Несколько экземпляров conhost.exe

96814
George P. Burdell

Мой рабочий стол всегда conhost.exeработает в фоновом режиме. Кто-то погуглил, поднял несколько статей, вроде этой, но они не объясняют, почему у меня многократный conhostзапуск. У меня нет открытых окон консоли.

Вот скриншот из Process Explorer:

Process Explorer screenshot

Я осторожен по натуре. После чистой установки Windows 7 первым делом я включил UAC, включил антивирус, антивирус и брандмауэр. Я не могу исключить вирус, но это крайне маловероятно.

Что здесь происходит? Что это большое число передается в качестве аргумента conhost?

20
Некоторые сервисы и их вспомогательные программы являются консольными приложениями, для которых нужны символы. billc.cn 12 лет назад 2
Есть ли способ узнать, какие приложения порождают эти процессы-призраки? George P. Burdell 12 лет назад 1
Остановка серверов мультимедиа Serviio и Plex и немедленное завершение процессов conhost.exe для меня. 8 лет назад 0
Мне нравятся сотни из них. kenorb 7 лет назад 1

5 ответов на вопрос

17
SecurityMatt

Conhost запускает консольные службы для консольных окон. Он отвечает за отображение окна консоли и за управление вводом / выводом в (обычно невидимое) консольное приложение.

Даже если у вас нет открытых окон консоли, скорее всего, это просто окно консоли на другом рабочем столе или процесс зомби, который вы видите - при нормальной работе Windows conhost.exe всегда запускается из csrss.exe, который является СИСТЕМНЫЙ процесс - и это тот случай, который вы видите на вашей картинке, что говорит о подлинности conhost.exes.

Если вы особенно обеспокоены тем, что это может быть вредоносное ПО, претендующее на то, чтобы быть поддельным, лучше всего открыть диспетчер задач, перейти на вкладку «Процессы», щелкнуть правой кнопкой мыши по процессу, который вас беспокоит, и выбрать «Открыть файл». Место нахождения".

В открывшемся окне обозревателя щелкните правой кнопкой мыши приложение, выберите «Просмотр свойств» и найдите вкладку «Цифровые подписи». Все исполняемые файлы Microsoft будут иметь цифровую подпись, подтверждающую, что приложение является подлинным приложением Microsoft, а подделка цифровой подписи, по крайней мере, так же сложна, как и дешифрование сеанса SSL между вами и вашим банком, поэтому вы можете быть уверены, что исполняемый файл является подлинным.

В ответ на вторую часть вашего вопроса большое число, передаваемое в conhost в качестве аргумента, является идентификатором сеанса, который сообщает conhost.exe, какое консольное приложение должно отображаться на экране - по сути, это идентификатор консольного приложения для подключения. Точные данные этого числа относятся к csrss, который обеспечивает связь между консольным приложением и conhost.exe.

В моем случае conhost.exe работает, даже когда не открываются консольные окна, при запуске системы (то есть, когда он не может быть исключен из процесса оболочки зомби). Кроме того, в проводнике процессов есть не типичный значок «c: \», а общий значок. Он находится под csrss.exe, но если я щелкну правой кнопкой мыши и выберу свойства, я попаду в путь: процесс открытия ошибки. Если я нажимаю «проверить», это говорит, что цифровая подпись не найдена в файле. В «пользователь» он говорит «доступ запрещен». Я системный администратор, и я не могу убить его ... любой совет, пожалуйста? Спасибо jj_ 10 лет назад 1
@jj_, я вижу то же самое. Узнать что-нибудь? Patrick Szalapski 10 лет назад 0
@PatrickSzalapski Я бы хотел помочь, но в основном я не могу вспомнить конкретные шаги, которые я предпринял, чтобы решить проблему, и как они повлияли на нее. Я некоторое время наблюдал за системой, сканировал ее на наличие вирусов / вредоносных программ / троянов с помощью пары инструментов, удалил некоторые ненужные мне вещи, которые, вероятно, поставлялись с некоторыми службами запуска, а затем совершенно забыл об этом .. И вдруг он пропал .. Я могу только посоветовать попробовать загрузить систему с минимально необходимыми службами и посмотреть, что произойдет .. Держите нас в курсе, хотя, это может быть полезно для всех! ура jj_ 10 лет назад 0
Если @jj_ возвращается или кто-то еще приходит: ** ProcessExplorer должен быть повышен ** для отображения полной информации, такой как командная строка и exe-свойства **, для системных и служебных процессов ** (и уничтожить их); начните с ярлыка или пункта меню или результата поиска с помощью rightclick-RunAsAdministrator или окна поиска с control-shift-enter или, когда уже запущено, перейдите в меню «Файл» и нажмите «Показать подробности для всех процессов». dave_thompson_085 8 лет назад 1
В моем случае, я знал это :), но это все еще стоит указать на это! jj_ 8 лет назад 0
5
Vemman

I know bumping an old thread is not a good practice. But I reached here searching for the same problem. And found a reason and it might also be a solution.

In my case there were around a dozen conhost.exe, under the csrss.exe.

I know conhost.exe is for helping console applications but apart from once Command Prompt (cmd.exe) I had nothing running.

I found numerous possibilities in this thread that it might be related to 32-bit iTunes http://answers.microsoft.com/en-us/windows/forum/windows_7-security/multiple-instances-dozens-of-conhostexe-running/6e8c045f-8738-4e20-87e2-56d4360f1bd3

I have no iTunes installed. And looking through TaskManager & Process Explorer I found there was multiple VisualStudio 2012's msbuild.exe. Once I closed VS 2012 it all went away.

devenv.exe and MSBuild.exe are 32-bit programs

1
palswim

I found that my system had two conhost processes running at all times. I noticed that over time, running in my account would result in a growing number of other conhost processes.

It took me some time to search for the source, eliminating suspects like AutoHotKey and Console2. Eventually, I found that Visual Studio (2013) was creating these extra conhost processes, and they disappeared after I closed Visual Studio.

I left the two permanent conhost processes on my system alone, since they came from the SYSTEM Windows account.

0
Prescott

My computer was acting slow with iexplorer tab renewals. I decided to check the windows task manager and noticed CPU usage at 14-15% and some of the processes constantly moving up and down. One of these was a second process of conhost.exe. It appeared as if it was running off and on. The conhost.exe process which was flashing on and off was associated with my logon id. I couldn't get the location of this file with right-click and locate file.

AVG-Free v14 process avgidagent.exe was monitoring the computer and causing the 14-15% CPU resource usage.

I also noticed mgusb.exe flashing on and off. An internet search identified this process as part of mobogenie and suggested to uninstall it as a solution to solve this problem. After uninstalling mobogenie (using "uninstall" from the control panel), both the second conhost.exe and mgusb.exe have been removed from the Task manager processes window and it appears to be normal.

CPU usage is back to normal at 0 - 3%. The processes don't constantly move up and down.

thanks for the people whom posted mobogenie information on the internet.

0
mjm

My Win7 laptop has two conhost processes running from boottime. Using ProcExp, looking at the lower window displaying Handles, I determined one was from wlanext.exe, and the other was one of the processes started by the Alps touchpad. It took me a while to figure out what spawned them, I just got in the habit of killing the processes after booting. They don't return until the next boot.

I assume they are for the purpose of opening the taskbar utilities for the touchpad and internet connection that I removed from startup. [Windows is much more reliable for managing internet connection, while the optional software that comes with network card drivers frequently causes problems. And I usually prefer a mouse, having set the system to disable touchpad when the mouse is present.]

Вы ответили на вопрос, которому уже несколько лет, и на который уже есть принятый ответ. Хотя это не запрещено или неправильно с вашей стороны, вы должны знать, что вы вряд ли получите ответ или что ваш ответ будет принят. Что, как говорится; Вы проделали хорошую работу, объясняя свой опыт. Для улучшения целесообразно сделать резервную копию ваших ответов из какого-либо источника, чтобы подтвердить свою точку зрения. Это не обязательно, но это помогает. CharlieRB 8 лет назад 0

Похожие вопросы