Što je conhost.exe i zašto se pokreće?
Nesumnjivo ste čitali ovaj članak jer ste naišli na proces konzole Window Host (conhost.exe) u Upravitelju zadataka i pitate se što je to. Imamo odgovor za vas.
Ovaj je članak dio naše serije koja opisuje različite procese pronađene u upravitelju zadataka, poput svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, rundll32.exe, Adobe_Updater.exe i mnogih drugih. Ne znate što su te usluge? Bolje počnite čitati!
Dakle, što je proces Host Console Window?
Razumijevanje prozora konzole Proces hosta zahtijeva malo povijesti. U Windows XP danima, naredbenim retkom rukovan je proces nazvan ClientServer Runtime System Service (CSRSS). Kao što ime implicira, CSRSS je usluga na razini sustava. To je stvorilo nekoliko problema. Prvo, rušenje CSRSS-a moglo bi srušiti cijeli sustav, koji je bio izložen ne samo problemima pouzdanosti, nego i mogućim sigurnosnim propustima. Drugi problem bio je da CSRSS nije mogao biti tematiziran, jer programeri nisu htjeli riskirati kôd teme da bi se izvodio u sistemskom procesu. Dakle, Command Prompt je uvijek imao klasičan izgled, a ne nove elemente sučelja.
Primijetite na snimci zaslona sustava Windows XP da naredbeni redak ne dobiva isti stil kao aplikacija poput Notepad.
Windows Vista uveo je Upravitelj prozora za radnu površinu - uslugu koja "izvlači" složene prikaze prozora na radnu površinu, a ne dopušta svakoj pojedinačnoj aplikaciji da to samostalno rukuje. Naredba Command Prompt je dobila neke površne teme (kao što je stakleni okvir prisutan u drugim prozorima), ali je došao na račun mogućnosti povlačenja i ispuštanja datoteka, teksta i tako dalje u prozor naredbenog retka.
Ipak, ta je tema išla samo tako daleko. Ako pogledate konzolu u sustavu Windows Vista, čini se da koristi istu temu kao i sve ostalo, ali primijetit ćete da klizači još uvijek koriste stari stil. To je zato što upravitelj prozora za stolna računala rukuje crtanjem naslovnih traka i okvira, ali staromodni CSRSS prozor još uvijek sjedi.
Unesite Windows 7 i proces Host Host Console Window. Kao što ime implicira, to je proces hosta za prozor konzole. Proces je vrsta u sredini između CSRSS-a i Command Prompt-a (cmd.exe), dopuštajući sustavu Windows da popravi oba prethodna elementa sučelja pitanja kao što se scrollbar vuče ispravno, a možete ponovno povući i ispustiti u Command Prompt. I to je metoda koja se još uvijek koristi u sustavima Windows 8 i 10, omogućujući sve nove elemente sučelja i stil koji su se pojavili nakon Windowsa 7.
Iako Upravitelj zadataka predstavlja Host Console Window kao zasebnu cjelinu, on je još uvijek usko povezan s CSRSS-om. Ako provjeravate proces conhost.exe u Process Exploreru, možete vidjeti da se on zapravo izvodi pod csrss.ese procesom.
Na kraju, Host Console Window je nešto poput ljuske koja održava moć pokretanja usluge na razini sustava kao što je CSRSS, dok je još uvijek sigurno i pouzdano dodjeljivanjem mogućnosti integriranja modernih elemenata sučelja.
Zašto postoji nekoliko primjeraka izvođenja procesa?
Često ćete vidjeti nekoliko instanci procesa Host Host Window koje se izvode u Upravitelju zadataka. Svaka instanca pokretanja naredbenog retka će stvoriti vlastiti proces Host Host Window. Osim toga, druge aplikacije koje koriste naredbeni redak će stvoriti vlastiti proces konzole Windows Host - čak i ako ne vidite aktivni prozor za njih. Dobar primjer za to je aplikacija Plex Media Server, koja se pokreće kao pozadinska aplikacija i koristi naredbeni redak kako bi postala dostupna drugim uređajima na vašoj mreži.
Mnoge pozadinske aplikacije rade na ovaj način, tako da nije neuobičajeno vidjeti više primjeraka procesa Host Hostow Window u određenom trenutku. To je normalno ponašanje. U većini slučajeva, svaki proces treba zauzeti vrlo malo memorije (obično ispod 10 MB) i gotovo nula CPU-a osim ako je proces aktivan.
Međutim, ako primijetite da određena instanca Host Console Window Host-a ili srodna usluga uzrokuje probleme, kao što je kontinuirana prekomjerna upotreba CPU-a ili RAM-a, možete provjeriti u određene aplikacije koje su uključene. To bi vam barem moglo dati ideju o tome gdje započeti rješavanje problema. Nažalost, sam Task Manager ne pruža dobre informacije o tome. Dobra vijest je da Microsoft pruža izvrstan napredni alat za rad s procesima kao dio svoje linije Sysinternals. Samo preuzmite Process Explorer i pokrenite ga - to je prijenosna aplikacija, tako da je nema potrebe instalirati. Process Explorer pruža sve vrste naprednih značajki i preporučamo vam da pročitate naš vodič za razumijevanje Process Explorer-a kako biste saznali više.
Najlakši način da pratite te procese u Process Exploreru je da najprije pritisnete Ctrl + F za početak pretraživanja. Potražite "conhost", a zatim kliknite rezultate. Kao što to i učinite, vidjet ćete promjenu glavnog prozora kako bi vam pokazao aplikaciju (ili uslugu) povezanu s tom određenom instancom Host Console Window.
Ako upotreba CPU-a ili RAM-a ukazuje da je to instanca koja uzrokuje probleme, barem ste je suzili na određenu aplikaciju.
Može li ovaj proces biti virus?
Sam proces je službena komponenta sustava Windows. Iako je moguće da je virus zamijenio pravi Host konzolnog prozora s vlastitom izvršnom verzijom, malo je vjerojatno. Ako želite biti sigurni, možete provjeriti lokaciju datoteke u kojoj se proces nalazi. U Upravitelju zadataka desnom tipkom miša kliknite bilo koji proces Host Host i odaberite opciju "Open File Location".
Ako je datoteka pohranjena u vašem Windows \ System32
onda možete biti prilično sigurni da se ne bavite virusom.
Tu je, zapravo, trojanac s imenom Conhost Miner koji se maskira kao proces Host Host Window. U Upravitelju zadataka, čini se kao pravi proces, ali malo kopanja će otkriti da je zapravo pohranjen u % USERPROFILE% \ AppData \ Roaming \ Microsoft
umjesto mape Windows \ System32
mapa. Trojan se zapravo koristi za otmicu vašeg računala do rudnika Bitcoins, tako da je drugo ponašanje koje ćete primijetiti ako je instaliran na vašem sustavu je da je korištenje memorije više nego što biste mogli očekivati, a korištenje CPU-a se održava na vrlo visokim razinama (često iznad 80%).
Naravno, korištenje dobrog skenera virusa najbolji je način da spriječite (i uklonite) zlonamjerni softver kao što je Conhost Miner i to je nešto što biste trebali raditi. Bolje spriječiti nego liječiti!