Hva er conhost.exe, og hvorfor kjører det?

Du leser uten tvil denne artikkelen fordi du har snublet over Console Window Host (conhost.exe) -prosessen i Oppgavebehandling og lurer på hva det er. Vi har svaret for deg.

RELATERT: Hva er denne prosessen, og hvorfor kjører den på PCen min?

Denne artikkelen er en del av vår pågående serie som forklarer forskjellige prosesser som finnes i Oppgavebehandling, som svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, rundll32.exe, Adobe_Updater.exe og mange andre. Vet du ikke hva disse tjenestene er? Bedre begynn å lese!

Så hva er konsollvinduens vertsprosess?

Å forstå konsollvinduens vertsprosess krever litt historie. I Windows XP-dager ble ledeteksten håndtert av en prosess som heter ClientServer Runtime System Service (CSRSS). Som navnet antyder, var CSRSS en systemnivåetjeneste. Dette skapte et par problemer. For det første kan et krasj i CSRSS få ned et helt system, som ikke bare utsatte pålitelighetsproblemer, men også mulige sikkerhetsproblemer. Det andre problemet var at CSRSS ikke kunne tema, fordi utviklerne ikke ønsket å risikere temakoden for å kjøre i en systemprosess. Så ledeteksten hadde alltid det klassiske utseendet i stedet for å bruke nye grensesnittelementer.

Legg merke til på skjermbildet av Windows XP nedenfor at ledeteksten ikke får den samme stylingen som en app som Notisblokk.

RELATERT: Hva er Desktop Window Manager (dwm.exe) og hvorfor kjører det?

Windows Vista introduserte Desktop Window Manager - en tjeneste som "tegner" sammensatte visninger av vinduer på skrivebordet i stedet for å la hver enkelt app håndtere det alene. Kommandoprompt fikk litt overfladisk tema fra dette (som den glassaktige rammen som er tilstede i andre vinduer), men den kom på bekostning av å kunne dra og slippe filer, tekst og så videre inn i ledetekstvinduet.

Likevel gikk den tematikken bare så langt. Hvis du tar en titt på konsollen i Windows Vista, ser det ut til at den bruker samme tema som alt annet, men du vil merke at rullefeltene fortsatt bruker den gamle stilen. Dette er fordi Desktop Window Manager håndterer tegning av tittellinjer og ramme, men et gammeldags CSRSS-vindu sitter fortsatt inne.

Gå inn i Windows 7 og konsollvinduens vertsprosess. Som navnet antyder, er det en vertsprosess for konsollvinduet. Prosessen sitter liksom midt mellom CSRSS og ledeteksten (cmd.exe), slik at Windows kan fikse begge de forrige problemene - grensesnittelementer som rullefelt tegner riktig, og du kan igjen dra og slippe inn i ledeteksten. Og det er metoden som fortsatt brukes i Windows 8 og 10, og tillater alle de nye grensesnittelementene og stylingen som har kommet siden Windows 7.

Selv om Oppgavebehandling presenterer Console Window Host som en egen enhet, er den fremdeles nært knyttet til CSRSS. Hvis du sjekker conhost.exe-prosessen i Process Explorer, kan du se at den faktisk kjører under csrss.ese-prosessen.

Til slutt er Console Window Host noe som et skall som opprettholder kraften til å kjøre en systemnivåetjeneste som CSRSS, samtidig som den fortsatt gir sikker og pålitelig muligheten til å integrere moderne grensesnittelementer.

Hvorfor kjører prosessen flere ganger?

Du vil ofte se flere forekomster av Console Window Host-prosessen som kjører i Oppgavebehandling. Hver forekomst av kommandoprompt som kjører, vil gyte sin egen konsollvindu-vertsprosess. I tillegg vil andre apper som bruker kommandolinjen, gyte sin egen konsoll Windows Host-prosess - selv om du ikke ser et aktivt vindu for dem. Et godt eksempel på dette er Plex Media Server-appen, som kjører som en bakgrunnsapp og bruker kommandolinjen for å gjøre seg tilgjengelig for andre enheter i nettverket ditt.

Mange bakgrunnsapper fungerer på denne måten, så det er ikke uvanlig å se flere forekomster av Console Window Host-prosessen som kjører til enhver tid. Dette er normal oppførsel. For det meste bør hver prosess ta veldig lite minne (vanligvis under 10 MB) og nesten null CPU med mindre prosessen er aktiv.

Når det er sagt, hvis du merker at en bestemt forekomst av Console Window Host - eller en relatert tjeneste - forårsaker problemer, som kontinuerlig overdreven bruk av CPU eller RAM, kan du sjekke inn på de spesifikke appene som er involvert. Det kan i det minste gi deg en ide om hvor du skal begynne feilsøking. Dessverre gir ikke Task Manager selv god informasjon om dette. Den gode nyheten er at Microsoft gir et utmerket avansert verktøy for å jobbe med prosesser som en del av Sysinternals-serien. Bare last ned Process Explorer og kjør den - det er en bærbar app, så du trenger ikke å installere den. Process Explorer tilbyr alle slags avanserte funksjoner - og vi anbefaler på det sterkeste å lese vår guide for å forstå Process Explorer for å lære mer.

RELATERT: Hva er en "bærbar" app, og hvorfor betyr det noe?

Den enkleste måten å spore disse prosessene i Process Explorer er å først trykke Ctrl + F for å starte et søk. Søk etter "conhost" og klikk deretter gjennom resultatene. Når du gjør det, vil du se hovedvinduets endring for å vise deg appen (eller tjenesten) som er tilknyttet den aktuelle forekomsten av konsollvindu vert.

Hvis CPU- eller RAM-bruken indikerer at dette er forekomsten som forårsaker problemer, har du i det minste innsnevret den til en bestemt app.

Kan denne prosessen være et virus?

Selve prosessen er en offisiell Windows-komponent. Selv om det er mulig at et virus har erstattet den virkelige Console Window Host med en egen kjørbar, er det lite sannsynlig. Hvis du vil være sikker, kan du sjekke ut den underliggende filplasseringen til prosessen. I Oppgavebehandling, høyreklikk på en hvilken som helst Service Host-prosess og velg alternativet "Åpne filplassering".

Hvis filen er lagret i Windows\System32mappen din , kan du være ganske sikker på at du ikke har å gjøre med et virus.

Det er faktisk en trojan der ute som heter Conhost Miner som utgir seg som konsollvinduens vertsprosess. I Oppgavebehandling ser det ut som den virkelige prosessen, men litt graving vil avsløre at den faktisk er lagret i %userprofile%\AppData\Roaming\Microsoftmappen i stedet for Windows\System32mappen. Trojanen brukes faktisk til å kapre PC-en din for å utvinne Bitcoins, så den andre atferden du vil legge merke til hvis den er installert på systemet ditt, er at minnebruk er høyere enn du kanskje forventer, og CPU-bruken opprettholder på svært høye nivåer (ofte 80%).

RELATERT: Hva er det beste antivirusprogrammet for Windows 10? (Er Windows Defender bra nok?)

Å bruke en god virusscanner er selvfølgelig den beste måten å forhindre (og fjerne) skadelig programvare som Conhost Miner, og det er noe du burde gjøre uansett. Bedre trygt enn beklager!