O que é o conhost.exe e por que ele está sendo executado?

Vídeo: O que é o conhost.exe e por que ele está sendo executado?

Vídeo: O MELHOR RECURSO DO IPHONE 7 PLUS! - YouTube 2024, Maio

2024 Autor: Geoffrey Carr | [email protected]. Última modificação: 2023-12-17 10:54

Você está, sem dúvida, lendo este artigo porque você se deparou com o processo do Console Window Host (conhost.exe) no Gerenciador de Tarefas e está se perguntando o que é. Nós temos a resposta para você.

Este artigo é parte de nossa série em andamento explicando vários processos encontrados no Gerenciador de Tarefas, como svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, rundll32.exe, Adobe_Updater.exe e muitos outros. Não sabe quais são esses serviços? Melhor começar a ler!

Então, o que é o processo de host de janela do console?

Entendendo o processo de Host do Windows Console requer um pouco de histórico. Nos dias do Windows XP, o Prompt de Comando era tratado por um processo chamado CSRSS (ClientServer Runtime System Service). Como o nome indica, o CSRSS era um serviço no nível do sistema. Isso criou alguns problemas. Primeiro, uma falha no CSRSS poderia derrubar todo um sistema, que expunha não apenas problemas de confiabilidade, mas também possíveis vulnerabilidades de segurança. O segundo problema era que o CSRSS não podia ser temático, porque os desenvolvedores não queriam arriscar que o código do tema fosse executado em um processo do sistema. Assim, o Prompt de Comando sempre teve a aparência clássica em vez de usar novos elementos de interface.

Observe na captura de tela do Windows XP abaixo que o prompt de comando não recebe o mesmo estilo de um aplicativo como o Bloco de notas.

O Windows Vista introduziu o Gerenciador de Janelas da Área de Trabalho - um serviço que “desenha” vistas compostas de janelas na sua área de trabalho, em vez de permitir que cada aplicativo individual cuide disso sozinho. O Prompt de Comando ganhou alguns conceitos superficiais disso (como o quadro vítreo presente em outras janelas), mas veio à custa de ser capaz de arrastar e soltar arquivos, texto e assim por diante na janela do Prompt de Comando.

Ainda assim, esse tema só foi tão longe. Se você der uma olhada no console no Windows Vista, parece que ele usa o mesmo tema de todo o resto, mas você notará que as barras de rolagem ainda estão usando o estilo antigo. Isso ocorre porque o Gerenciador de Janelas da Área de Trabalho manipula o desenho das barras de título e do quadro, mas uma janela CSRSS antiquada ainda fica dentro dela.

Digite o Windows 7 e o processo do Host do Windows. Como o nome indica, é um processo de host para a janela do console. O processo fica no meio entre o CSRSS e o Prompt de Comando (cmd.exe), permitindo que o Windows corrija os dois problemas anteriores - elementos de interface como barras de rolagem desenham corretamente e você pode arrastar e soltar novamente no Prompt de Comando. E esse é o método ainda usado no Windows 8 e 10, permitindo todos os novos elementos de interface e estilo que surgiram desde o Windows 7.

Embora o Gerenciador de Tarefas apresente o Host da Janela do Console como uma entidade separada, ele ainda está intimamente associado ao CSRSS. Se você verificar o processo conhost.exe no Process Explorer, poderá ver que ele realmente é executado no processo csrss.ese.

No final, o Console Window Host é algo como um shell que mantém o poder de executar um serviço de nível de sistema como o CSRSS, enquanto ainda concede com segurança e confiabilidade a capacidade de integrar elementos de interface modernos.

Por que existem várias instâncias do processo em execução?

Muitas vezes, você verá várias instâncias do processo do Host do Windows Console em execução no Gerenciador de Tarefas. Cada instância do Prompt de Comando em execução gerará seu próprio processo do Host do Windows. Além disso, outros aplicativos que usam a linha de comando gerarão seu próprio processo de console do Windows, mesmo que você não veja uma janela ativa para eles. Um bom exemplo disso é o aplicativo Plex Media Server, que é executado como um aplicativo em segundo plano e usa a linha de comando para se tornar disponível para outros dispositivos em sua rede.

Muitos aplicativos em segundo plano funcionam dessa maneira. Por isso, não é incomum ver várias instâncias do processo do Console do Windows em execução a qualquer momento. Esse é um comportamento normal. Na maioria das vezes, cada processo deve ocupar muito pouca memória (geralmente abaixo de 10 MB) e quase zero CPU, a menos que o processo esteja ativo.

Dito isso, se você perceber que uma instância específica do Console Windows Host - ou um serviço relacionado - está causando problemas, como o uso contínuo excessivo de CPU ou RAM, você pode verificar os aplicativos específicos envolvidos. Isso pode pelo menos dar uma ideia de onde começar a solução de problemas. Infelizmente, o próprio Gerenciador de Tarefas não fornece boas informações sobre isso. A boa notícia é que a Microsoft fornece uma excelente ferramenta avançada para trabalhar com processos como parte de sua linha Sysinternals. Basta fazer o download do Process Explorer e executá-lo. É um aplicativo portátil, portanto, não é necessário instalá-lo. O Process Explorer fornece todos os tipos de recursos avançados - e recomendamos que você leia nosso guia para entender o Process Explorer para saber mais.

A maneira mais fácil de rastrear esses processos no Process Explorer é primeiro pressionar Ctrl + F para iniciar uma pesquisa. Procure por “conhost” e clique nos resultados. Ao fazer isso, você verá a janela principal mudar para mostrar o aplicativo (ou serviço) associado a essa instância específica do Host da janela do console.

Se o uso da CPU ou da RAM indica que essa é a instância que está causando problemas, pelo menos você reduziu a um aplicativo específico.

Este processo poderia ser um vírus?

O processo em si é um componente oficial do Windows. Embora seja possível que um vírus tenha substituído o verdadeiro Host da Janela do Console por um executável próprio, é improvável.Se você quiser ter certeza, pode conferir o local do arquivo subjacente do processo. No Gerenciador de Tarefas, clique com o botão direito do mouse em qualquer processo do Host de Serviço e escolha a opção "Abrir Local do Arquivo".


WindowsSystem32

pasta, então você pode ter certeza de que não está lidando com um vírus.

Existe, na verdade, um trojan lá chamado Conhost Miner, que se disfarça como o Processo de Host da Janela do Console. No Gerenciador de Tarefas, ele aparece exatamente como o processo real, mas um pouco de pesquisa revela que ele está armazenado na


%userprofile%AppDataRoamingMicrosoft

pasta em vez do


WindowsSystem32

pasta. O trojan é usado para seqüestrar seu PC para minerar Bitcoins, então o outro comportamento que você notará se estiver instalado em seu sistema é que o uso de memória é maior do que o esperado eo uso da CPU é mantido em níveis muito altos 80%).

É claro que usar um bom antivírus é a melhor maneira de prevenir (e remover) malwares como o Conhost Miner, e é algo que você deve fazer de qualquer maneira. Melhor prevenir do que remediar!

O que é o Mobsync.exe e por que ele está sendo executado?

Você provavelmente está se perguntando o que o processo mobsyc.exe está executando no Gerenciador de Tarefas ou por que há um ícone verde e amarelo na Área de Notificação. Aqui vamos dar uma olhada no que é e como desativá-lo se você não usar o recurso.

O que é "Spooler SubSystem App" (spoolsv.exe) e por que ele está sendo executado no meu PC?

Se você pesquisar no Gerenciador de tarefas, provavelmente verá um processo chamado "Spooler SubSystem App", "Print Spooler" ou spoolsv.exe. Esse processo é uma parte normal do Windows e lida com a impressão. Se esse processo consistentemente usar uma quantidade alta de recursos da CPU em seu sistema, haverá um problema.