F zu drücken, um eine Suche zu starten. Suchen Sie nach "conhost" und klicken Sie dann durch die Ergebnisse. Wenn Sie dies tun, wird das Hauptfenster geändert, um Ihnen die App( oder den Dienst) anzuzeigen, die dieser bestimmten Instanz des Konsolenfensterhosts zugeordnet ist.
Wenn die CPU- oder RAM-Auslastung anzeigt, dass dies die Instanz ist, die Ihnen Probleme bereitet, dann haben Sie es zumindest auf eine bestimmte App beschränkt.
Könnte dieser Prozess ein Virus sein?
Der Prozess selbst ist eine offizielle Windows-Komponente. Obwohl es möglich ist, dass ein Virus den echten Konsolenfenster-Host durch eine eigene ausführbare Datei ersetzt hat, ist dies unwahrscheinlich. Wenn Sie sicher sein möchten, können Sie den zugrunde liegenden Speicherort der Datei überprüfen. Klicken Sie im Task-Manager mit der rechten Maustaste auf einen beliebigen Service-Host-Prozess und wählen Sie die Option "Speicherort für Datei öffnen".
Wenn die Datei in Ihrem Windows \ System32-Ordner gespeichert ist, können Sie ziemlich sicher sein, dass Sie nicht mit einem Virus zu tun haben.
Es gibt tatsächlich einen Trojaner namens Conhost Miner, der sich als Konsolenfenster-Host-Prozess tarnt. Im Task-Manager sieht es genauso aus wie beim echten Prozess, aber ein wenig Graben zeigt, dass es tatsächlich im Ordner% userprofile% \ AppData \ Roaming \ Microsoft statt im Ordner Windows \ System32 gespeichert ist. Der Trojaner wird tatsächlich verwendet, um Ihren PC zu hacken, um Bitcoins zu minen. Das andere Verhalten, das Sie auf Ihrem System bemerken, ist, dass die Speicherauslastung höher ist als erwartet und die CPU-Auslastung sehr hoch ist( oft darüber)80%).
Natürlich ist die Verwendung eines guten Virenscanners der beste Weg, Malware wie den Conhost Miner zu verhindern( und zu entfernen), und das sollten Sie sowieso tun. Sicher ist sicher!