Wiele wystąpień pliku conhost.exe

20

Mój pulpit ma przez cały czas dwa przypadki conhost.exedziałania w tle. Niektórzy googlingowie przynieśli kilka artykułów, takich jak ten , ale nie wyjaśniają, dlaczego mam wiele wystąpień conhost. Nie mam otwartych okien konsoli.

Oto zrzut ekranu z Process Explorer:

Zrzut ekranu procesu Process Explorer

Jestem z natury ostrożny. Po czystej instalacji systemu Windows 7, pierwszą rzeczą, którą zrobiłem, było włączenie UAC, uruchomienie antywirusa, złośliwego oprogramowania i zapory ogniowej. Nie mogę wykluczyć wirusa, ale jest to bardzo mało prawdopodobne.

Co tu się dzieje? Do czego jest przekazywana tak duża liczba jako argument conhost?

windows-7 security conhost George P. Burdell
źródło
2
Niektóre usługi i ich programy pomocnicze są aplikacjami konsolowymi, które wymagają hostów.
billc.cn
1
Czy jest jakiś sposób, aby dowiedzieć się, które aplikacje spawnują te procesy hosta?
George P. Burdell,
Zatrzymywanie serwerów multimediów Serviio i Plex i natychmiast zakończyło dla mnie procesy conhost.exe.
2
Lubię ich setki.
kenorb
Też mam setki.
Mech

Odpowiedzi:

17

Conhost uruchamia usługi konsoli dla okien konsoli. Odpowiada za rysowanie okna konsoli i zarządzanie wejściami / wyjściami w (normalnie niewidocznej) aplikacji konsoli.

Chociaż nie masz otwartych okien konsoli, prawdopodobnie jest to tylko okno konsoli na innym pulpicie lub proces zombie, który widzisz - podczas normalnej pracy systemu Windows plik conhost.exe jest zawsze uruchamiany z pliku csrss.exe, który jest Proces SYSTEM - i tak jest na twoim zdjęciu, co sugeruje, że pliki conhost.exes są oryginalne.

Jeśli szczególnie obawiasz się, że może to być złośliwe oprogramowanie udające hosta, najlepiej jest otworzyć Menedżera zadań, przejść do karty „Procesy”, kliknąć prawym przyciskiem myszy proces, który Cię niepokoi, i wybrać „Otwórz plik” Lokalizacja".

W oknie eksploratora, które zostanie otwarte, kliknij prawym przyciskiem myszy aplikację i kliknij „Wyświetl właściwości” i poszukaj karty „Podpisy cyfrowe”. Wszystkie pliki wykonywalne Microsoft będą miały podpis cyfrowy potwierdzający, że aplikacja jest oryginalną aplikacją Microsoft, a sfałszowanie podpisu cyfrowego jest co najmniej tak samo trudne jak odszyfrowanie sesji SSL między tobą a bankiem, więc możesz mieć pewność, że plik wykonywalny jest prawdziwy.

W odpowiedzi na drugą część pytania duża liczba przekazywana do conhosta jako argument jest identyfikatorem sesji, który informuje conhost.exe, która aplikacja konsoli powinna wyświetlać się na ekranie - w zasadzie jest to identyfikator aplikacji konsoli, z którą należy się połączyć. Dokładne szczegóły tej liczby są specyficzne dla csrss, który pośredniczy w komunikacji między aplikacją konsoli i conhost.exe.

SecurityMatt
źródło
1
W moim przypadku conhost.exe działa nawet wtedy, gdy nie ma otwartych okien konsoli, od uruchomienia systemu (więc kiedy nie może to być pominięciem procesu powłoki zombie). Nie ma też typowej ikony „c: \” w eksploratorze procesów, ale ikonę ogólną. Siedzi pod csrss.exe, ale jeśli kliknę prawym przyciskiem myszy i kliknę właściwości, dostanę ścieżkę: proces otwierania błędu. Jeśli kliknę „weryfikuj”, pojawi się komunikat, że w pliku nie znaleziono podpisu cyfrowego. W „użytkowniku” jest napisane „odmowa dostępu”. Jestem administratorem systemu i nie mogę go zabić ... proszę o radę? Dzięki
jj_
@ jj_, widzę to samo. Dowiedzieć się czegoś?
Patrick Szalapski
@PatrickSzalapski Chciałbym pomóc, ale w zasadzie nie pamiętam konkretnych kroków, które podjąłem, aby rozwiązać problem i ich wpływu. Przez jakiś czas monitorowałem system, skanowałem go w poszukiwaniu wirusów / złośliwego oprogramowania / trojanów za pomocą kilku narzędzi, odinstalowałem niektóre rzeczy, których nie potrzebowałem, które prawdopodobnie pochodziły z niektórymi usługami startowymi, a potem zupełnie o tym zapomniałem ... I nagle zniknęło .. Mogę tylko doradzić, aby spróbować uruchomić system z ledwie minimalnymi potrzebnymi usługami i zobaczyć, co się stanie .. informuj nas na bieżąco, może być przydatny dla wszystkich! Pozdrawiam
jj_
1
Jeśli @jj_ powróci lub pojawi się ktoś inny: ProcessExplorer musi zostać podniesiony, aby wyświetlić pełne informacje, takie jak wiersz polecenia i właściwości exe dla procesów systemowych i usługowych (i zabić je); rozpocznij od skrótu lub pozycji menu lub wyniku wyszukiwania za pomocą prawego kliknięcia-RunAsAdministrator lub pola wyszukiwania z wciśniętym klawiszem Control-Shift-Enter lub gdy już działa menu Plik Goto i kliknij Pokaż szczegóły dla wszystkich procesów.
dave_thompson_085
W moim przypadku wiedziałem o tym :), ale nadal warto to podkreślić!
jj_
5

Wiem, że uderzenie starą nicią nie jest dobrą praktyką. Ale dotarłem tutaj, szukając tego samego problemu. Znalazłem powód i może to być również rozwiązanie.

W moim przypadku było około tuzina conhost.exe, pod csrss.exe.

Wiem, że conhost.exe pomaga aplikacjom konsolowym, ale oprócz jednego wiersza polecenia (cmd.exe) nic nie działało.

W tym wątku znalazłem wiele możliwości związanych z 32-bitowym iTunes http://answers.microsoft.com/en-us/windows/forum/windows_7-security/multiple-instances-dozens-of-conhostexe-running / 6e8c045f-8738-4e20-87e2-56d4360f1bd3

Nie mam zainstalowanego iTunes. Przeglądając TaskManager i Process Explorer odkryłem, że istnieje wiele msbuild.exe programu VisualStudio 2012. Gdy zamknąłem VS 2012, wszystko zniknęło.

devenv.exe i MSBuild.exe są programami 32-bitowymi

Vemman
źródło
1

Zauważyłem, że w moim systemie przez cały czas działały dwa procesy conhost . Zauważyłem, że z biegiem czasu uruchamianie mojego konta spowodowałoby wzrost liczby innych procesów conhost .

Poszukiwanie źródła zajęło mi trochę czasu, eliminując podejrzanych, takich jak AutoHotKey i Console2 . W końcu odkryłem, że Visual Studio (2013) tworzy te dodatkowe procesy conhost i zniknęły po zamknięciu Visual Studio.

Zostawiłem dwa stałe procesy conhost sam w moim systemie, ponieważ pochodzą one z konta SYSTEM Windows.

palswim
źródło
0

Mój komputer działał wolno z odnawianiem kart iexplorer. Postanowiłem sprawdzić menedżera zadań systemu Windows i zauważyłem użycie procesora na poziomie 14-15%, a niektóre procesy ciągle się zwiększały i zmniejszały. Jednym z nich był drugi proces conhost.exe. Wyglądało na to, że ucieka. Proces conhost.exe, który migał i wyłączał się, był powiązany z moim identyfikatorem logowania. Nie mogłem uzyskać lokalizacji tego pliku za pomocą kliknięcia prawym przyciskiem myszy i zlokalizowania pliku.

AVG-Free v14 proces avgidagent.exe monitorował komputer i powodował zużycie zasobów procesora o 14-15%.

Zauważyłem też, że mgusb.exe miga i wyłącza się. Wyszukiwarka internetowa zidentyfikowała ten proces jako część mobogenie i zaproponowała jego odinstalowanie jako rozwiązanie problemu. Po odinstalowaniu mobogenie (przy użyciu „odinstaluj” z panelu sterowania), zarówno drugi conhost.exe, jak i mgusb.exe zostały usunięte z okna procesów Menedżera zadań i wydaje się być normalne.

Zużycie procesora wróciło do normy na poziomie 0–3%. Procesy nie nieustannie poruszają się w górę i w dół.

dzięki za osoby, które opublikowały informacje mobogenie w Internecie.

Prescott
źródło
0

Mój laptop z Win7 ma dwa procesy conhost uruchomione z Boottime. Korzystając z ProcExp, patrząc na dolne okno z uchwytami, stwierdziłem, że jeden pochodzi z wlanext.exe, a drugi to jeden z procesów uruchomionych przez touchpad w Alpach. Zajęło mi trochę czasu, aby dowiedzieć się, co je zrodziło, po prostu miałem zwyczaj zabijania procesów po uruchomieniu. Nie wracają do następnego rozruchu.

Zakładam, że służą one do otwierania narzędzi paska zadań dla touchpada i połączenia internetowego, które usunąłem ze startu. [System Windows jest znacznie bardziej niezawodny w zarządzaniu połączeniem internetowym, a opcjonalne oprogramowanie dostarczane ze sterownikami kart sieciowych często powoduje problemy. I zwykle wolę mysz, ponieważ system wyłączył touchpad, gdy mysz jest obecna.]

mjm
źródło
Odpowiedziałeś na pytanie, które ma już lata i ma już zaakceptowaną odpowiedź. Chociaż nie jest to zabronione ani złe z Twojej strony, powinieneś być świadomy, że prawdopodobnie nie otrzymasz odpowiedzi lub Twoja odpowiedź zostanie zaakceptowana. To powiedziawszy; wykonałeś kawał dobrej roboty, tłumacząc swoje doświadczenie. W celu ulepszenia wskazane jest utworzenie kopii zapasowej odpowiedzi w jakimś źródle w celu potwierdzenia punktu. To nie jest obowiązkowe, ale pomaga.
CharlieRB,