5Aug
U leest dit artikel ongetwijfeld omdat u het proces Console Window Host( conhost.exe) bent tegengekomen in Task Manager en u zich afvraagt wat het is. We hebben het antwoord voor jou.
Dit artikel maakt deel uit van onze doorlopende serie waarin verschillende processen worden beschreven die worden gevonden in Taakbeheer, zoals svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, rundll32.exe, Adobe_Updater.exe en vele anderen. Weet niet wat die services zijn? Beter beginnen met lezen!
Dus wat is het consolevenster hostproces?
Het consolevenster begrijpen Het hostproces vereist een beetje geschiedenis. In de Windows XP-dagen werd de opdrachtprompt afgehandeld door een proces met de naam ClientServer Runtime System Service( CSRSS).Zoals de naam al aangeeft, was CSRSS een service op systeemniveau. Dit creëerde een aantal problemen. Ten eerste kan een crash in CSRSS een heel systeem naar beneden halen, waardoor niet alleen betrouwbaarheidsproblemen, maar ook mogelijke beveiligingskwetsbaarheden aan het licht komen. Het tweede probleem was dat CSRSS geen thema kon zijn, omdat de ontwikkelaars niet wilden dat de thema-code in een systeemproces zou worden gebruikt. Dus de opdrachtprompt had altijd de klassieke look in plaats van het gebruik van nieuwe interface-elementen.
Bekend in de screenshot van Windows XP hieronder dat de opdrachtprompt niet dezelfde stijl krijgt als een app zoals Kladblok.
Windows Vista heeft Desktop Window Manager geïntroduceerd - een service die samengestelde weergaven van vensters naar uw bureaublad "tekent" in plaats van elke individuele app dat alleen te laten afhandelen. De opdrachtprompt kreeg hier wat oppervlakkige thema's van( zoals het glasachtige kader in andere vensters), maar het ging ten koste van het kunnen slepen en neerzetten van bestanden, tekst, enzovoort in het opdrachtpromptvenster.
Toch ging dat thema alleen zo ver. Als je de console in Windows Vista bekijkt, lijkt het alsof het hetzelfde thema gebruikt als al het andere, maar je zult merken dat de schuifbalken nog steeds de oude stijl gebruiken. Dit komt omdat Desktop Window Manager de titelbalken en het frame tekent, maar er zit nog steeds een ouderwets CSRSS-venster in.
Ga naar Windows 7 en het hostproces van het consolevenster. Zoals de naam al aangeeft, is dit een hostproces voor het consolevenster. Het processortype zit in het midden tussen CSRSS en de opdrachtprompt( cmd.exe), waardoor Windows beide van de vorige problemen kan herstellen, zoals interface-elementen zoals schuifbalken, en u kunt opnieuw slepen en neerzetten in de opdrachtprompt. En dat is de methode die nog steeds wordt gebruikt in Windows 8 en 10, waardoor alle nieuwe interface-elementen en styling die sinds Windows 7 zijn meegekomen.
Hoewel de Task Manager de consolevensterhost presenteert als een afzonderlijke entiteit, is deze nog steeds nauw verbonden met CSRSS.Als u het proces conhost.exe in Process Explorer controleert, kunt u zien dat het proces feitelijk wordt uitgevoerd onder het proces csrss.ese.
Uiteindelijk is de consolevensterhost net zoiets als een schaal die de kracht behoudt om een systeemniveau-service zoals CSRSS uit te voeren, terwijl hij nog steeds veilig en betrouwbaar de mogelijkheid biedt om moderne interface-elementen te integreren.
Waarom zijn er verschillende exemplaren van het proces actief?
U ziet vaak verschillende instanties van het consolevenster Host-proces worden uitgevoerd in Taakbeheer. Bij elk exemplaar van de opdrachtprompt wordt een eigen consolevenster hostproces gestart. Daarnaast zullen andere apps die gebruik maken van de opdrachtregel hun eigen console-Windows Host-proces opstarten, zelfs als u er geen actief venster voor ziet. Een goed voorbeeld hiervan is de Plex Media Server-app, die wordt uitgevoerd als een achtergrondapp en de opdrachtregel gebruikt om zichzelf beschikbaar te maken voor andere apparaten in uw netwerk.
Veel achtergrond-apps werken op deze manier, dus het is niet ongebruikelijk om op elk willekeurig moment meerdere instanties van het consolevenster hostproces te zien draaien. Dit is normaal gedrag. Meestal moet elk proces heel weinig geheugen innemen( meestal minder dan 10 MB) en bijna nul CPU tenzij het proces actief is.
Dat gezegd hebbende, als je merkt dat een bepaald exemplaar van Console Window Host - of een gerelateerde service - problemen veroorzaakt, zoals een voortdurend overmatig CPU- of RAM-gebruik, zou je kunnen nagaan welke specifieke apps erbij betrokken zijn. Dat kan u op zijn minst een idee geven van waar u met het oplossen van problemen moet beginnen. Helaas geeft Task Manager zelf hier geen goede informatie over. Het goede nieuws is dat Microsoft een uitstekende geavanceerde tool biedt voor het werken met processen als onderdeel van zijn Sysinternals-line-up. Download de Process Explorer en voer hem uit - het is een draagbare app, dus u hoeft hem niet te installeren. Process Explorer biedt allerlei geavanceerde functies en we raden u ten zeerste aan onze handleiding voor het begrijpen van Process Explorer te lezen voor meer informatie.
De eenvoudigste manier om deze processen te volgen in Process Explorer is om eerst Ctrl + F te raken om een zoekopdracht te starten. Zoek naar "conhost" en klik vervolgens door de resultaten. Terwijl u dit doet, ziet u het hoofdvenster veranderen en ziet u de app( of service) die is gekoppeld aan die specifieke instantie van Host van het consolevenster.
Als het CPU- of RAM-gebruik aangeeft dat dit het exemplaar is dat je problemen veroorzaakt, dan heb je het in elk geval versmald tot een bepaalde app.
Kan dit proces een virus zijn?
Het proces zelf is een officieel Windows-onderdeel. Hoewel het mogelijk is dat een virus de echte consolevensterhost heeft vervangen door een eigen uitvoerbaar bestand, is het onwaarschijnlijk. Als je het zeker wilt weten, kun je de onderliggende bestandslocatie van het proces bekijken. Klik in Taakbeheer met de rechtermuisknop op een Service Host-proces en kies de optie "Bestandslocatie openen".
Als het bestand is opgeslagen in uw Windows \ System32-map, kunt u er vrij zeker van zijn dat u niet met een virus te maken hebt.
Er is in feite een trojan die Conhost Miner heet en zich voordoet als het Host-proces van het consolevenster. In Task Manager verschijnt het net als het echte proces, maar een beetje graven zal onthullen dat het daadwerkelijk is opgeslagen in de map% userprofile% \ AppData \ Roaming \ Microsoft in plaats van de map Windows \ System32.De trojan wordt eigenlijk gebruikt om je pc te kapen aan Bitcoins, dus het andere gedrag dat je zult opvallen als het op je systeem is geïnstalleerd, is dat het geheugengebruik hoger is dan je zou verwachten en het CPU-gebruik op zeer hoge niveaus blijft( vaak hierboven80%).
Natuurlijk is het gebruik van een goede virusscanner de beste manier om malware te voorkomen( en te verwijderen), zoals de Conhost Miner, en het is iets dat je sowieso zou moeten doen. Voorkomen is beter dan genezen!