5Aug
Você não tem dúvida de ler este artigo porque você tropeçou no processo Console Host da Janela( conhost.exe) no Gerenciador de Tarefas e está se perguntando o que é.Temos a resposta para você.
Este artigo é parte de nossa série em andamento explicando vários processos encontrados no Gerenciador de Tarefas, como svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, rundll32.exe, Adobe_Updater.exe e muitos outros. Não sabe quais são esses serviços? Melhor começar a ler!
Então, o que é o Processo do Host da Janela da Consola?
Compreender a janela do console O processo do host requer um pouco de histórico. Nos dias do Windows XP, o prompt de comando foi tratado por um processo denominado ClientServer Runtime System Service( CSRSS).Como o nome indica, o CSRSS era um serviço de nível de sistema. Isso criou alguns problemas. Primeiro, um acidente no CSRSS poderia derrubar um sistema inteiro, que expôs não apenas problemas de confiabilidade, mas também possíveis vulnerabilidades de segurança. O segundo problema era que o CSRSS não podia ser temático, porque os desenvolvedores não queriam arriscar o código do tema a ser executado em um processo do sistema. Então, o prompt de comando sempre teve o aspecto clássico em vez de usar novos elementos de interface.
Aviso na captura de tela do Windows XP abaixo que o prompt de comando não obtém o mesmo estilo que um aplicativo como o bloco de notas.
O Windows Vista apresentou o Desktop Window Manager - um serviço que "desenha" as visualizações compostas do Windows em sua área de trabalho, em vez de permitir que cada aplicativo individual controle isso por conta própria. O Prompt do Comando ganhou alguns aspectos superficiais deste( como o quadro vidrado presente em outras janelas), mas ocorreu às custas de arrastar e soltar arquivos, texto e assim por diante na janela do prompt de comando.
Ainda assim, esse tema só foi tão longe. Se você olhar para o console no Windows Vista, parece que ele usa o mesmo tema que tudo, mas você notará que as barras de rolagem ainda estão usando o estilo antigo. Isso ocorre porque o Desktop Window Manager lida com o desenho das barras de título e do quadro, mas uma janela CSRSS antiquada ainda fica dentro.
Digite o Windows 7 e o processo do Host da janela da consola. Como o nome indica, é um processo host para a janela do console. O tipo de processo se senta no meio entre CSRSS e o prompt de comando( cmd.exe), permitindo que o Windows conserte ambos os elementos de interface de problemas anteriores, como as barras de rolagem desenham corretamente, e você pode novamente arrastrar e soltar no prompt de comando. E esse é o método ainda usado no Windows 8 e 10, permitindo que todos os novos elementos de interface e estilo que vieram desde o Windows 7.
Mesmo que o Gerenciador de Tarefas apresenta o Console Window Host como uma entidade separada, ainda está intimamente associado ao CSRSS.Se você verificar o processo conhost.exe no Process Explorer, você pode ver que ele realmente é executado no processo csrss.ese.
No final, o Console Window Host é algo como um shell que mantém o poder de executar um serviço de nível de sistema como CSRSS, enquanto ainda está confiável e confiável, permitindo integrar elementos de interface modernos.
Por que existem várias instâncias do processo?
Muitas vezes, você verá várias instâncias do processo Console Window Host executado no Gerenciador de Tarefas. Cada instância de Execução do comando executando gerará seu próprio processo de Console Window Host. Além disso, outros aplicativos que usam a linha de comando gerarão seu próprio processo do Console Windows Host - mesmo que não veja uma janela ativa para eles. Um bom exemplo disso é o aplicativo Plex Media Server, que funciona como um aplicativo em segundo plano e usa a linha de comando para se tornar disponível para outros dispositivos em sua rede.
Muitos aplicativos em segundo plano funcionam desta forma, por isso não é incomum ver várias instâncias do processo Console Window Host em execução a qualquer momento. Este é um comportamento normal. Para a maior parte, cada processo deve ocupar muito pouca memória( geralmente inferior a 10 MB) e quase zero CPU, a menos que o processo esteja ativo.
Dito isto, se você notar que uma instância específica do Console Window Host - ou um serviço relacionado - está causando problemas, como o excesso de uso excessivo de CPU ou RAM, você pode verificar os aplicativos específicos envolvidos. Isso pode, pelo menos, dar uma idéia de onde iniciar a solução de problemas. Infelizmente, o Gerenciador de Tarefas em si não fornece boas informações sobre isso. A boa notícia é que a Microsoft fornece uma excelente ferramenta avançada para trabalhar com processos como parte de sua programação Sysinternals. Basta fazer o download do Process Explorer e executá-lo - é um aplicativo portátil, portanto, não é necessário instalá-lo. O Process Explorer fornece todos os tipos de recursos avançados - e recomendamos que leia nosso guia para entender o Process Explorer para aprender mais.
A maneira mais fácil de rastrear esses processos no Process Explorer é primeiro pressionar Ctrl + F para iniciar uma pesquisa. Procure "conhost" e clique nos resultados. Como você faz, você verá a mudança da janela principal para mostrar o aplicativo( ou serviço) associado a essa instância particular do Console Window Host.
Se o uso de CPU ou RAM indica que esta é a instância que causa problemas, então, pelo menos, você conseguiu diminuir até um aplicativo específico.
poderia este processo ser um vírus?
O processo em si é um componente oficial do Windows. Embora seja possível que um vírus tenha substituído o Real Console Host da janela com um executável próprio, é improvável. Se você quiser ter certeza, você pode verificar a localização do arquivo subjacente do processo. No Gerenciador de Tarefas, clique com o botão direito do mouse em qualquer processo do Host de Serviço e escolha a opção "Abrir Local do Arquivo".
Se o arquivo estiver armazenado na sua pasta Windows \ System32, então você pode estar bastante seguro de que não está lidando com um vírus.
Existe, de fato, um trojan lá fora chamado Conhost Miner que se enrola como o Processo de host da janela da consola. No Gerenciador de Tarefas, ele aparece exatamente como o processo real, mas um pouco de escavação revelará que ele realmente está armazenado na pasta% userprofile% \ AppData \ Roaming \ Microsoft em vez da pasta Windows \ System32.O trojan é realmente usado para seqüestrar o seu PC para minar o Bitcoins, então o outro comportamento que você notará se estiver instalado no seu sistema é que o uso da memória é maior do que o esperado e o uso da CPU mantém níveis muito altos( muitas vezes acima80%).
Claro, usar um bom scanner de vírus é a melhor maneira de prevenir( e remover) malwares como o Conhost Miner, e é algo que você deveria estar fazendo de qualquer maneira. Melhor prevenir do que remediar!
