Este artigo é parte de nossa série em andamento explicando vários processos encontrados no Gerenciador de Tarefas, como svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, rundll32.exe, Adobe_Updater.exe e muitos outros. Não sabe quais são esses serviços? Melhor começar a ler!
Então, o que é o processo de host de janela do console?
Entendendo o processo de Host do Windows Console requer um pouco de histórico. Nos dias do Windows XP, o Prompt de Comando era tratado por um processo chamado CSRSS (ClientServer Runtime System Service). Como o nome indica, o CSRSS era um serviço no nível do sistema. Isso criou alguns problemas. Primeiro, uma falha no CSRSS poderia derrubar todo um sistema, que expunha não apenas problemas de confiabilidade, mas também possíveis vulnerabilidades de segurança. O segundo problema era que o CSRSS não podia ser temático, porque os desenvolvedores não queriam arriscar que o código do tema fosse executado em um processo do sistema. Assim, o Prompt de Comando sempre teve a aparência clássica em vez de usar novos elementos de interface.
Observe na captura de tela do Windows XP abaixo que o prompt de comando não recebe o mesmo estilo de um aplicativo como o Bloco de notas.
Ainda assim, esse tema só foi tão longe. Se você der uma olhada no console no Windows Vista, parece que ele usa o mesmo tema de todo o resto, mas você notará que as barras de rolagem ainda estão usando o estilo antigo. Isso ocorre porque o Gerenciador de Janelas da Área de Trabalho manipula o desenho das barras de título e do quadro, mas uma janela CSRSS antiquada ainda fica dentro dela.
Embora o Gerenciador de Tarefas apresente o Host da Janela do Console como uma entidade separada, ele ainda está intimamente associado ao CSRSS. Se você verificar o processo conhost.exe no Process Explorer, poderá ver que ele realmente é executado no processo csrss.ese.
Por que existem várias instâncias do processo em execução?
Muitos aplicativos em segundo plano funcionam dessa maneira. Por isso, não é incomum ver várias instâncias do processo do Console do Windows em execução a qualquer momento. Esse é um comportamento normal. Na maioria das vezes, cada processo deve ocupar muito pouca memória (geralmente abaixo de 10 MB) e quase zero CPU, a menos que o processo esteja ativo.
Dito isso, se você perceber que uma instância específica do Console Windows Host - ou um serviço relacionado - está causando problemas, como o uso contínuo excessivo de CPU ou RAM, você pode verificar os aplicativos específicos envolvidos. Isso pode pelo menos dar uma ideia de onde começar a solução de problemas. Infelizmente, o próprio Gerenciador de Tarefas não fornece boas informações sobre isso. A boa notícia é que a Microsoft fornece uma excelente ferramenta avançada para trabalhar com processos como parte de sua linha Sysinternals. Basta fazer o download do Process Explorer e executá-lo. É um aplicativo portátil, portanto, não é necessário instalá-lo. O Process Explorer fornece todos os tipos de recursos avançados - e recomendamos que você leia nosso guia para entender o Process Explorer para saber mais.
A maneira mais fácil de rastrear esses processos no Process Explorer é primeiro pressionar Ctrl + F para iniciar uma pesquisa. Procure por “conhost” e clique nos resultados. Ao fazer isso, você verá a janela principal mudar para mostrar o aplicativo (ou serviço) associado a essa instância específica do Host da janela do console.
Este processo poderia ser um vírus?
O processo em si é um componente oficial do Windows. Embora seja possível que um vírus tenha substituído o verdadeiro Host da Janela do Console por um executável próprio, é improvável.Se você quiser ter certeza, pode conferir o local do arquivo subjacente do processo. No Gerenciador de Tarefas, clique com o botão direito do mouse em qualquer processo do Host de Serviço e escolha a opção "Abrir Local do Arquivo".
WindowsSystem32
pasta, então você pode ter certeza de que não está lidando com um vírus.
%userprofile%AppDataRoamingMicrosoft
pasta em vez do
WindowsSystem32
pasta. O trojan é usado para seqüestrar seu PC para minerar Bitcoins, então o outro comportamento que você notará se estiver instalado em seu sistema é que o uso de memória é maior do que o esperado eo uso da CPU é mantido em níveis muito altos 80%).
É claro que usar um bom antivírus é a melhor maneira de prevenir (e remover) malwares como o Conhost Miner, e é algo que você deve fazer de qualquer maneira. Melhor prevenir do que remediar!